Subiecte

Construirea unei culturi
a securității
O fundație solidă:
Securizarea conturilor și
dispozitivelor
Comunicarea și
stocarea securizată a datelor
Siguranța pe
internet
Protejarea securității
fizice
Ce trebuie să facem când
lucrurile merg prost

O fundație solidă: Securizarea conturilor și dispozitivelor

Conturi securizate: Parole și autentificarea cu doi factori

Ultima actualizare: iulie 2022

În ziua de astăzi, probabil că organizația și personalul dvs. au multe, poate chiar sute de conturi care, dacă sunt sparte, ar putea expune informații sensibile sau chiar ar putea afecta siguranța personală. Gândiți-vă la diferitele conturi pe care un membrii personalului și organizația le dețin: e-mail, aplicații chat, rețele sociale, servicii bancare online, stocare de date în cloud, precum și magazine de haine, restaurante locale, ziare și multe alte site-uri web sau aplicații la care vă conectați. O securitate bună în ziua de azi necesită o abordare sârguincioasă pentru protejarea acestor conturi de atacuri. Acest lucru pornește cu asigurarea unei bune igiene a parolelor și utilizarea autentificării cu doi factori în întreaga organizație.

Ce presupune o parolă bună?

O parolă bună presupune trei elemente cheie: lungime, caracter aleatoriu și unicitate.

Lungime:

Cu cât parola este mai lungă, cu atât este mai dificil de ghicit de către un adversar. Majoritatea spargerilor de parole se realizează în prezent cu ajutorul unor programe cărora nu le ia mult să spargă o parolă scurtă. Prin urmare, este esențial ca parolele dvs. să conțină cel puțin 16 caractere sau cel puțin cinci cuvinte, preferabil mai multe.
Caracter aleatoriu:

Chiar dacă o parolă este lungă, nu este foarte bună dacă reprezintă ceva ușor de ghicit de către un adversar. Evitați să includeți informații precum ziua de naștere, orașul, activitățile dvs. preferate sau alte informații pe care cineva le pot găsi despre dvs. printr-o căutare rapidă pe internet. 
Unicitate:

Probabil cea mai frecventă „cea mai neinspirată practică” este utilizarea aceleiași parole pe mai multe site-uri. Repetarea parolelor este o mare problemă, deoarece, dacă doar unul dintre site-urile respective este compromis, toate celelalte care folosesc aceeași parolă sunt, la rândul lor, vulnerabile. Dacă folosiți aceeași frază de acces pe mai multe site-uri, impactul unei greșeli sau unei breșe de date poate crește semnificativ. Chiar dacă nu vă pasă de parola pe care o aveți la biblioteca locală, dacă aceasta este spartă și folosiți aceeași parolă pentru un cont mai sensibil, vi se pot fura informații importante.

O modalitate simplă de a atinge obiectivele de lungime, caracter aleatoriu și unicitate este să alegeți trei sau patru cuvinte comune, dar aleatorii. De exemplu, parola dvs. ar putea fi „floare lampă verde urs”, fiind ușor de ținut minte, dar greu de ghicit. Puteți vizita acest site web creat de Better Buys pentru a vedea o estimare a cât de rapid pot fi sparte parolele slabe.

Folosiți un manager de parole

Știți că este important ca toți oamenii din organizația dvs. să folosească o parolă lungă, aleatorie și diferită pentru fiecare dintre conturile lor personale și de organizație, însă știți cum să faceți acest lucru? Memorarea unei parole bune pentru mai multe (dar nu sute) de conturi este imposibilă, așa că suntem nevoiți să trișăm. Metoda greșită ar fi reutilizarea parolelor. Din fericire, putem apela la managerii digitali de parole, care ne pot ușura viața (și ne fac mai sigure practicile pentru parole). Aceste aplicații, dintre care multe pot fi accesate de pe computer sau dispozitivul mobil, pot crea, stoca și gestiona parole pentru dvs. și organizația dvs. Adoptarea unui manager de parole sigur presupune memorarea unei singure parole foarte puternice și lungi, denumită parolă primară (cunoscută anterior sub denumirea de parolă „principală”) care vă asigură beneficiile de securitate de a folosi parole bune și unice pentru toate conturile dvs. Veți folosi această parolă primară (și, ideal, autentificarea în doi factori (2FA), despre care vom discuta în secțiunea următoare) pentru a deschide managerul de parole și debloca accesul la toate celelalte parole. Managerii de parole pot fi partajați și pentru mai multe conturi pentru a facilita partajarea securizată a parolelor în cadrul organizației dvs.

De ce trebuie să folosim ceva nou? Nu le putem, pur și simplu, nota pe hârtie sau într-o foaie de calcul în computer?

Din păcate, există multe abordări greșite și nesigure de a gestiona parolele. Parolele puternice notate pe hârtie (dacă nu sunt păstrate încuiate într-un seif) riscă să fie furate, văzute de ochi indiscreți sau pierdute și deteriorate ușor. Salvarea parolelor într-un document pe computerul dvs. facilitează accesul hackerilor la ele – sau, dacă cineva vă fură computerul, va avea, pe lângă dispozitivul în sine, acces și la toate conturile dvs. Folosirea unui bun manager de parole este la fel de simplă ca folosirea unui document, însă este mai sigură. 

De ce să avem încredere într-un manager de parole?

Managerii de parole de calitate fac eforturi extraordinare (și angajează echipe de securitate excelente) pentru a menține securitatea sistemelor. Bunele aplicații de gestionare a parolelor (câteva dintre ele sunt recomandate mai jos) sunt configurate în așa fel încât să nu vă poată „debloca” conturile. Acest lucru înseamnă că, în majoritatea cazurilor, dacă sunt accesate ilegal sau obligate legal să dezvăluie informații, nu vor putea să vă piardă sau să vă dezvăluie parolele. De asemenea, este important să rețineți că este mult mai probabil ca un adversar să ghicească una dintre parolele dvs. repetate sau să găsească una într-o breșă de date publice decât dacă un bun manager de parole ar fi spart. Este importat să rămâneți sceptici și, desigur, să nu aveți încredere oarbă în toate software-urile și aplicațiile, însă managerii de parole cu reputație bună beneficiază de stimulentele potrivite să acționeze corect.

Dar stocarea parolelor în browser?

Salvarea parolelor în browser nu este același lucru cu utilizarea unui manager de parole sigur. Pe scurt, nu este recomandat să folosiți Chrome, Firefox, Safari sau orice alt browser ca manager de parole. Cu toate că, desigur, este o modalitate mai sigură decât notarea lor pe hârtie sau salvarea într-o foaie de calcul, funcțiile de bază pentru salvarea parolelor ale browserului web lasă de dorit în ceea ce privește securitatea. Aceste neajunsuri vă lipsesc, de asemenea, de comoditatea oferită de un bun manager de parole. Pierderea acestei comodități crește probabilitatea ca oamenii din organizația dvs. să continuă să folosească practici mai puțin eficiente de creare și partajare a parolelor.

De pildă, spre deosebire de managerii de parole dedicați, funcțiile integrate „salvează această parolă” sau „memorează această parolă” ale browserelor nu dispun de compatibilitate mobilă simplă, funcționalitate inter-browsere și instrumente de generare de parole puternice și auditare. Aceste funcții reprezintă o parte importantă a ceea ce face dintr-un manager de parole dedicat atât de util și benefic pentru securitatea organizației dvs. Managerii de parole includ, de asemenea, funcții specifice pentru organizații (precum partajarea parolelor) care contribuie atât la securitatea persoanelor, cât și a organizației per ansamblu.

Dacă ați salvat parole în browserul dvs. (intenționat sau fără intenție), dedicați un moment pentru a le șterge.

Save Password boxbitwarden

În loc să folosiți un browser (precum Chrome, în imaginea din stânga) pentru a vă salva parolele, folosiți un manager de parole dedicat (precum Bitwarden, în imaginea din dreapta). Managerii de parole au funcții care contribuie la sporirea securității și comodității în cadrul organizației dvs.

Ce manager de parole ar trebui să folosim?

Există multe instrumente de gestionare a parolelor care pot fi configurate în mai puțin de 30 de minute. Dacă sunteți în căutarea unei opțiuni online de încredere pentru organizația dvs., pe care oamenii dvs. să o poată accesa de pe mai multe dispozitive în orice moment, 1Password (de la 2,99 USD per utilizator pe lună) sau Bitwarden, un program open-source gratuit, sunt ambele foarte acceptate și recomandate. 

O opțiune online precum Bitwarden poate fi perfectă atât din punct de vedere al securității, cât și al caracterului convenabil. Bitwarden, de pildă, vă va ajuta să creați parole unice puternice și să accesați parole de pe mai multe dispozitive, prin intermediul extensiilor de browser sau al unei aplicații mobile. Versiunea cu plată (10 USD anual) a Bitwarden oferă și rapoarte ale parolelor reutilizate, slabe și posibil sparte, pentru a vă ajuta să mențineți controlul. După ce ați configurat parole primară (cunoscută sub numele de parolă principală), vă recomandăm să activați și autentificarea cu doi factori pentru a menține cât mai puternică securitatea seifului managerului de parole. 

Este esențial să implementați metode eficiente de securitate și atunci când folosiți managerul de parole. De pildă, dacă folosiți extensia browserului managerului de securitate sau vă autentificați în Bitwarden (sau orice alt manager de parole) de pe un dispozitiv, nu uitați să vă deconectați după ce l-ați utilizat, dacă partajați dispozitivul sau credeți că există un risc ridicat de furt al dispozitivului fizic. Aceasta include deconectarea din managerul de parole dacă lăsați computerul sau dispozitivul mobil nesupravegheat. Dacă partajați parole în cadrul organizației, asigurați-vă, de asemenea, că ați anulat accesul la parole (și schimbați parolele în sine) pentru persoanele care părăsesc organizația. Nu este dorit ca un fost angajat să aibă în continuare acces la parola de Facebook a organizației dvs., de exemplu.

Ce se întâmplă dacă cineva uită parola primară?

Este esențial să vă amintiți parola primară. Sistemele bune de gestionare a parolelor precum cele recomandate mai sus nu vor memora parola primară și nu vor permite resetarea acesteia direct prin e-mail, așa cum o puteți face pe site-urile web. Cu toate că este o funcție eficientă de securitate, vă obligă, de asemenea, să memorați parola primară în momentul configurării inițiale a managerului de parole. Pentru a vă ajuta, vă recomandăm să configurați un memento zilnic de reamintire a parolei primare atunci când creați inițial un cont de manager de cont. 

Nivel avansat: Folosirea unui manager de parole pentru organizația dvs.

Puteți consolida practicile de creare a parolelor la nivelul întregii organizații și vă puteți asigura că întregul personal are acces la (și folosește) un manager de parole implementând unul pentru întreaga organizație. În loc să solicitați fiecărui membru al personalului să își configureze propriul manager de parole, luați în calcul să investiți într-un abonament „de echipă” sau „business”. De exemplu, Bitwarden oferă abonamentul „echipe și organizații” care costă 3 USD per utilizator pe lună. Cu acesta (sau cu alte abonamente de echipă pentru manageri de parole precum 1Password), aveți abilitatea de a gestiona toate parolele partajate în cadrul organizației. Funcțiile unui manager de parole pentru o întreagă organizație nu oferă doar o securitate sporită, ci sunt și convenabile pentru personal. Puteți partaja în siguranță acreditările din managerul de parole unor diferite conturi de utilizatori. Iar Bitwarden, de pildă, oferă și un text criptat de la un capăt la altul și o funcție de partajare de fișiere denumită „Bitwarden Send” în acest abonament. Ambele funcții de mai sus oferă organizației dvs. mai mult control asupra persoanelor care pot vedea și partaja anumite parole și asigură o opțiune mai sigură de partajare a acreditărilor pentru conturile de echipă sau de grup. Atunci când configurați un manager de parole la nivel de organizație, asigurați-vă că atribuiți unei anumite persoane rolul de a șterge conturile angajaților și de schimba parolele partajate atunci când o persoană părăsește echipa.

Two Factor Authentication

Ce este autentificarea cu doi factori?

Indiferent de gradul de igienă a parolei dvs., hackerii încă sparg frecvent parolele. Securizarea conturilor împotriva unor amenințări comune din ziua de azi necesită un alt nivel de protecție. Aici intră în scenă autentificarea cu mai mulți factori și cu doi factori – cunoscute sub denumirea de MFA sau 2FA.

Există multe ghiduri și resurse foarte bune care explică autentificarea cu doi factori, inclusiv articolul Autentificarea cu doi factori pentru începători scris de Martin Shelton și Ghidul 101 privind securitatea cibernetică în timpul alegerilor al Center for Democracy & Technology. Secțiunea de față se inspiră în mare din aceste resurse, pentru a explica de ce este atât de importantă implementarea 2FA la nivelul organizației dvs.

Pe scurt, 2FA sporește securitatea contului solicitând o a doua informație – ceva care reprezintă mai mult decât o parolă – pentru a obține accesul. Cea de-a doua informație este, de obicei, ceva ce dețineți, de pildă un cod de la o aplicație de pe telefonul dvs. sau un token sau o cheie digitale. Această cea de-a doua informație acționează drept nivel secundar de apărare. Dacă un hacker vă fură parola sau obține acces la aceasta prin descărcarea parolelor în urma unei breșe de date majore, o 2FA eficientă îi poate împiedica să vă acceseze contul (și, prin urmare, îi ține departe de informații private și sensibile). Este de o importanță critică să vă asigurați că toți oamenii din organizația dvs. implementează 2FA pentru conturile lor.

Cum configurăm autentificarea cu doi factori?

Există trei metode comune pentru 2FA: chei de securitate, aplicații de autentificare și coduri SMS de unică folosință.

Chei de securitate

Cheile de securitate sunt cea mai bună opțiune, în parte, deoarece sunt aproape complet rezistente la atacuri de tip phishing. Aceste „chei” sunt tokenuri hardware (ca niște mini unități USB) care se pot atașa la breloc (sau rămâne în computer), pentru a siguranță și accesare facilă. Atunci când trebuie să folosiți cheia pentru a debloca un anumit cont, trebuie doar să o introduceți în dispozitivul dvs. și să îl atingeți atunci când vi se solicită acest lucru în timpul conectării. Există o gamă largă de modele pe care le puteți achiziționa online (20-50 USD), inclusiv foarte apreciatul YubiKeys.. Site-ul Wirecutter al New York Times are un ghid util cu recomandări de chei pe care le puteți achiziționa. Rețineți că puteți folosi aceeași cheie de securitate pentru câte conturi doriți. În vreme ce cheile de securitate sunt destul de costisitoare pentru multe organizații, inițiative precum Programul Protecție avansată al Google sau AccountGuard al Microsoft oferă aceste chei gratuit pentru anumite grupuri. Contactați-i pe cei care v-au furnizat Îndrumarul pentru a vedea dacă vă pot conecta la asemenea programe sau contactați [email protected].

Securitatea browserelor în realitate

A hand holding an actual key with a key ring attached to a 2 f a device

Prin furnizarea de chei de securitate fizice pentru autentificarea cu doi - factori pentru peste 85.000 dintre angajații săi, Google (o organizație cu un risc foarte ridicat și o țintă importantă) a eliminat orice atacuri de tip phishing împotriva organizației sale. Acest caz demonstrează cât de eficiente pot fi cheile de securitate pentru organizațiile care prezintă chiar și riscuri maxime.

Aplicații de autentificare 

Cea de-a doua opțiune ca grad de eficiență pentru 2FA o reprezintă aplicațiile de autentificare. Aceste servicii vă permit să primiți un cod temporar 2FA, prin intermediul unei aplicații mobile sau printr-o notificare push pe smartphone. Iată câteva opțiuni populare și de încredere: Google Authenticator, Authy și Duo Mobile. Aplicațiile de autentificare sunt eficiente și pentru că funcționează și atunci când nu aveți acces la rețeaua celulară și pot fi folosite gratuit de persoane fizice. Cu toate acestea, aplicațiile de autentificare sunt mai susceptibile de phishing decât cheile de securitate, deoarece utilizatorii pot fi păcăliți să introducă codurile de securitate dintr-o aplicație de autentificare pe un site web fals. Aveți grijă să introduceți coduri de conectare doar pe site-uri legale. Și nu „acceptați” notificări de conectare de tip push decât dacă știți sigur că dvs. ați trimit solicitarea de conectare. De asemenea, atunci când folosiți o aplicație de autentificare, este esențial să fiți pregătiți cu coduri de rezervă (discutate mai jos) în cazul în care telefonul dvs. este pierdut sau furat.

Coduri trimise prin SMS

Cea mai puțin sigură, însă, din nefericite, încă cea mai frecventă formă de 2FA sunt codurile trimise prin SMS. Având în vedere că SMS-urile pot fi interceptate, iar numerele de telefon pot fi falsificate sau atacate de hackeri prin furnizorul de telefonie mobilă, SMS lasă mult de dorit ca metodă de solicitare a codurilor 2FA. Este o metodă mai bună comparativ cu utilizarea simplă a unei parole, însă aplicațiile de autentificare sau o cheie fizică de securitate sunt recomandate atunci când este posibil. Un adversar hotărât poate obține acces la codurile SMS 2FA, de regulă printr-un simplu apel la compania telefonică și schimbarea cartelei dvs. SIM.

Atunci când sunteți pregătiți să începeți activarea 2FA pentru toate conturile din organizația dvs., utilizați acest site web (https://2fa.directory/) pentru o căutare rapidă de informații și instrucțiuni pentru anumite servicii (precum Gmail, Office 365, Facebook, Twitter etc.) și pentru a vedea care servicii permit anumite tipuri de 2FA.

2FA și partidele politice

Image of a phishing website

Una dintre cele mai proeminente figuri politice, fostul președinte al Statelor Unite Donald Trump, a ajuns în centrul atenției din multe motive, inclusiv pentru autentificarea în doi factori. În 2019, un hacker etic pe nume Victor Gevers a reușit să acceseze contul de Twitter al lui Trump din cauza unei parole slabe și lipsei autentificării cu 2FA. Gevers a reușit, după doar cinci încercări, să ghicească parola („maga2020!”), iar fără implementarea autentificării cu 2FA nu l-a oprit nimic să acceseze direct contul puternicului @realdonaldtrump care conținea informații extrem de sensibile. Gevers a declarat că, în urma spargerii contului de Twitter, și-a dat toată osteneala să raporteze vulnerabilitatea, trimițând e-mailuri, capturi de ecran și mesaje pe rețele sociale către diverse entități guvernamentale ale SUA. Din fericire pentru echipa politică și de comunicare a lui Trump, contul acestuia a fost accesat de un hacker etic, nu de un adversar.

Ce se întâmplă dacă cineva pierde un dispozitiv 2FA?

Dacă folosiți o cheie de securitate, tratați-o în același mod în care tratați o cheie a casei sau apartamentului dvs., dacă este cazul. Pe scurt, nu o pierdeți. Însă, ca și în cazul cheii casei dvs., este o idee bună să aveți o cheie de rezervă înregistrată la cont, care să rămână încuiată într-un loc sigur (un seif de acasă sau o cutie de valori), în eventualitatea în care o pierdeți sau vă este furată.

Alternativ, vă recomandăm să creați coduri de rezervă pentru conturile care permit acest lucru. Salvați aceste coduri într-un loc foarte sigur, precum managerul de parole sau un seif fizic. Asemenea coduri de rezervă pot fi generate din setările majorității site-urilor 2FA (din același loc din care activați 2FA inițial) și pot fi folosite drept cheie de rezervă în cazul unei urgențe.

Cele mai frecvente incidente 2FA survin atunci când vă înlocuiți sau pierdeți telefoanele pe care le utilizați pentru aplicațiile de autentificare. Dacă folosiți Google Authenticator, veți avea ghinion dacă vi se fură telefonul dacă nu ați salvat codurile de rezervă generate la momentul conectării la un cont prin Google Authenticator. Prin urmare, dacă folosiți Google Authenticator drept aplicație 2FA, asigurați-vă că ați salvat într-un loc sigur codurile de rezervă pentru toate conturile la care vă conectați.

Dacă folosiți Authy sau Duo, ambele aplicații au funcții integrate, cu setări puternice de securitate, pe care le puteți activa. Dacă alegeți una dintre aceste aplicații, puteți configura opțiunile de rezervă respective în cazul în care dispozitivul se strică, se pierde sau este furat. Consultați instrucțiunile Authy aici și instrucțiunile Duo aici.

Asigurați-vă că toți membrii organizației dvs. cunosc acești pași atunci când încep activarea 2FA pentru toate conturile lor.

Impunerea 2FA la nivel de organizație

Dacă organizația dvs. furnizează conturi de e-mail tuturor angajaților prin Google Workspace (cunoscut anterior sub denumirea de GSuite) sau Microsoft 365 folosind propriul dvs. domeniu (de exemplu, @ndi.org), puteți impune 2FA și setări puternice de securitate pentru toate conturile. O asemenea impunere nu ajută doar la protejarea conturilor respective, ci acționează și drept modalitate de a introduce și normaliza 2FA în rândul personalului, pentru a le ușura adoptarea metodei și pentru conturile personale. Dacă sunteți administrator Google Workspace, puteți urma aceste instrucțiun entru a impune 2FA pentru domeniul dvs. Puteți proceda similar și pentru Microsoft 365, urmând acești pași dacă sunteți administrator al domeniului. 
Vă recomandăm, de asemenea, să înrolați conturile organizației dvs. în Programul Protecție avansată (Google) sau AccountGuard (Microsoft) pentru a impune controale de securitate suplimentare și a solicita chei fizice de securitate pentru autentificarea cu doi factori.

Conturi securizate

  • Impuneți parole puternice pentru toate conturile organizației; încurajați personalul și voluntarii să adopte aceleași măsuri pentru conturile lor personale.
  • Implementați un manager de parole de încredere pentru organizație (și încurajați personalul să folosească un manager de parole și în scop personal).
    • Impuneți o parolă primară puternică și 2FA pentru toate conturile din managerul de parole.
    • Reamintiți-le tuturor să se deconecteze din managerul de parole pe dispozitivele partajate sau atunci când dispozitivul prezintă o risc ridicat de furt sau confiscare.
  • Schimbați parolele partajate atunci când angajații părăsesc organizația.
  • Partajați parolele doar în mod securizat, de pildă prin managerul de parole al organizației dvs. sau folosind aplicații criptate de la un capăt la altul.
  • Impuneți 2FA pentru toate conturile organizației și încurajați personalul să configureze 2FA și pentru toate conturile personale.
    • Dacă este posibil, furnizați personalului chei fizice de securitate.
    • Dacă nu vă permiteți chei de securitate, încurajați utilizarea aplicațiilor de autentificare în locul SMS-urilor sau apelurilor telefonice pentru 2FA.
  • Organizați cursuri de instruire regulate, pentru a asigura familiarizarea personalului cu cele mai bune practici privind parolele și 2FA, inclusiv cunoștințe despre ce presupune o parolă puternică și importanța de a nu reutiliza niciodată o parolă, de a accepta doar solicitări 2FA legitime și de a genera coduri 2FA de rezervă.