Променете паролата си ден се нуждае от насреща

1 февруари е денят за промяна на паролата ви; макар и да не са официални, много технологични сайтове рекламират деня на своите читатели. Потребителите са помолени да променят паролите в този ден, за да подобрят сигурността.

Макар че със сигурност има моменти, когато смяната на паролите има смисъл, напр. след нарушение на онлайн услуга, успешна вирусна атака, случайно споделяне или за увеличаване на силата на паролата, като обикновено заявява, че човек трябва да смени всички пароли в този ден, никога нямаше много смисъл.

Предпочитам денят да бъде преименуван, вместо да „проверявате паролите си ден“. Потребителите можеха тествайте паролите си в базата данни Have I Been Pwned (локално) и променете паролите, които са изтекли в Интернет.

Потребителите могат също така да проверят силата на паролите и да променят паролите, които се считат за слаби от алгоритмите за проверка на сила, или да започнат да използват мениджър на пароли, ако е разрешено в околната среда.

Двуфакторното удостоверяване и други разширени опции за защита, ако има такива, също си струва да се разгледат.

Проверете деня за сигурност на вашия сървър

pwned passwords

Предлагам колега да промени деня на вашата парола: проверете деня за сигурност на вашия сървър (слабо базирана на Статията на Юрген Шмит за Хайзе ), моя собствен Статия за сигурността на паролата от 2012 г. , и Сигурност на паролата: какво знаят потребителите и какво правят , Макар че със сигурност е така, че грубите атаки или целенасочените атаки могат да откраднат идентификационните данни на потребителите, една от най-големите заплахи идва от фирмените сървъри, които са хакнати.

Дали хакът е успешен поради социалното инженерство, неправилно конфигурираните сървъри, неподредените уязвимости в защитата, неактуалните библиотеки или компоненти или 0-дневните уязвимости е без значение от гледна точка на потребителя.

Милиарди набори пароли са достъпни свободно в Интернет. Тези комплекти, Прекъснах ли се изброява 6,4 милиарда pwned акаунти само от 340 сайта, са само върхът на айсберга. Те идват от успешни нарушения или се публикуват веднага в мрежата, предлагат се за продажба, или се използват без изобщо да бъдат изтичани публично.

Репутацията на фирмите страда, ако бъдат атакувани успешно, но изглежда, че повечето се връщат към „бизнеса както обикновено“ доста бързо след нарушения.

Компаниите трябва да използват „проверете деня за сигурност на вашия сървър“, за да подобрят сигурността. Вероятно не е достатъчно да правите това веднъж годишно, но денят може да се използва за провеждане на задълбочени тестове и за подобряване на сигурността, напр. чрез прилагане на нови форми на сигурност или подобряване на съществуващите.

Дори ако вие като потребител на услуга изберете най-силната представа за парола, все пак може да я намерите в ръцете на престъпници, които зареждат бази данни с пароли.

Единственото, което се опитвам да кажа, е, че компаниите трябва да поемат отговорност. Не е достатъчно да нулирате паролите на акаунта след нарушение и да бъдете извършени с цялата ситуация; компаниите трябва да подобряват сигурността активно и да проверяват редовно сигурността на сървъра, за да блокират направо определени вектори за атака.

Сега ти: Трябва ли компаниите да защитят по-добре своите сървъри?