Перейти к содержанию

Как защитить пароли для рабочих приложений

KL FC Bot
 Share

Рекомендуемые сообщения

KL FC Bot Гигант мысли

KL FC Bot

Опубликовано
Опубликовано

Мы уже писали про онлайн-инструменты, которые привносят новые риски наряду с преимуществами. Однако они также повышают уровень старой, хорошо знакомой угрозы — утечки учетных данных. Все эти сервисы требуют создать пароль для входа, увеличивая общее количество паролей, необходимых сотруднику.

Для эффективной работы команды каждому ее участнику уже необходимо иметь доступ как минимум к корпоративной почте, мессенджеру и системе ведения проектов. Некоторым сотрудникам нужно работать с админкой сайта и корпоративными аккаунтами в социальных сетях, которых обычно несколько. Кто-то занимается рекламой, а значит, должен иметь доступ к рекламным кабинетам в тех же соцсетях. Кто-то работает с графикой, кто-то — с бухгалтерской отчетностью.

Короче говоря, у компании может быть достаточно много учетных данных для разных сервисов и облачных решений. При этом чем меньше бизнес, тем, как правило, больше аккаунтов сосредоточено в одних руках. Велик соблазн использовать один пароль или вариации на его тему. Но делать этого ни в коем случае нельзя.

Чем плох один пароль на все сервисы

Совет не использовать один пароль для нескольких аккаунтов — не новый. Но со временем он не теряет актуальности, а наоборот, набирает ее. Вы слышали о проекте Haveibeenpwned? Этот сервис позволяет проверить, не засветился ли ваш пароль в утечках данных.

На момент публикации количество учетных записей в его базах приближается к 10 миллионам и ежедневно растет. В Haveibeenpwned попадают только те данные, что оказались в открытом доступе. То есть у киберпреступников, которые получают такую информацию еще и с хакерских форумов в даркнете, коллекции, скорее всего, значительно богаче.

Это означает, что, наметив цель (добыв ее адрес электронной почты, который в большинстве случаев работает как логин), киберпреступник может узнать и утекшие пароли, связанные с ней. Если он увидит, что сотрудник использует один пароль для всех сервисов, или поймет, как именно тот меняет пароли, то все, что останется злоумышленнику, — посмотреть, где еще зарегистрирован тот же адрес. А это достаточно просто — в сети полно сервисов, которые позволяют это делать. Мы рассказывали, как это работает, в посте «Как злоумышленники собирают информацию для целевого фишинга».

Почему записывать пароль на бумажках — плохая идея

Раз уж использовать один пароль — опасно, а память — не бездонная, пароли, очевидно, придется где-то хранить. Да, вы угадали, мы опять про стикеры с паролями в офисе. Однако раньше мы обычно заостряли внимание на угрозе со стороны случайных посетителей или коллег, которым ваши пароли знать тоже незачем. Но сейчас большую опасность представляют селфи.

Желание похвастаться новой прической, новой футболкой или собственным лицом — угроза безопасности компании. Если любитель селфи сидит в опенспейсе, то в его фотографии могут попасть соседи, их мониторы, кактусы или бумажки с паролями.

Многие компании также снимают офисные будни и выкладывают видео или фото в официальные каналы, чтобы подчеркнуть человечность бренда. На этих материалах тоже могут оказаться конфиденциальные данные.

Как правильно хранить пароли

Отдельный блокнот немногим лучше стикера — никогда не знаешь, когда он попадет в кадр в открытом виде. Поэтому мы советуем пользоваться менеджером паролей. Он позволяет помнить только один пароль (который можно сделать достаточно сложным). Главное больше не использовать этот ключ где-либо еще.

Мы обновили Kaspersky Small Office Security, решение, созданное специально для нужд малого бизнеса. В него входит менеджер паролей Kaspersky Password Manager — по лицензии на каждый защищаемый компьютер. Он не только позволяет надежно хранить учетные данные и другую конфиденциальную информацию, но и генерирует сложные пароли для сервисов и решений. Узнать больше о продукте и приобрести его можно на странице Kaspersky Small Office Security .

View the full article

Ссылка на комментарий
Поделиться на другие сайты
Friend Корифей

Friend

Опубликовано
Опубликовано

Возникает вопрос: почему в портале ksos.kaspersky.com нет радела Пароли по умолчанию, хотя в составе  Kaspersky Small Office Security  есть  Kaspersky Password Manager? Если же использовать my.kaspersky.com, там есть раздел Пароли.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Mason19
      Строка поиска на рабочем столе.
      От Mason19
      Приветствую, по клавиатуре ноутбука прошелся кот и появилось поле для ввода поискового запроса с надписью: "введите текст здесь", подобное окно еще удалось вызвать на стационарном ПК, но что нажимал уже не помню. Какая программа или служба его вызывает? Окно похожее как на скришоте, только там Windows 11, а у меня на обоих ПК стоит Windows 10.

    • gennadij-zaripov
      Ярлыки, иконки приложений.
      От gennadij-zaripov
      После сегодняшнего обновления 11 винды пропали все ярлыки и иконки, остались только названия, также не открывается диспетчер задач свойства диска. Может ещё что-то, это первое, на что обратил внимание после обновления и перезагрузки. Команду sfc /scannow выполнил. Всё в порядке. Кэш иконок скидывал.
       

    • Lotte
      Запретить запуск taskmgr на одной рабочей станции
      От Lotte
      Добрый день.
       
      Помогите подскажите возможно ли так сделать? 
       
      Читал статью Запрет запуска объектов установил веб консоль на сервер там же от куда Касперский устанавливается на рабочие станции, подключился под доменным админом и дальше не могу понять.
      Пытаюсь новую политику создать и страница зависает.
       

       

       
      Kaspersky Security Center 13.2 Web Console: 13.2.571
      Версия Сервера администрирования: 13.2.0.1511
    • KL FC Bot
      Новые требования к надежности и хранению паролей
      От KL FC Bot
      Требования, которые онлайн-сервисы предъявляют при проверке своих пользователей, — будь то длина пароля, обязательное указание номера телефона или необходимость биометрической проверки с подмигиванием, зачастую регулируются индустриальными стандартами. Одним из важнейших документов в этой сфере является NIST SP 800-63, Digital Identity Guidelines, разработанный Национальным институтом стандартов и технологий США. Требования этого стандарта обязательны для выполнения всеми государственными органами страны и всеми их подрядчиками, но на практике это означает, что их выполняют все крупнейшие IT-компании и действие требований ощущается далеко за пределами США.
      Даже организациям, которые не обязаны выполнять требования NIST SP 800-63, стоит глубоко ознакомиться с его обновленными требованиями, поскольку они зачастую берутся за основу регуляторами в других странах и индустриях. Более того, свежий документ, прошедший четыре раунда публичных правок с индустриальными экспертами, отражает современный взгляд на процессы идентификации и аутентификации, включая требования к безопасности и конфиденциальности, и с учетом возможного распределенного (федеративного) подхода к этим процессам. Стандарт практичен и учитывает человеческий фактор — то, как пользователи реагируют на те или иные требования к аутентификации.
      В новой редакции стандарта формализованы понятия и описаны требования к:
      passkeys (в стандарте названы syncable authenticators); аутентификации, устойчивой к фишингу; пользовательским хранилищам паролей и доступов — кошелькам (attribute bundles); регулярной реаутентификации; сессионным токенам. Итак, как нужно аутентифицировать пользователей в 2024 году?
      Аутентификация по паролю
      Стандарт описывает три уровня гарантий (Authentication Assurance Level, AAL), где AAL1 соответствует самым слабым ограничениям и минимальной уверенности в том, что входящий в систему пользователь — тот, за кого себя выдает. Уровень AAL3 дает самые сильные гарантии и требует более строгой аутентификации. Только на уровне AAL1 допустим единственный фактор аутентификации, например просто пароль.
       
      View the full article
    • ГГеоргий
      Контроль запуска приложений
      От ГГеоргий
      Добрый день!
      подскажите пожалуйста, как лучше реализовать следующий функционал - 
      Нам немобходимо чтобы создался перечень определенных приложений на армах в группах, и было разрешено открывать-запускать исключительно эти приложения.

      Проблемы с которыми мы столкнулись6
      На Linux можно создать Golden Image для этого, а в виндовой версии такого нет.
      При экспорте перечня программ из реестра приложений мы получаем csv или txt файлы, в то время как компонент "контроль приложений" принимает на импорт только xml.
      Вручную добавлять программы не вариант, тк их может быть очень много
      Через задачу "формирования правил контроля запуска программ" это тоже делается с трудом, тк там можно выбрать из уже запущенных программ, и из отчетов KSC, нам же необходимо скопом закинуть туда перечень
      И кроме того при формировании правил контроля запуска программ  в блоке "по завершении задачи" есть пункт "Экспортировать разрешающие правила в файл." Там необходимо указать полный путь к файлу xml (для экспорта) но как бы мы не указывали - получаем ошибку неверный путь. Подскажите что можно сделать? 
×
×
  • Создать...