День смены пароля нужен аналог

1 февраля — день смены пароля; Хотя это и неофициально, многие технические сайты рекламируют этот день своим читателям. Пользователей просят сменить пароли в этот день для повышения безопасности.

Хотя, безусловно, есть моменты, когда смена паролей имеет смысл, например после взлома онлайн-сервиса, успешной вирусной атаки, случайного обмена или повышения надежности пароля, как правило, утверждение, что нужно менять все пароли в этот день, никогда не имело большого смысла.

Я бы предпочел, чтобы этот день был переименован в «день проверки паролей». Пользователи могли проверить свои пароли по базе данных Have I Been Pwned (локально) и изменить пароли, просочившиеся в Интернет.

Пользователи также могут проверить надежность паролей и изменить пароли, которые алгоритмы проверки надежности считают слабыми, или начать использовать диспетчер паролей, если это разрешено в среде.

Также стоит рассмотреть двухфакторную аутентификацию и другие расширенные параметры безопасности, если они доступны.

Проверьте день безопасности вашего сервера

Предлагаю коллеге сменить пароль день: проверьте день безопасности вашего сервера (свободно основано на Статья Юргена Шмидта о Heise), мой собственный Статья о защите паролей от 2012 г., а также безопасность паролей: что знают пользователи и что они делают. Хотя атаки методом грубой силы или целевые атаки могут украсть учетные данные пользователей, одна из самых серьезных угроз исходит от взломанных серверов компании.

Является ли взлом успешным из-за социальной инженерии, неправильно настроенных серверов, незащищенных уязвимостей безопасности, устаревших библиотек или компонентов или уязвимостей нулевого дня, не имеет значения с точки зрения пользователя.

Миллиарды наборов паролей доступны бесплатно в Интернете. Эти наборы, Меня уговорили перечисляет только 6,4 миллиарда залоговых аккаунтов с 340 сайтов — это лишь верхушка айсберга. Они появляются в результате успешных взломов и либо сразу публикуются в сети, предлагаются для продажи, либо используются без их публичной утечки.

Репутация компании страдает, если она подвергается успешной атаке, но похоже, что большинство из них довольно быстро возвращаются к «обычному бизнесу» после нарушений.

Компании должны использовать «день проверки безопасности сервера» для повышения безопасности. Вероятно, недостаточно делать это один раз в год, но этот день можно использовать для проведения тщательных тестов и повышения безопасности, например путем внедрения новых форм безопасности или улучшения существующих.

Даже если вы, как пользователь службы, выберете самый надежный пароль, который только можно вообразить, вы все равно можете обнаружить, что он попал в руки преступников, которые сбрасывают базы данных паролей.

Все, что я пытаюсь сказать, это то, что компании должны брать на себя ответственность. Недостаточно сбросить пароли учетных записей после взлома и справиться со всей ситуацией; компаниям необходимо проактивно повышать безопасность и регулярно проверять безопасность серверов, чтобы полностью блокировать определенные направления атак.

Теперь ваша очередь: Следует ли компаниям лучше защищать свои серверы?