Penetrationstester avslöjar dålig lösenordshygien

Media rapporterar om miljontals läckta lösenord och stora dataintrång. Säkerhetsriskerna mot din IT-miljö växer sig allt större, och är svåra att kontrollera. En viktig faktor är att tidigt upptäcka sårbarheter, för att snabbt täppa till luckorna. Ett effektivt sätt att upptäcka dessa sårbarheter är med hjälp av säkerhetsföretag som simulerar attacker. Många internationella regelverk, som PCI DSS, antingen kräver eller rekommenderar att årliga penetrationstester utförs av tredje part.

En av de vanligaste anledningarna till att organisationer inte godkänns i penetrationstester är ineffektiv lösenordspolicy och användning av svaga lösenord. Följande är fortfarande mycket vanligt i många organisationer:

• Användning av svaga lösenord eller standardlösenord
• Återanvändning av lösenord: Det kan vara anställda som återanvänder sina företagslösenord på andra konton på nätet. Det kan även vara administratörer som använder samma lösenord till sina domänkonton som till andra konton som borde ha högre säkerhet.
• Inkrementella lösenord: Användare lägger till siffror i slutet av sina lösenord och ändrar endast dessa siffror när de ändrar sina lösenord.

Om du vet med dig att ni har någon av dessa säkerhetsluckor i er miljö, är det viktigt att du snabbt vidtar åtgärder. Det första steget är att täppa till luckorna med hjälp av teknik. Specops Password Policy kan hjälpa er driva igenom användandet av starka lösenord. Med Specops Password Policy kan du:

• Förbjuda användandet av användarnamn i lösenord
• Förbjuda samma tecken efter varandra
• Förbjuda vanliga tecken i början eller slutet av lösenord
• Förbjuda uppslagsord
• Förbjuda lösenord från listor med läckta lösenord
• Aktivera lösenfraser

Nästa steg är att ta itu med den mänskliga faktorn – anställda göra vanliga misstag eftersom de inte är medvetna om säkerhetsriskerna. Organisationer bör kommunicera vad god lösenordshygien och vad IT-säkerhet innebär.