Lo más probable es que jamás haya oído charlar de la Publicación singular ochocientos-sesenta y tres del Instituto Nacional de Estándares y Tecnología (NIST), Apéndice A. Mas ha estado utilizando su contenido desde su primera cuenta online y su clave de acceso hasta el día de hoy. En verdad, allá hallará las primeras reglas de clave de acceso, como la combinación de una letra minúscula y mayúscula, un número y un carácter singular, y la recomendación de mudar su clave de acceso cada noventa días.
Det finns bara en nackdel. Bill Burr, som ursprungligen satte dessa regler på sin sida, tror att han har skadat den. "Nu ångrar jag mycket av det jag gjorde," sa Burr till The Wall Street Journal för några år sedan.
Av vilken anledning? Nåväl, de flesta bryr sig inte om att göra större ändringar när det är dags att uppdatera sitt lösenord. Till exempel istället för "Abcdef1?" vi ändrar det till "Abcdef1!" sedan "Abcdef". Så direkt.
Eftersom vi hatar dessa regler, slutar vi med att använda helt tunna lösenord som "hundratjugotre tusen fyrahundrafemtiosex" och "lösenord" på din webbplats. Varje vanligt sprickprogram kommer att ta mindre än en sekund att bryta något av dem. Det är bättre att du inte använder ett lösenord alls.
Och om du gör det "rätt", kommer du att sluta med lösenord som är oerhört svåra att komma ihåg. Jag minns semi-godtyckliga strängar som xkcd936! E MC2; de flesta människor kan inte.
Istället har NIST och serietecknaren Randall Munroe en bättre idé: använd åtkomstnycklar istället för åtkomstnycklar. En nyckelsats för åtkomst, till exempel "ILoveUNCbasketballin2021!" det är lätt att komma ihåg, och även om det innehåller riktiga ord, är det delvis ganska svårt att tyda.
Men eftersom varje tjänst på planeten nu kräver ett lösenord, använder vi ofta samma lösenord om och om igen. Lätt att komma ihåg? Om. Enkel att knäcka när du knäcker åtkomstnycklarna till en plats? Ännu mer då. XNUMX års kompileringsdataintrång avslöjade mer än XNUMX miljarder e-postadresser och deras tillhörande lösenord. Med ett nytt säkerhetsintrång som inträffar praktiskt taget varje vecka är det inte "om" dina lösenord kommer att avslöjas, det är när.
"Gör du inte?" Säg åh! Gör dig själv en tjänst och kontrollera din e-postadress med tjänsten HaveIbeenPwned och förbered dig på att bli blåst. Jag är tänkt att vara en säkerhetsspecialist och mitt primära e-postkonto har haft lösenord läckta under tjugosju, räkna dem tjugosju, dataintrång.
Så även om det är bra att använda åtkomstnycklar istället för lösenord, räcker det inte. Jag har 2 andra rekommendationer till dig och dina anställda.
Först: välj en standardlösenordshanterare och kräv att dina anställda använder den. Detta ger dig 2 fördelar. De flesta kan automatiskt producera långa, godtyckliga strängar, och dina anställda behöver aldrig komma ihåg bara ett huvudlösenord; programmet håller reda på alla andra.
Vilken åtkomstnyckelhanterare? Jag använder Chromes inbyggda lösenordshanterare för allt som fungerar via en webbläsare. Men jag vet att alla inte litar på Google.
På baksidan av den inbyggda hanteraren som är så enkel att använda och praktiskt taget osynlig i Google Chrome, finns KeePass med öppen källkod. Med detta behåller du åtkomstnycklarna på lokala maskiner (som har ditt företags säkerhetsproblem) eller annars i en molntjänst. KeePass kräver specialiserad administration för att fungera bra, men om du redan använder Linux som ryggraden i din IT-avdelning är dina medarbetare förmodligen redo för utmaningen.
Till sist gillar jag också LastPass. Det är säkert den mest populära lösenordshanteraren. Det är en blandad välsignelse. Den har så många användare eftersom den är så enkel och den håller allt i sin molntjänst. Det här är de goda nyheterna. Den dåliga nyheten är att den är så populär att hackare är vana vid att attackera den.
Brottslingar gick bara in i LastPass en gång, XNUMX. Inte ens då bröt hackare tjänstkundernas lösenord. Sedan dess har LastPass förbättrat sin interna säkerhet.
Kan LastPass, eller någon av de andra, bli skadad? Visst. Säkerhet är inte en produkt, det är en evig kamp. Men alla korrekt använda lösenordshanterare kommer att gå långt för att skydda dina system.
Slutligen räcker det inte med åtkomstnycklar i sig. Du måste verkligen använda 2-faktors autentisering (2FA) för att skydda ditt företag. Med 2FA behöver du 2 av de 3 typerna av inloggningsuppgifter för att komma åt ett konto.
- Något som du vet eller kan ge bort; Detta är allmänt känt som en engångs-PIN.
- Något du har, som ett säkert ID-kort eller hårdvarusäkerhetsnyckel.
- Något du är, vilket inkluderar biometriska faktorer som ett fingeravtryck, näthinnaskanning eller röstavtryck.
Det finns tre grundläggande metoder för att göra detta. Först kan du använda ett 2FA-program som genererar en PIN-kod, som sedan skickas till dig via textmeddelande. Även om det är lätt att använda, om någon verkligen vill komma in på dina konton kan de förmodligen göra det. NIST rekommenderar nu att du inte använder textbaserad 2FA. Nästa steg är att använda ett 2FA-program för att generera PIN-koder. I allmänhet är 2FA-autentiseringsappar användbara och säkra, och du kan köra dem på din smartphone utan farorna med att skicka sms. Populära alternativ inkluderar Authy, Google Authenticator, LastPass Authenticator och Microsoft Authenticator. Slutligen, om du verkligen vill låsa dina användares konton och datorer, använd hårdvara 2FA. Du kan köpa dessa enheter mellan €20 och €60. Några av de bästa är Google Titan Key, Kensington VeriMark Fingerprint Key, Thetis Fido UCF Security Key, Yubikey 5 NFC och YubiKey 5C. Anslut dem bara till datorn och dina anställda är redo att börja. Är det ett mycket större problem än att skriva lösenord på en lapp på din PC? Ja det är det. Men det är också mycket säkrare, och mellan lösenordshanterare och 2FA-appar eller -enheter är det inte så svårt att göra. jag? Jag vill att min företagsdata ska vara säker i mina händer, inte i Hacker Joes klor.
Så läs detta:
<p>Copyright © dos mil veintiuno IDG Communications, Inc.</p>