Пользователь и информационная безопасность

Пользователь и информационная безопасность

О безопасности парольной защиты не говорил сегодня только ленивый. Пароли должны быть длинными и сложными. Что произойдёт, если вы создадите такое правило на работе? А произойдёт то, что на следующий день пароли будут записаны и приклеены на стикерах к мониторам, к обратной стороне клавиатуры или будут храниться в правом верхнем ящике стола. И каждый 6-й пароль — «123456». Здорово, не так ли?

И проблема здесь не в том, что безопасности не учат, проблема в том, что учиться не хотят. И вопрос тут скорее в лени, чем в непонимании. Если ИТ-отдел не требует сменить выдаваемый временный пароль, пользователь просто его не меняет.

Как не быть пуделем с паролем

  • Используйте пароли длиной не менее восьми символов. Помните, что пароль должен содержать буквы как прописные, так и заглавные. А лучше буквы и цифры.
  • Никогда не используйте легко угадываемые слова: имена супруга или ваших детей, клички домашних животных, названия любимых спортивных команд, ваши номера телефонов и номера ваших документов.
  • Никогда не делитесь паролями с другими людьми. Помните, что знают двое, то известно свинье.
  • Разные сайты и сервисы должны использовать разные пароли.
  • По возможности используйте двухфакторную аутентификацию.
  • Рассмотрите возможность использования менеджера паролей.

Лень, неудобство и бессмысленное тыканье

Увы, но всё чаще в новостях о взломах вспоминают Facebook, LinkedIn, British Airways и другие сервисы. Всё чаще для аутентификации вам предлагают двухфакторную аутентификацию. Что это? Это использование вашего смартфона или отдельного аппаратного ключа для обеспечения дополнительного уровня безопасности кроме ваших основных данных входа в систему. Данный способ аутентификации становится всё более распространённым, особенно с использованием биометрии, такой как голос, отпечаток пальца и распознавание лиц. Например, Google вел двухфакторную аутентификацию 10 лет назад. Но в итоге только 10% пользователей используют этот сервис. Всем остальным это неудобно и долго.

Однако проблемы не ограничиваются только аутентификацией. Пользователи также небрежно относятся к нажатию на ссылки и загрузке нежелательного контента. Более 99% злонамеренных ссылок — это вредоносные программы, предназначенные для хищения личной информации. Несмотря на то, что вредоносное ПО довольно агрессивно распространяется, но для своего распространения оно не использует никаких умных трюков: чаще всего используются людская глупость, лень и невнимательность. По данным исследователей, более 70% ошибок, о которых мы слышим, начались каким-то несчастным пользователем, который нажал на ссылку или открыл вредоносное вложение в письме.

Новый «забор» и ключи от королевства

Стоит учесть, что работа ИТ в последнее время стала гораздо сложнее благодаря росту количества мобильных телефонов, ноутбуков и планшетов, которые мы используем для работы, а также для личных целей. И в итоге многие крупные компании сосредоточены на том, чтобы один настольный ПК выполнял одну конкретную задачу. Так называемый «белый список ПО». То есть даже если вы нажмёте на вредоносную ссылку, вредоносная программа не может быть запущена и не сможет заразить остальную сеть. Ещё многие компании, занимающиеся кибербезопасностью, переходят от подхода брандмауэра к автоматизированному мониторингу трафика в реальном времени и ищут странное поведение в сети.

Но поможет ли это, если мы сами небрежно отдадим ключи от королевства? Ведь, на мой взгляд, защиты от дурака не существует. А вы как думаете?

https://ib-bank.ru/bisjournal/news/13938

Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Владимир Безмалый

О безопасности и не только