Endre passorddagen trenger en motpart

• Kategori: Sikkerhet

Prøv Instrumentet Vårt For Å Eliminere Problemer

Velg Operativsystemet Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Velg Et Projeksjonsprogram (Valgfritt) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Beskriv Problemet Ditt

Få Svar

Send Meg Via E -Post Vis På Nettstedet

1. februar er å endre passorddagen din; Selv om de ikke er offisielle, annonserer mange teknologiske nettsteder dagen for leserne sine. Brukere blir bedt om å endre passord den dagen for å forbedre sikkerheten.

Selv om det absolutt er tider der det er fornuftig å endre passord, f.eks. etter brudd på en online tjeneste, et vellykket virusangrep, utilsiktet deling, eller for å øke styrken til et passord, ga det generelt uttrykk for at man skulle endre alle passord på den dagen, aldri gjort mye mening.

Jeg foretrekker at dagen blir gitt nytt navn til å 'sjekke passorddagen din' i stedet. Brukere kunne test passordene deres mot Have I Been Pwned-databasen (lokalt), og endre passord som ble lekket til Internett.

Brukere kan også sjekke styrken til passord og endre passord som anses som svake av styrkekontrollalgoritmene, eller begynne å bruke en passordbehandling hvis det er tillatt i miljøet.

To-faktor autentisering og andre avanserte sikkerhetsalternativer, hvis tilgjengelige, er også verdt å vurdere.

Sjekk serverens sikkerhetsdag

Jeg foreslår en motpart å endre passorddagen din: sjekk serverens sikkerhetsdag (løst basert på Jürgen Schmidts artikkel om Heise ), min egen På artikkel om passordsikkerhet fra 2012 , og passordsikkerhet: hva brukerne vet og hva de gjør . Selv om det absolutt er tilfelle at brute force-angrep eller målrettede angrep kan stjele brukeropplysninger, kommer en av de største truslene fra bedriftsservere som blir hacket.

Hvorvidt hackingen er vellykket på grunn av sosial prosjektering, feil konfigurerte servere, usagte sikkerhetsproblemer, utdaterte biblioteker eller komponenter, eller 0-dagers sårbarheter er uten betydning fra brukerens perspektiv.

Milliarder passordsett er fritt tilgjengelig på Internett. Disse settene, Har jeg blitt pwned lister 6,4 milliarder pwned kontoer alene fra 340 nettsteder, er bare toppen av isfjellet. De kommer fra vellykkede brudd og blir enten publisert med en gang på nettet, tilbudt for salg eller brukt uten at de noen gang har blitt lekket offentlig.

Et selskaps omdømme lider hvis de blir angrepet med suksess, men det ser ut til at de fleste går tilbake til 'business as vanlig' ganske raskt etter brudd.

Bedrifter bør bruke 'sjekk serverens sikkerhetsdag' for å forbedre sikkerheten. Det er sannsynligvis ikke nok å gjøre dette en gang i året, men dagen kan brukes til å kjøre grundige tester og forbedre sikkerheten, f.eks. ved å implementere nye sikkerhetsformer eller forbedre eksisterende.

Selv om du som bruker av en tjeneste velger det sterkeste passordet som kan tenkes, kan du fremdeles finne at det faller i hendene på kriminelle som dumper passorddatabaser.

Alt jeg prøver å si er at selskaper må ta ansvar. Det er ikke nok å tilbakestille kontopassord etter brudd og være ferdig med hele situasjonen; selskaper må forbedre sikkerheten proaktivt og sjekke serversikkerhet regelmessig for å blokkere visse angrepsvektorer direkte.

Nå du: Bør selskaper bedre sikre sine servere?