par Martin Brinkmann le février 02, 2019 en matière de Sécurité – Pas de commentaires
Le 1er février est de changer votre mot de passe de jour; bien que non officiel, de nombreux tech des sites d’annoncer le jour de leurs lecteurs. Les utilisateurs sont invités à changer leur mot de passe ce jour-là pour améliorer la sécurité.
Bien qu’il existe certainement des moments où la modification des mots de passe de sens, par exemple, après une rupture d’un service en ligne, le succès d’une attaque de virus, de partager accidentellement, ou pour augmenter la force d’un mot de passe, généralement indiquant que l’on doit changer tous les mots de passe ce jour-là n’a jamais fait beaucoup de sens.
Je préfère la journée pour être renommé “vérifiez vos mots de passe la journée” à la place. Utilisateurs de tester leurs mots de passe contre la j’Ai Pwned base de données (en local), et de changer les mots de passe qui ont été divulgués à l’Internet.
Les utilisateurs peuvent également vérifier la solidité des mots de passe et de modifier les mots de passe qui sont considérés comme de la faiblesse par la force de la vérification des algorithmes, ou de commencer à utiliser un gestionnaire de mot de passe si cela est permis dans l’environnement.
L’authentification à deux facteurs et d’autres options de sécurité avancées, si elles sont disponibles, sont également à considérer.
Vérifiez votre serveur journée de la sécurité
Je propose un homologue de changer votre mot de passe du jour: vérifier votre serveur journée de la sécurité (vaguement basé sur Jürgen Schmidt article sur Heise), mon propre Mot de passe de Sécurité de l’article à partir de 2012, et le mot de passe de sécurité: ce que les utilisateurs savent et ce qu’ils font. Alors qu’il est certainement vrai que les attaques par force brute ou d’attaques ciblées peuvent voler des identifiants de l’utilisateur, l’une des plus grandes menaces qui vient de serveurs de l’entreprise qui se piraté.
Si le hack est une réussite, car de l’ingénierie sociale, de serveurs mal configurés, non corrigés des failles de sécurité, de la date de bibliothèques ou de composants, ou 0 vulnérabilités à jour n’est pas pertinent d’un point de vue utilisateur.
Des milliards de mot de passe sont disponibles librement sur Internet. Ces sets, j’ai Été Pwned listes de 6,4 milliards de dollars pwned représente à elle seule à partir de 340 sites, ne sont que la pointe de l’iceberg. Ils viennent de la réussite des infractions et sont publiées sur le Net, offert à la vente ou utilisé sans jamais être divulgué publiquement.
Les entreprises de réputation en souffre si ils sont attaqués avec succès, mais il semble que la plupart des aller retour au “business as usual” rapidement, très rapidement après les violations.
Les entreprises doivent utiliser le “vérifier votre serveur journée de la sécurité” pour améliorer la sécurité. Il n’est probablement pas assez pour le faire une fois par an, mais la journée pourrait être utilisé pour exécuter des tests et pour améliorer la sécurité, par exemple par la mise en œuvre de nouvelles formes de sécurité ou d’améliorer celles qui existent.
Même si vous, en tant qu’utilisateur d’un service, sélectionnez le plus fort du mot de passe imaginables, vous pouvez toujours trouver qu’il est tomber dans les mains de criminels que de vidage de mot de passe des bases de données.
Tout ce que je veux dire, c’est que les entreprises doivent prendre leurs responsabilités. Il ne suffit pas de réinitialiser les mots de passe de compte après une infraction et être fait avec l’ensemble de la situation; les entreprises à la nécessité d’améliorer la sécurité de manière proactive et de vérifier la sécurité du serveur régulièrement pour bloquer certains vecteurs d’attaque pure et simple.
Maintenant, Vous: si les entreprises à mieux sécuriser leurs serveurs?