ITBN CONF-EXPO 2021
Jelszókezelésről, hekkerekről és más kritikus tényezőkről is szó esett az idei ITBN CONF-EXPO szakmai összefogás konferenciáján, amely programját az érdeklődők szeptember 28-29. között élőben követhették.
Az idei konferencia mottója a “Locked down? Opened up?”, amely nem csak a karantén utáni nyitásra, hanem annak hatásaként a digitalizáció és kibervédelem alakulására is utal. A cégek online működésre kényszerültek, amely segített túlélni a fizikai korlátozások okozta nehézségekkel szemben, azonban a digitalizáció a rosszfiúk tevékenységéhez is jelentősen hozzájárult, hiszen a biztonság kialakítására már kevesebb cég fektetett hangsúlyt. Így aztán egyre több incidensről olvashattunk nap mint nap, a Zoom meetingek megzavarásától egészen a zsarolóvírus-támadásokig.
Prezetáció a céges jelszókezelésről
(Boldog Árpád, a PassMan termékfelelőse)
A hiányzó láncszem: központi, céges jelszókezelés
Mi jut eszedbe, ha meghallod az “IT biztonság” kifejezést? Valószínűleg a hálózatra, tűzfalakra, penetration tesztelésre vagy esetleg a mentésre gondolsz először, de mi a helyzet a jelszókezeléssel?
Sokan vélik úgy, hogy ezen a területen minden rendben van, de sajnos ez téves! Tény, hogy a biztonsági események több mint 2/3-át belső felhasználók okozzák, ezért mindig ott a kockázat, hogy akár a Te cégednél is történhet belső visszaélés. De nem azért, mert bűnözőkkel dolgozol együtt, hanem mert a munkatársaid el akarják végezni a munkájukat. Ha nincsenek szabályok és jogosultságok, akkor a felelősségtudat nélkül úgy kezelik a céges adatokat, ahogy akarják… a legtöbbször persze nem úgy, ami javítja az IT biztonságot…
Sokan szeretik fejben tárolni a jelszavakat, hiszen onnan senki nem lophatja el azokat. A legtöbbször ez csak úgy lehetséges, ha figyelmen kívül hagyja a következő biztonsági elvárásokat:
- Minden fiókhoz más legyen a jelszó,
- A jelszó legalább 8 karakterből álljon,
- A jelszó tartalmazzon számot, kis- és nagy betűt, valamint speciális karaktert is.
Ez azt jelenti, hogy mindenhol ugyanazt a gyenge jelszót fogja használni, hogy könnyen, mindenféle plusz erőfeszítés nélkül megjegyezze a hitelesítő adatokat. De nem mindenki szereti fejben tárolni a jelszavait, sokan inkább Excel-ben, Word-ben, jegyzetfüzetben vagy éppen monitorra kiragasztott cetliken tárolják azokat. Előfordul, hogy a felhasználó kap e-mailben egy jelszót, amit lustaságból ott fog tárolni és majd visszakeresi, ha kell. Ezek veszélyes gyakorlatok, mert bárki ellophatja, sőt nem is ellenőrizhető, hogy ki, mihez fér hozzá.
Mire jó a céges jelszókezelő?
A céges jelszókezelő nyilvántartja a hitelesítő adatokat, így nem kell azokat fejben, vagy más módon tárolni. Ennek köszönhetően erős jelszavakat tudsz használni, így azokat nehezebb is feltörni. Persze nem kell kitalálnod, hiszen generál neked (ajánlott! – a szerk.), ha szeretnéd!
Jelszókezelővel ki lehet iktatni a jelszavak újrafelhasználását, így ha véletlenül egy jelszó is rossz kézbe kerülne, a többi fiókot attól még nem fogják feltörni.
A jó jelszókezelő megkönnyíti a jelszavak beírását és könnyű kezelhetőséget biztosít a felhasználóknak, hiszen a cél, hogy a felhasználó szeresse használni, mert így fog csak leszokni az elavult módszerek használatáról.
Az említett elvárásokat teljes körűen kielégíti az általunk fejlesztett PassMan céges jelszókezelő!
Céges vs magán jelszókezelés, mi a különbség?
Egyszerű, a magán jelszókezelők nem alkalmasak céges használatra. Nem erre készültek. Ahhoz, hogy ezt megértsd, nézzük meg, hogy melyek a céges jelszókezelésre jellemző funkciók, amivel egy magán jelszókezelő (pl. KeePass) nem rendelkezik:
– Központi jogosultságmegosztás: meg kell tudni határozni, hogy melyik jelszóhoz/titokhoz ki férhet hozzá, és milyen műveleteket végezhet. FONTOS, hogy nem a rendszergazdák, hanem az adatok gazdái határozzák meg, hogy ki mihez férhet hozzá.
– Automatikus jelszóváltoztatás: a jelszót használat után akár azonnal meg tudjuk változtatni.
– Jelszóbiztonság: a felhasználó úgy tudja használni a célrendszert, hogy SOHA nem látta a felhasználónevet és a jelszót. Ha nem látta, akkor nem is tudja felírni.
– Auditálhatóság: lássuk, hogy ki mihez fért hozzá, mit csinált a céges jelszavakkal.
Vannak-e kockázatai, ha nem használunk céges jelszókezelőt?
Ha nincs bevezetve központosított (céges) jelszókezelő, akkor a munkatárs nem tud hatékonyan dolgozni. Egy marketinges átlagosan 30-40 felhő alkalmazást használ a munkája során. Ezekre az alkalmazásokra főleg céges email címmel regisztrálnak. Ha a munkatárs távozik, akkor nem adja át a rendszerek listáját, mert egy csomóról még a főnökeinek sincs tudomása. Ha belép az új munkatárs, nem fogja ismeri az előző felhasználó által használt rendszereket és jelszavakat sem, ezért ismét elkezdődik egy alkalmazásokat kereső folyamat, ami több hónapig is eltarthat.
Mindenképpen lassabb és kockázatosabb munkamenetre kell számítani jelszókezelő nélkül, hiszen gyakran kell keresgélni a jelszavakat, esetleg újat is kell igényelni, ami lassítja a munkavégzést.
Jelszókezelő nélkül tovább élnek az elavult praktikák, így nagyobb a belső visszaélések, adatlopások kockázata is. A jogosultságkezelés és visszakövethetőség hiánya miatt lehetetlen biztonságban tartani a jelszavakat.
Nagyon gyakori eset, amikor a felhasználó figyelmetlenségből ad ki céges adatokat. Ezt okozhatja egy adathalász email vagy weboldal is. Céges jelszókezelő használata esetén a felhasználó nem ismeri az adott weboldalhoz tartozó jelszót ezért nem is tudják ellopni tőle.
Talán nem is kell túlragozni, hogy a legnagyobb kockázatot a kibertámadások jelentik, amelyek gyakran tízmilliós károkat képesek okozni. A zsarolóvírusok eltitkosítják a cég adatait, majd váltságdíjat követelnek érte. Csak akkor adják vissza az adatokat, ha fizetünk. A profi szoftverek nem csak titkosítanak, hanem értelmezik is az adatokat, amihez hozzáférnek. Ha egy olyan Excel állományt találnak, amelyben usernév/jelszó párosok vannak (pl. administrator, rendszergazda, root, admin), akkor a zsarolóvírus megpróbál belépni a felfedezett jelszóval a másik rendszerbe is, és az ott található adatokat is titkosítja. Érdemes odafigyelni, mert 2021 a zsarolóvírusok éve. A hekkerek hazánkat sem kerülik el, amit az Unixautót ért támadás is jól bizonyít.