Soru:
İş arkadaşlarınızı güçlü parolalar kullanmaya motive edin
bam
2018-06-04 12:35:05 UTC
view on stackexchange narkive permalink

Genişleyen bir şirket için çalışıyorum ve şu anda yeni bir BT altyapısı ve birkaç şirket politikası (gizlilik / güvenlik kuralları) oluşturuyoruz.

En büyük endişelerimden biri şifre kurallarının kabulüdür Parola normal ifadelerini zorunlu kılamadığımız ortamlarda çalışan birkaç iş arkadaşım tarafından. 50'li yaşların sonundalar ve son derece güvensiz şifreler kullanıyorlar. Şifrelerini toplayabilmem (onları hiçbir zaman aktif olarak toplamadım; sadece bazı notlarda ve belgelerde yazılı olarak gördüm) başımı ağrıtıyor.

Onlarla şifreleri hakkında yüzleştiğimde 5-7 karakter uzunluğunda şifreler (çoğunlukla bazı doğum tarihi ve baş harfleri içerir) "Bu şifreyi uzun yıllardır kullandım ve hiç sorun yaşamadım!" gibi yanıtlar alıyorum. Hatta çalışma ortamı için "kişisel şifrelerini" bile kullanıyorlar (dürüst olmak gerekirse, bunu her şey için kullanıyorlar).

Her zaman XKCD-Way için ayağa kalkarım - To-Password-Security, ancak iş arkadaşlarım için soruna ilişkin farkındalık yaratmada başarısız oluyor. Daha da kötüsü, endişelendiğim iş arkadaşları endişelerimi bir şaka olarak görüyor.

Biz yüksek güvenlikli fiziksel erişim kontrol çözümleri geliştiricisi ve sağlayıcısıyız ve bunu yapamıyorum İş arkadaşlarımı bu kadar yüksek güvenlikli bir şirketin çalışanı gibi davranmaya motive ediyorum (ki bu çok saçma).

Normalde zayıf şifreler kullanmalarını umursamam. Ancak,

  • Şirketin itibarının risk altında olduğunu görüyorum.
  • Bazı posta hesaplarımıza ve güvenlik duvarımıza yönelik doğrudan saldırıları zaten izledim.
  • Bir sızıntı olması durumunda şirketin verileri, sırları ve müşterileri risk altında olacaktır.

Dolayısıyla bu bağlamdaki sorularım:

  • Nasıl yaparım Onları zorlamaktan başka yollarla motive ederek, "şifre ruhunu" sürdürmeleri ve sadece konuya göz kulak olduğum süre boyunca oynamamaları için değil?
  • gibi ifadelere en iyi nasıl yanıt verebilirim? "Bu şifreyi yıllardır kullandım ve hiç sorun yaşamadım!" ?
  • İnkar edenleri patronuma iletmeli miyim (şifre kuralları ve güvenlikten beni sorumlu tutan kişi)?
    • İnkarcıları bunu patronumuza iletmekle tehdit etmeli miyim?

İki faktörlü kimlik doğrulama (2FA) vb. kullanımını düşündüğümde pek çok yanıt gördüm. Şirketimiz için 2FA veya donanım belirteçleri tanıtmak isterim ve biz gerçekten de onu uygulama yollarını kontrol ediyor.

Ancak, kontrol edemediğimiz ortamlar var, örneğin bir kullanıcı adı ve şifre kullanmamız gereken müşterilerimizin veya tedarikçilerimizin platformlarını kullanmamız gerekiyorsa. Orada çalışanlarımızın güvenli şifrelerine güvenmemiz gerekiyor.

Yorumlar uzun tartışmalar için değildir;bu konuşma [sohbete taşındı] (https://chat.stackexchange.com/rooms/78473/discussion-on-question-by-benedikt-mokross-motivate-coworkers-to-use-strong-passw).
Normal ifadeler çok zaman alır.Lütfen yapma.Bunun yerine onları uzun yapın.
Keşke size kişisel olarak mesaj gönderebilseydim ve kaba olmasaydım, ancak benzersiz bir adınız olduğunu fark edeyim, muhtemelen nerede çalıştığınızı bir google aramasından belirleyebiliriz - ve şimdi zayıf şifreleriniz / ideal kimlik avı hedefleriniz olduğunu biliyoruz.Bu sorunun oldukça görünür olduğunu ve muhtemelen milyonlarca yerde önbelleğe alındığını biliyorum, ancak yine de, yapabiliyorsanız silerim.Belki hesabınızı silerek sorunun "silinmiş" olarak görünmesi için?
On bir yanıtlar:
Old_Lamplighter
2018-06-04 18:09:32 UTC
view on stackexchange narkive permalink

Çalıştığım bir yerde çok basit bir yöntem vardı.

Son kullanıcıları periyodik olarak şifre kırma ve kimlik avı e-postaları yoluyla rastgele test ediyorlardı.

Başarısız olan herkes tekrar çevrimiçi güvenlik kursuna katılmak zorunda kaldı ....

Bu, gerçek bir disiplin cezasına gerek kalmayacak kadar acıydı. Kursa tekrar girmek zorunda kalmaları onları dikkatli olmaları için yeterliydi.

Böyle bir politika uygulayabilirseniz, özellikle yaşlı insanlarda işe yarayacaktır. Biliyorum, ben de öyleyim.

İyi çalışmasının nedeni, insanların canını sıkması, ancak protesto için yeterli olmaması. Eğer sinirlenirlerse, cevap basittir. "Bir güvenlik ihlali oldu, disiplin değil yeniden eğitiliyorsunuz".

Amaç cezalandırmak değil davranışı düzeltmektir.

Yorumlar uzun tartışmalar için değildir;bu konuşma [sohbete taşındı] (https://chat.stackexchange.com/rooms/78510/discussion-on-answer-by-crossed-the-river-styx-motivate-coworkers-to-use-strong).
Bu çok zekice pasif-agresif.
Kilisi
2018-06-04 13:23:02 UTC
view on stackexchange narkive permalink

Bu normalde, konu hakkında herhangi bir diyaloğa ihtiyaç duyulmaksızın kullanıcılar üzerinde şifre karmaşıklığı zorlanarak halledilir.

Bunu yapmak istemezsiniz, bu da sizin açınızdan bir güvenlik gevşekliği olduğunu gösterir. BT, hafifletme araçları varken kolay yolu seçtikleri için kullanıcıları suçlamamalıdır.

Güvenliği gerçekten ciddiye alırsanız, bu senaryoda onu elde etmek için normal yöntemi kullanmanızı öneririm.

Yorumlar uzun tartışmalar için değildir;bu konuşma [sohbete taşındı] (https://chat.stackexchange.com/rooms/78509/discussion-on-answer-by-kilisi-motivate-coworkers-to-use-strong-passwords).
user
2018-06-04 14:11:03 UTC
view on stackexchange narkive permalink

Bir gösteri, en etkili teknik olabilir. Şifrelerini, çalınan şifrelerden oluşan bu veri tabanına karşı test etmelerini önermeyi deneyin: https://haveibeenpwned.com/Passwords

Çalınmış olup olmadıklarını görmek için e-posta adreslerini de kontrol edebilirler çok: https://haveibeenpwned.com/

Bu veritabanında bir şifre olması, kırmanın kolay olacağı anlamına gelir. Hem bir e-posta adresinin hem de şifrenin çalınması, herhangi bir hesabın bunları kullanmasının tehlikeye girme olasılığının çok yüksek olduğu anlamına gelir.

Kesinlikle, hasibeenpwned üzerinde yeni aday parolayı kontrol eden ve varsa veya orada varsa belirli bir frekansın üzerindeyse reddeden otomatik parola doğrulamasını uygulayabilirsiniz.
_ [Zayıf parola girer.] _ `Hacklenmiş 24.037 Yahoo hesabı buna çok benzer bir parola kullandı.Lütfen daha iyi bir şifre seçin.` _ [Biraz daha zayıf şifre girer.] _ `758 hacklenmiş LinkedIn hesabının şifresi sizinki gibi.Lütfen daha iyi bir parola seçin.
@walen _ [güçlü şifre girer] _ * 0 hesap buna benzer şifre kullandı.İleride kullanılmak üzere kaydedilen IP ve Şifre *
@Baldrickk, için +1 Yarım milyar şifre indirilebilir.Şirket, Baldrickk'in tanımladığı potansiyel problemden kaçınmak için kendi aracını yapmakta daha iyidir.
@StephanBranczyk Daha spesifik olarak, karmalar.Ayrıca k-anonimliği ile korunan aramalar da yapabilirsiniz.
Kullanıcıları internetteki herkese açık bir siteye e-posta ve şifreleri göndermeye teşvik etmek, iyi bir güvenlik politikasının tam tersi gibi görünüyor.
@Freiheit: Bu durumda, aslında sorun değil, bkz. Https://www.troyhunt.com/ive-just-launched-pwned-passwords-version-2/#cloudflareprivacyandkanonymity
@JohnEye bu projenin teknik kontrolleri endişelerimi gidermiyor.Kullanıcılara şifreleri paylaşmayı hiç öğretmeyin, çünkü bir denetleyici tam anlamıyla anonim olduğundan, kullanıcılar bunu nasıl belirleyeceklerini bilmiyor ve kimlik bilgilerini sızdıracak.
@Freiheit Kullanıcılara düşünmeden belirli bir şekilde hareket etmeyi öğretmek yerine, beyinlerini kullanmayı öğretmek daha iyidir.Bu durumda BT uzmanı sorun olmadığını söyledi.Şüpheniz varsa, her zaman sormalıdırlar.Siyah ve beyaz kuralları suistimal etme eğilimindedir.
Troy aslında SE.IS kullanıyor, [bu yanıta] bakın (https://security.stackexchange.com/questions/180561/is-have-i-been-pwneds-pwned-passwords-list-really-that-useful#answer-180589) ["Pwned'in" Şifreli Şifreleri Listesi gerçekten bu kadar yararlı mı?]list-gerçekten-o-yararlı)
@walen yorumunuza eklemek için, sadece rastgele "141385" yazdım (bir doğum günü değil, sadece rastgele sayılar) ve "75 kez görüldü".100000 ile 999999 arasında bir sayı oluşturmak için random.org'u kullandım ve bana 449531 verdim, bu "33 kez görüldü".
Allan
2018-06-04 17:59:31 UTC
view on stackexchange narkive permalink

Bu, yukarıdan gelmesi gereken bir direktiftir.

Bir politikanın uygulanacağı çok zor bir konumdasınız. Son kullanıcıların tonlarca geri dönüşü oldu.

Tam da bununla karşılaştım ve en başarılı bulduğum şey, üst yönetimin satın almasını sağlayan ve politikanın yalnızca aşağı çekmekle kalmayıp, çalışanlar çözümün bir parçası ( Smokey The Bear "Orman yangınlarını yalnızca siz önleyebilirsiniz" dediği gibi)

Tartışmayı şimdiden kısa ve öz bir "adım" a koydunuz yönetim:

  • şirketler risk ve itibar
  • mevcut gelen tehditler
  • şirketin yasal maruziyeti ve sorumluluğu

Siz Rahat olduğunuz bir güvenlik politikasına dahil olmak için bunu yönetime satmanız yeterlidir

Kullanıcılarla ilgili sorunları ele alırken aşağıdaki noktaları göz önünde bulundurun:

  • "Cevaplar" ("politika" olarak da bilinir) doğrudan yöneticilerinden / denetçilerinden gelmelidir. Güvenlik kararlarını almanıza / gerekçelendirmenize gerek yoktur.

  • Bu politika, çalışan el kitabı / el kitabı ve kuruluşunuz için Kabul Edilebilir Kullanım Politikası içinde kodlanmalıdır

  • Güvenlik sorusuyla ilgili sorularını / endişelerini ele alan, onlara kolayca başvurabileceğiniz bir SSS oluşturulmalıdır; belirli soruları / yanıtları ve neden "eski yöntem" in artık kullanılmadığını vurgulamak için fazladan çaba gösterin.

  • Gelişmiş güvenlik önlemleri (mevcut kullanıcı adı / şifre kimlik doğrulamasına ek olarak) ancak bunlarla sınırlı değildir:

    • biyometrik kimlik doğrulama
    • kimlik bilgisi otomasyonu
    • iki faktörlü kimlik doğrulama

BT kariyerimin çoğunda, güvenliğin bir ürün değil, bir metodoloji olduğunu söyledim. İnsanlar (özellikle yukarıdan) satın almazsa, başarılı olamazsınız. Bu nedenle ....

Patronunuz sizi bununla görevlendirdiyse, vizyonu / politikayı / metodolojiyi yükseltmek ve satmak için patronunuzla konuşmanız gerekir. Bu olmadan başarılı olamazsınız.

"Bu politika kodlanmalıdır" - Evet, şirketin CISO tarafından yetkilendirilmiş (veya şirketin sahip olduğu herhangi bir eşdeğeri) resmi bir güvenlik politikası belgesine sahip olması gerekir.Güvenlik politikalarını bilerek ihlal etmek, disiplin soruşturması için gerekçe olmalıdır.
@SeanBurton - İnsanların * her şey için * politikayı kabul etmesi beni gerçekten şaşırtıyor (yani masanızda ocak olmaması) ancak BT politikasının göz ardı edilebilecek bir şey olduğunu hissediyorum.
Re * "Biyomedikal kimlik doğrulama" *: * "Biyometrik kimlik doğrulama" * demek istemiyor musunuz?
@PeterMortensen Evet.Bu bir yazım hatasıydı;düzeltildi.Yakaladığın için teşekkürler
OnoSendai
2018-06-04 18:24:12 UTC
view on stackexchange narkive permalink

[...] şu anda yeni bir BT altyapısı kuruyoruz [...]

Mükemmel. Bunun, kimlik doğrulama döngünüze çok faktörlü kimlik doğrulama katmanı eklemek için mükemmel an olduğunu söyleyebilirim.

Bu şekilde şifre politikalarını koruyabilirsiniz makul bir insan sınırı dahilinde (eğer onları çok sık değiştirirseniz veya parolaları çok uzun ya da çok karmaşık hale getirirseniz, bu durum post-it kullanımını ve desteklenmesi gereken çağrıların sayısını artıracak) ve yine de hesabın açığa çıkma riskini minimumda tutar.

Freiheit
2018-06-04 20:38:33 UTC
view on stackexchange narkive permalink

Kurumsal bir şifre yöneticisi kullanın. Bu, kullanıcıların hayatını kolaylaştıran ve politikaya uyan şifrelerin kullanılmasını teşvik eden bir özellik sağlar ve yöneticilerin / BT'nin uyumluluk hakkında rapor vermesine olanak tanır.

Çoğu şifre yöneticisinin, yeniden kullanılan veya zayıf şifreleri kontrol eden bir "puan kartı" vardır. Bu, güçlü şifreler kullanmayan uygunluk ve koç personelini göstermek için kullanılabilir.

Bu, kullanıcılar için bir kolaylık veya iyileştirme olarak sunulabilir ve sunulmalıdır. Çok sayıda güçlü parolayı hatırlama yükünden kurtulmuşlardır, güçlü bir parolayı hatırlamaları ve iki faktörlü koda veya cihaza sahip olmaları gerekir.

Aşağıdakiler gibi üçüncül faydalar da vardır:

  • Kilitlemek için eski veya kullanılmayan hesapları bulabilme
  • bir kullanıcı erişiminden şirketten ayrılırsa şifre yöneticisi erişimini devre dışı bırakıp ardından eski hesaplarını kilitlemek / kaldırmak için şifre yöneticisini kullanarak hızlı bir şekilde kısıtlanabilir.
  • Varsayılan olarak kurumsal karmaşıklık politikasına uyacak şekilde şifre oluşturma stratejilerinin önceden tanımlanması
  • bu, hem modern SSO hem de MFA seçeneklerinin yanı sıra eski eski seçeneklerle şimdi çalışan bir araçtır. Modernizasyon çabalarını tamamlar.
user34587
2018-06-04 13:05:58 UTC
view on stackexchange narkive permalink

Ne yazık ki, aynı basit şifreleri kullanmaya devam edecek birçok kişi var ve onları değiştirmenin önemini anlamalarını sağlamak için yalnızca ciddi bir ihlal yeterli olacaktır. Bağlamdan bakıldığında, katı yeni şifre kurallarının uygulanması, çalışanlarınızın değişmesine neden olacak gibi görünüyor. Motivasyon tek başına işe yarayacakmış gibi gelmiyor. Daha güvenli şifreler oluşturmalarını kolaylaştırmak için deneyebileceğiniz birkaç şey var:

  • Bazı şirketlerde, çalışanların her X ayda bir kendilerine yeni şifreler verme zorunluluğu vardır. Yeni parolalar oluştururken, sisteminiz, yenisinin yeterince iyi olup olmadığını görmek için bir parolanın karmaşıklığını değerlendirmek için bir araç kullanabilir. Şifrelerinin sadece 'şifre'den' Şifre1'e değişme riski vardır, ancak bu bir başlangıç ​​olabilir.
  • Çok faktörlü kimlik doğrulama önerin. Örneğin, bir kullanıcının şifresiyle oturum açması ve ardından işlemi tamamlamak için telefonuna bir kod göndermesi gerekir. Aşırı olabilir, ancak çalışanların metin tabanlı şifrelerle yollarını değiştirmemelerine kararlıysanız, bunlar ortamınızı daha güvenli hale getirmek için kalan alternatifler arasındadır.
  • Önemi vurgulayan çalışan seminerleri yapın güvenlik, yalnızca parolalarda değil, verileri güvende tutmanın diğer yollarında. Bunlar aynı zamanda, yalnızca şirket politikasının değil, veri koruma kanunlarının da çalışanların verileri güvence altına almaya daha fazla özen göstermeleri konusunda ısrar ettiğini açıklamak için bir fırsat olarak hizmet ediyor. Bu aynı zamanda, kullanıcıların şifrelerinin yazılmasını engelleyebilir!

"Yıllardır aynı şifreyi kullanıyorum ..." diyen kullanıcılara nasıl yanıt vereceğinize gelince, buna yaklaşmanın birkaç yolu vardır. Daha önce çalıştığım bir şirket büyük bir genişleme sürecinden geçtiğinde (bir rakibi kendine çekerek), diğer şirketin işinin doğası gereği yeni güvenlik prosedürleri uyguladık. Bazı insanlar, karşılaşabileceğiniz benzer bahaneleri kullandı. Cevabım "Dürüst olalım, ya şanslıydık ya da dışarıdaki kötü insanlar tarafından arzu edilen bir hedef olarak görülmedik." Yeterince, genişleme haberi geldiğinde halka açıldığında, teşebbüs edilen 'izinsiz girişlerin' sayısında dikkate değer bir artış oldu. Kullanıcılarınıza, uygulamak istediğiniz yeni kuralların bir şirket genişledikçe kaçınılmaz olduğunu vurgulayın. Onlara, gereksinimleri karşılamayan şifrelerin önümüzdeki aylarda güncellenmesi gereken bir ek süre sunun.

Elbette günlük benzetmeleriniz de var. Sağlığım iyiydi, ancak yine de belirli yerlere seyahat etmeden önce aşı yaptıracağım! Evim hiçbir zaman kırılmadı veya yakılmadı, ancak hala ev sigortamız var.

Patronunuza iletmek acil bir strateji olmamalı. Kullanıcıları bu değişiklikleri yapmaya zorlamak istemediğinizi söylediğinizi biliyorum, ancak bir kullanıcının şifresini güncelleyene kadar oturum açmasını engellemenin yolları vardır. Hiçbir şey başarısız olursa, umursamayan çalışanlara kendiniz yeni bir şifre atama yetkisine sahip olacaksınız.

Kısacası, yukarıdaki önerilerle kullanıcılarınızı teşvik etmeyi deneyebilirsiniz, ancak her şey başarısız olursa, daha fazlası sadece sizin / onların hattaki işinden. Gerekirse otoritenizi kullanın.

İlgili: [Her 90 günde bir şifrenizi değiştirmek güvenliği nasıl artırır?] (Https://security.stackexchange.com/q/4704) (bu yaklaşım * en azından * biraz tartışmalı)
@Dukeling Bunun en sevilen yaklaşım olmadığına katılıyorum, ancak OP'ye, yeni şifre kurallarının hemen yürürlüğe girmesi yerine yakın gelecekte yürürlüğe gireceği konusunda kullanıcıları en azından uyarma şansı veriyor.Kullanışlı bağlantı.
John Wu
2018-06-05 06:05:53 UTC
view on stackexchange narkive permalink

Ekip üyelerini nasıl motive edebilirim

Onları başka yollarla nasıl motive edebilirim ve sonra onları "şifre ruhunu" sürdürmeleri için zorlarım ve sadece benim Sorunun farkında mısınız?

Çalışanları bu konuda, herhangi bir politika veya prosedür konusunda onları motive ettiğiniz gibi motive ediyorsunuz.

  1. Tanımlayın. Bir parola uyumluluk politikasını açık bir şekilde tanımlayın ve belgeleyin ve diğer kurumsal politikalarınız ve prosedürlerinizle birlikte dağıtılmasını ve sosyalleştirilmesini sağlayın. Doğal olarak, bunu gerçekleştirmek için üst düzey katılımlara ihtiyacınız olacak.

  2. Ölçün . Parola uyumluluğunun periyodik olarak denetlendiği ve ekibe (bireylere değil) genel bir puanın verildiği bir sistem kurun. Bu tür bir denetim ilgisiz bir tarafça, muhtemelen yakın kuruluşunuzun dışında yapılırsa, siyasi açıdan yardımcı olabilir.

  3. Kontrol. Performans incelemelerini ve / veya tazminatı yönlendiren bir ölçüm olarak ekip şifresi uyumluluğunu dahil etmek için yönetimi alın. Örneğin, kullanıcıların% 20'sinden daha azının şifreleri zayıfsa, takım bonus alır.

Bu şekilde kimseyi suçlamaktan kaçınır, suçu üstlenmezsiniz. Gereksinimlerin ne olduğunu ve bu konuda ciddi olduğunuzu netleştirin.

"Bu şifreyi yıllardır kullandım ve hiç sorun yaşamadım!" gibi ifadelere en iyi nasıl yanıt verebilirim? ?

Bir şifrenin yeterince iyi olup olmadığı sorusu, herhangi bir bireyin kararı değil, bir politika meselesidir. Öyleyse yukarıya bakın.

Reddedenleri patronuma (şifre kuralları ve güvenlikten beni sorumlu tutan) patronuma iletmeli miyim?

Kesinlikle, ancak yapılandırılmış bir yol. Yukarıya bakın.

Bunu patronumuza iletebileceğim konusunda inkarcıları tehdit etmeli miyim?

Hayır, asla tehdit etmeyin. Tehditler kişisel olarak alınır. Yukarıya bakın.

Teknoloji, eski sistemlerde bile yardımcı olabilir

Zayıf eski güvenlik, kuruluşunuza özgü bir sorun değildir. Sorunun çözülmesine yardımcı olabilecek en az iki yaklaşım var.

  1. Kullanıcılara kurumsal bir SSO sistemi vererek yardımcı olun

    Kurumsal bir TOA sistemi tüm eski sistemleriniz için rastgele parolalar oluşturabilir ve bunları bireysel çalışanlarınız için hatırlayabilir. Oturum açmaları gerektiğinde, SSO şifresini sağlarlar (veya muhtemelen Active Directory kimlik bilgilerini kullanarak ağınızda oturum açar); SSO sistemi daha sonra parola veritabanına erişir ve eski uygulamadaki parola alanını doldurur. Bu tür bir çözüm, neredeyse tüm eski web tabanlı kimlik doğrulama sistemleriyle çalışacak şekilde yapılabilir.

    İşin güzel yanı, ekibiniz için ek bir iş değil; aslında daha az zahmetlidir.

    SSO şifresinin kendisi elbette istediğiniz şifre kurallarına tabi olabilir, çünkü bu modern bir sistemdir.

  2. Eski sistemleri modern bir ağ geçidinin arkasına koyun

    Eski sistemleriniz muhtemelen zaten bir güvenlik duvarı, yönlendirici, proxy veya başka bir ağ cihazının arkasındadır. Bunların çoğu kendilerine ait bir şifre gerektirecek şekilde programlanabilir ve burada modern şifre kurallarını kullanabilirsiniz. Kimlik doğrulaması yapana kadar, eski sistemin giriş sayfasını bile açamazlar. Kimlik doğruladıklarında, eski sisteme gereksiz şifrelerini kullanarak erişebilirler. Şifrenin kötü olması o noktada pek önemli değil çünkü bu ikinci faktör tarafından korunuyor.

Nathan
2018-06-05 14:02:30 UTC
view on stackexchange narkive permalink

Kullanıcıların şirketinizdeki her şey için 1 güvenli şifre oluşturması / hatırlaması için TOA'yı kullanın.

Kullanıcılardan birden fazla şifre oluşturmalarını ve bunları sık sık değiştirmelerini istediğinizde, kıskanılacak bir şekilde tembelleşecek ve zayıf şifreler seçeceklerdir.

Tek Oturum Açma, saldırıya uğramasını istemediğiniz tüm sistemlerde kullanılmalıdır. Tek Oturum Açma kimlik doğrulama sisteminizde parola karmaşıklığını uygulayabilirsiniz. Tek Oturum Açma pahalı olabilir ve uygulaması zaman alıcı olabilir, ancak şirketiniz güvenlik konusunda ciddiyse, bu, kullanıcılarınızı utandırmamak için en büyük önceliğiniz olmalıdır.

Ayrıca, şifrelerin son kullanma tarihlerinin çok uzun olduğundan emin olun ( en az 1 yıl) veya süresi hiç dolmasın (bkz. https://www.ftc.gov/news-events/blogs/techftc/2016/03/time-rethink-mandatory-password-changes)

Ben Mz
2018-06-04 19:39:48 UTC
view on stackexchange narkive permalink

Bireyleri motive etmeye çalışmadan önce, organizasyonun ve liderliğin bu sorunun çözülmesi için motive olup olmadığını sormalısınız. Bunu patronunun sana verdiğini söylüyorsun. Bunun onun için önemli olduğunu biliyor musun? Peki ya BT dışındaki yönetim?

Küçük şirketlerde veya departmanlarda insanlar çoğu sistemin güvenliğini önemli bulmuyor çünkü bilgi onu kullanan az sayıdaki kişi dışında hiç kimse için çok değerli değil. Bu durumda liderlik de dahil olmak üzere insanlar işlerini yapmayı zorlaştıran güvenlik prosedürlerinde çok az motivasyon hissediyorlar.

Güvenlik insanları şimdiye kadar bana kızdı, tüm nedenlere işaret etmek bir sorun. Haklılar ama bu noktayı kaçırıyor. Bu bir teknoloji sorunu değil, motivasyon sorunu.

Liderliğiniz bunun bir sorun olduğunu düşünmüyorsa, başka birini denemeden önce onları ikna etmelisiniz.

Liderliği ikna etmek için ve daha sonra herkesin kafasında resmedebilecekleri daha güçlü şifreler için bir nedene ihtiyacınız var. Şirketin müşteri veritabanına giren bilgisayar korsanları, onlara çok uzak olabilir. Sizi denetleyebilecek düzenleyiciler var mı? Müşterinin tesislerinizi incelemesine izin veren müşteri sözleşmelerine ne dersiniz? Bir rakibe gitmek için ayrılan çalışanlarınız var mı? İnsanların olmasını hayal edebileceği bir örnek bulun.

İkinci adım, insanların doğru şeyi yapmasını kolaylaştırmaktır. Parola doğrulamasını yerleştirmek için tedarikçilerinizle daha sıkı çalışın. İş istasyonlarına bir parola araçları yükleyin, böylece insanlar parolaları hatırlamak zorunda kalmazlar. İnsanların çok fazla parolaya ihtiyaç duymaması için tek oturum açma sistemlerini araştırın. Bunu insanlar için kolaylaştırmak için başka ne yapabilirsiniz?

Motivasyon, insanların bir şeyi yaptırmaya çalışmak yerine bir şeyi yapmak istediklerini işaretlemektir.

SantiBailors
2018-06-05 16:46:40 UTC
view on stackexchange narkive permalink

"Bu şifreyi uzun yıllardır kullandım ve hiç sorun yaşamadım!" gibi ifadelere en iyi nasıl yanıt verebilirim?

Neden kapılarını kilitlerken Açmak için bir anahtarın gerekli olması için evi terk ediyorlar mı? Kapatıp kilitlemedikleri takdirde, büyük olasılıkla uzun bir süre boyunca kimse kilidinin açık olup olmadığını kontrol etmek için kapılarına gitmeyecektir. O zaman birisi yapacak. "Kapımı uzun yıllardır kilitlemedim ve hiç sorun yaşamadım!" o güne kadar? Kapılarının kilidinin açık olup olmadığını kimsenin kontrol etmemesinin onlar için bir önemi olur mu?

Bana göre, " 50'li yaşların sonundalar ve son derece güvensiz şifreler kullanmaları" konusunda da yardımcı olur. "zihniyet (veya belli belirsiz bir şekilde ima etmek yerine bağlantıyı açıkça belirtin). Bu tür bir zihniyet gerçekçi değildir (benim deneyimlerime göre, bu alanda gördüğüm en korkunç derecede kolay giden, arzulu düşünen, zihinsel olarak zayıf, umursamaz insan kategorisi gençler ve 20'li yaşlarındaki insanlardır ve bahse girerim sizin deneyiminize de göre) ve akıl yürütmedir. boş kalıp yargılar, güvenilirliğinizi olumsuz etkileyecek ve endişelerinizi ciddiye alma olasılığını azaltacaktır (yaşları hakkında açıkça bir şey söylemeseniz bile böyle düşündüğünüzü anlayacaklardır).

Tüm bunlar, yapabileceğiniz tek şeyin meslektaşlarınızı ikna etmek olduğu varsayımı altında. Bunun yerine yönetim sizin yanınızda ise, o zaman şifre konusunda gerçekten özen gösterilmesini sağlayacak prosedürleri uygulamak en iyisi olacaktır, ancak şirketiniz anlattığınız sorunu yaşadığından yöneticilerin umursamadığını hayal ediyorum (ve muhtemelen eşit derecede kötü şifreler kullanıyorlar) ). Ancak, bu parola sorununun odadaki fil olması muhtemeldir ve yöneticileri fil orada yokmuş gibi davranmaya "zorlayan" kişi siz olacaksınız, bu da size çok fazla puan kazandırmayabilir. Ayrıca, bir ihlal meydana gelirse, yöneticiler bu beklenmedik bir şeymiş gibi davranmak isteyeceklerdir, bu nedenle her zaman beklenilmesi gerektiğini söyleyen kişi olmayın.

Biz geliştiriciyiz ve yüksek güvenlikli fiziksel erişim kontrol çözümleri sağlayıcısı ve iş arkadaşlarımı bu kadar yüksek güvenlikli bir şirketin çalışanı gibi davranmaya motive edemiyorum (ki bu çok saçma). Aynı amaç için (işaret etmekten kaçınmak) yöneticilerin göremiyormuş gibi yapmak istedikleri bir filin dışına çıkın) bunlardan hiçbirinden bahsetmeyin ve hiç kimsenin sizin nasıl hissettiğinizi anlamasına bile izin vermeyin.



Bu Soru-Cevap, otomatik olarak İngilizce dilinden çevrilmiştir.Orijinal içerik, dağıtıldığı cc by-sa 4.0 lisansı için teşekkür ettiğimiz stackexchange'ta mevcuttur.
Loading...