Как создавать безопасные и осмысленные пароли

Выполнение этих простых рекомендаций поможет повысить уровень безопасности паролей в вашей организации.

Ежедневно десятки раз в день ваши сотрудники выполняют простое, но важное действие: они вводят пароль для входа в рабочий компьютер, в локальную сеть и в Интернет. И в этот момент всего лишь несколько щелчков мышью отделяют сеть вашей компании от компьютерных преступников, злоумышленников и просто недовольных сотрудников. При этом несложные пароли опытные злоумышленники или их компьютеры, предназначенные для взлома паролей, могут угадать без труда. В то же время, создавать осмысленные и безопасные пароли не так тяжело, как кажется, но это чрезвычайно важно для обеспечения безопасности сети вашего предприятия.

Во-первых, не следует использовать очевидные пароли, которые применяются слишком часто. Не рекомендуется использовать числа, имеющие какое-либо отношение к сотрудникам, например, даты их рождения, номера карточек социального страхования, адреса и личные номера сотрудников. Не следует использовать даже сведения, которые считаются информацией личного характера (например, кличка собаки, имена детей или название любимой команды). Такого рода «подсказки» в вашем офисе встречаются на каждом шагу — это фотографии, сувениры и т.д.

Часто используемые слова тоже легко угадать. Надеюсь, что в качестве пароля уже никто не использует слова «пароль» или «пользователь», но и такие слова, как «любовь» или «секрет» тоже нежелательны. По сути, применять в пароле любое слово любого языка, которое можно найти в словаре, довольно рискованно – для взлома паролей вашей компьютерной сети злоумышленник может без труда воспользоваться компьютерной программой, проверяя каждое слово из словаря. Аналогичный незатейливый подход злоумышленники могут использовать для взлома паролей, в которых используются однозначные цифры, соответствующие буквам (как на кнопках телефона), например, для «5683», что соответствует слову «love» (любовь).

Уникальные и запоминающиеся пароли

Сложность в том, чтобы, придумав уникальные безопасные пароли для всех разнообразных устройств, сетей и сайтов, на которые входите, в них не запутаться. Наиболее безопасный пароль – комбинация не менее чем из десяти букв и цифр и специального символа, например, знака препинания. Например, «!blaz45sf3». Безопасно, но запомнить тяжело…

Поэтому выберите фразу, которую можете запомнить, но которую непросто угадать, затем некоторые буквы замените цифрами, сделайте орфографические ошибки и добавьте специальный символ. Например, «ILoveRedDogs» превратится в «1LuvR3adDawgs!».

Это отличный пароль, но его можно использовать только для одного пользователя. Тем не менее, он может стать основой (базовым паролем) для создания дополнительных паролей, благодаря чему помнить придется только базовый пароль. Кроме того, понадобится повторяющаяся система для изменения его первого и последнего символа. Например, можно использовать первую и последнюю буквы каждого безопасного сайта или добавлять тип устройства, в систему которого входите.

Например, если собираетесь установить пароль для своего клиента под названием «Western Cargo», то к паролю «1LuvR3adDawgs!» можно добавить «W» и «O», и получится «W1LuvR3adDawgs!O». Для ноутбука (laptop) можно использовать пароль «Lap1LuvR3adDawgs!top». Какой бы пароль вы ни выбрали, главное, чтобы базовый пароль был уникальным и не был обычным словом, а система добавления символов к базовому паролю была запоминающейся и воспроизводимой.

Замена паролей ключами доступа (токенами)

Если для особо важных приложений, например, для доступа в локальную сеть, вы хотите заменить пароли более надежными средствами защиты, то внедрите систему авторизации с использованием карт и ключей доступа (токенов). Можно предусмотреть много систем управления доступом, например, систему доступа в виртуальную частную сеть, и вместо паролей, созданных сотрудниками или в дополнение к ним применять ключи (токены), генерируемые случайным образом. В этом случае сотрудник использует карту доступа, брелок или мобильное устройство. Каждый раз, когда он вводит фразу пароля в устройство, дополнительно генерируется числовой пароль, называемый ключом доступа (токеном). Для входа в систему ключ доступа (токен) можно использовать только один раз, и, как правило, если его не ввести в течение определенного времени, то он становится недействительным.

Одна из опций «Cisco SA500 Series Security Appliances», которую можно заказать дополнительно, – система авторизации VeriSign Identity Protection (VIP). Она работает не только с SA500 для обеспечения доступа к виртуальным частным сетям, но и с системами авторизации на открытых сайтах некоторых других компаний, например, банков, поэтому свои карты доступа сотрудники могут также использовать для генерирования кодов доступа к своим учетным записям.

Для повышения стойкости паролей в своей организации ознакомьте своих сотрудников с этими рекомендациями. Постарайтесь, чтобы они применяли эти методики для создания безопасных, осмысленных паролей для учетных записей, для всего: от смартфонов до личного кабинета в интернет-магазинах. Усиление пароля может оказаться простой, но важной мерой, от которой может зависеть безопасность вашего предприятия.

А что сделали вы, чтобы пароли ваших сотрудников стали более надежными?

Ссылка на оригинальный ресурс: http://blogs.cisco.com/smallbusiness/how-to-create-secure-and-meaningful-passwords/

Реклама

Проверьте свое знание основ компьютерной безопасности

Нарушения безопасности обходятся очень дорого, и происходят они все чаще. Будьте всегда в курсе последних событий! Пройдите тест по основам компьютерной безопасности:
http://www.cisco.com/web/RU/social_media/blog/quiz/index.html

Определение местоположения iPhone: важно, даже если это для вас не имеет значения

Сет Хэнфорд (Seth Hanford)

Операционная система iOS для мобильных устройств корпорации Apple недавно подверглась суровой критике в средствах массовой информации в связи с тем, что местоположение пользователя может быть определено с помощью резервных копий файла consolidated.db, хранящегося на устройстве.

Как обсуждалось в статье Отчет о компьютерных рисках (Cyber Risk Report), хотя корпорация Apple предоставила информацию об отслеживании местоположения в своей политике конфиденциальности, значительное число комментариев пользователей дает основание предполагать, что они были удивлены, узнав, как именно это осуществляется.

Исследователи, предоставившие информацию об определении местоположения для широкой общественности, знали, что ранее это было известно судебным экспертам, но они разработали собственный инструмент для привлечения большего внимания к данной проблеме. По всеобщему признанию, им удалось повысить осведомленность пользователей. Осталось только понять, что делать дальше.

Легкая победа в гонке по определению местоположения

После запроса об использовании корпорацией Apple данных о местоположении, поданного конгрессменами США Эдвардом Марки (Edward Markey) и Джо Бартоном (Joe Barton) в июне 2010 года, корпорация Apple публично пояснила, что активно собирает сведения о местоположении вышек-ретрансляторов операторов мобильной связи, точек доступа к Wi-Fi и GPS-координат с целью «предоставления услуг в зависимости от местоположения», а также «содействия корпорации Apple в обновлении и обслуживании собственной базы данных с помощью полученной информации о местоположении».

Использование средства, разработанного Алланом (Allan) и Уорденом (Warden) для наглядного представления данных о местоположении в файле consolidated.db, совместно с обнародованными целями Apple в ответ на запрос Марки и Бартона, позволяет предположить, что собираемая информация не является персональной («Информация, передаваемая корпорации Apple, не связана с определенным пользователем или устройством», Markey & Barton, стр. 7). На самом деле, поскольку она включает в себя данные только о «видимых» точках беспроводного доступа и вышках-ретрансляторах операторов мобильной связи, определение местоположения, вероятно, должно быть хуже, чем при использовании GPS, особенно на территориях с небольшим количеством объектов для триангуляции. Исследователь Питер Бэтти (Peter Batty) даже высказал предположение о том, что это может быть предсказывающей загрузкой от Apple для хранения на мобильном телефоне сведений о местоположениях, которые пользователь может посетить в ближайшее время (находящиеся поблизости вышки и точки доступа к Wi-Fi). Поскольку исследование Бэтти предполагает хранение в базе данных только последних записей журнала о находящихся рядом вышках и точках доступа, это не позволяет получать данные о количестве и времени посещений пользователями территории за длительный промежуток времени. Тем не менее это может быть полезным для дальнейших попыток расшифровки анонимных данных, установления личности или предоставления дополнительного контекста для других наборов данных.

С помощью процесса, описанного Apple, устройства могут собирать и передавать информацию о близлежащих объектах корпорации Apple, а также определять примерное местоположение пользователей при недоступности более точных служб, например GPS. При сравнении инструмента android-locdump с более известным средством iPhone Tracker основное отличие состоит в том, что Android регулярно удаляет данные из журналов cache.cell и cache.wifi. В журнале cache.cell хранится только 50 записей, а в cache.wifi – только 200 (согласно обзору автора старого исходного кода android-locdump). Аллан и Уорден обнаружили, что база данных consolidated.db операционной системы iOS не удаляет содержащиеся в ней данные, что позволяет хранить данные визуализации, записанные с момента создания этого файла (в предыдущих версиях iOS использовалось другие имя и путь файла).

Проблема № 1: бессрочное хранение данных

Пользователи платформы, задействованные в службах для определения местоположения, должны понимать, что их перемещение отслеживается. Логично, что данная информация хранится в базе данных корпорации Apple, о чем она сообщает в своей политике конфиденциальности. Плохо то, что по непонятным причинам корпорация Apple выбрала постоянное хранение подробного журнала на устройстве пользователя. Исследования, проведенные журналом Wall Street Journal и подтвержденные консультантом по конфиденциальности Ашканом Солтани (Ashkan Soltani), показали, что сведения о местоположении продолжают собираться даже при отключении служб местоположения на устройстве с iOS, но при этом они не передаются корпорации Apple. Если журнал пользователя не используется для предоставления ему информации, когда устройство находится в автономном режиме (а согласно описанию процесса, предоставленному корпорацией Apple, можно сделать вывод, что так и происходит), сохранение этого файла представляет потенциальный риск нанесения ущерба пользователю. Похоже, что Android справляется с этим намного лучше, ограничив количество хранимых на устройстве записей. В случае причинения вреда или проведения судебного разбирательства предоставляется только ограниченный доступ к истории местонахождения устройства. Хотя корпорация Apple, несомненно, знает лучше, какие данные должны оставаться на устройстве для его нормальной работы, чем мы с вами, все же можно предположить существование разумного компромисса, например хранения определенного количества записей или удаления прежних записей для ограничения доступа к ним. Альтернативой может служить возможность удаления данных истории вручную, что допускает некоторую автономность пользователей от корпорации Apple.

Интеллектуальные устройства и хранение данных, важных для судебного разбирательства

Эта проблема касается не только Apple. С помощью недавно разработанного инструмента android-locdump было установлено, что операционная система Android компании Google собирает сведения о местоположении пользователей. Дело не только в определении местоположения. Что касается мобильных устройств, здесь определение местоположения имеет немного большее значение, поскольку они являются средствами личного пользования и созданы для двунаправленного общения. Но обладая объемом памяти, исчисляемым в гигабайтах, такие устройства могут хранить огромные объемы информации.

Средства судебной экспертизы позволяют извлечь большое количество информации из мобильных устройств. Существует несколько книг, посвященных этому вопросу, а также множество инструментов для ведения расследования. Снимки экрана, SMS-записи, журналы звонков, информация о местоположении, документы, фотографии и другая информация за определенный промежуток времени могут быть получены и представлены в графическом виде для получения полной картины об использовании устройства. Это не новость, но пользователи едва ли осознают это, так как их больше заботит простота и свобода, которую дают им мощные и функциональные мобильные устройства.

Проблема № 2: осведомленность

Осведомленность о возможностях и побочных эффектах использования технологии является важнейшим фактором при принятии решения с учетом возможного риска. В этом смысле я благодарен Аллану и Уордену. А несогласие Алекса Левинсона (Alex Levinson), судебного эксперта, с тем, что заявление о сборе такой информации является чем-то новым, дает возможность понять существенную разницу между осведомленностью и образованием. Образование предполагает глубокое понимание предмета, в котором обычно сильно заинтересованы всего несколько сторон, а осведомленность — общее предоставление информации, доступное даже для тех, кто мало интересуется данным вопросом. Образование по данному вопросу существовало ранее, о чем свидетельствует работа Левинсона и др. авторов, написавших книги по этой теме. Тем не менее Аллану и Уордену удалось в дискуссионной и сенсационной манере визуально представить данные о возможностях и операциях устройств, которые в противном случае мало кому были бы интересны.

Оценка и доступность данных, важных для судебного разбирательства

Понимание того, какая именно информация собирается и передается, является важным фактором оценки рисков, связанных с определением местоположения. Многие специалисты корректно указали, что для извлечения данной информации необходим либо физический доступ к устройству (чтобы использовать оборудование сбора судебной информации) или компьютеру пользователя (чтобы получить доступ к незашифрованным резервным копиям данных, хранимым на устройстве), либо привилегированный доступ к устройству (например, с помощью уязвимостей в системах безопасности в сети, позволяющих взломщику получить доступ ко всему содержимому устройства). Во всех этих случаях взломщик не только имеет практически полный доступ к личной информации пользователя, но также может выполнять различные действия. С учетом этих соображений незащищенность примерных данных о местоположении кажется менее важной, чем других сведений, которые станут доступны злоумышленнику.

Сравнивая сведения о местоположении с другими данными, содержащимися на устройстве, многие приходят к выводу, что информация о местоположении не так уж и важна. Кто-то может сказать, что по сравнению с незащищенностью других данных сведения о местоположении — пустяки. В конце концов, теперь пользователи могут читать сообщения электронной почты, просматривать фотографии детей или изучать календари запланированных отпусков.

Аналогичный обзор может быть сделан для всей информации, хранимой на интеллектуальных устройствах. Пользователям следует рассмотреть спектр потенциальных угроз и оценить, может ли сбор данных устройством привести к серьезным последствиям, если эти данные станут доступны. Для некоторых типов данных в таких оценках зачастую не будет необходимости, поскольку спектр угроз слишком узок или из-за того, что подробный анализ стоит дороже, чем простое предотвращение. То есть, если вы не хотите, чтобы ваше местонахождение отслеживалось, можно просто не брать с собой устройства, записывающие и передающие соответствующие данные. Но для некоторых типов информации ситуация может быть не очень ясной, и проведение такой оценки целесообразно.

Проблема № 3: одно решение для всех проблем безопасности

Некоторых людей беспокоит отслеживание даже примерного местоположения. Это может быть важнее, чем доступность других данных, хранящихся на устройстве. А это значит, что цена за использование устройства, в котором постоянно хранится журнал с записями, может быть слишком высокой. Да, возможно, это правда, что для большинства людей этот риск невысок, но без осведомленности и понимания возможности использования данных не каждый может оценить возможный риск в полной мере. По этой причине недавняя победа в гонке по определению местоположения на интеллектуальных устройствах является очень важной. Она не только повысила уровень осведомленности о хранимых на устройствах данных. Ее организаторам следует предоставить дальнейшее рассмотрение других рисков, связанных с использованием интеллектуальных устройств. Необходимо понимать, что не существует универсальных методов обеспечения безопасности, именно поэтому такие исследования имеют важное значение. Для многих эти риски также и останутся незначительными, особенно по сравнению с выгодой от использования устройств. Но для некоторых такие открытия могут быть весьма ценными.

Оригинальная статья на английском языке:  http://blogs.cisco.com/security/iphone-location-tracking-important-even-if-it-doesnt-matter-to-you/

А что думаете Вы о факте отслеживания и записи собственных перемещений?