2. rész Jelszókezelők
A gyenge jelszavak a támadók számára közzétett kulcsok az eszközökhöz, és ugyan jelenleg ‒ jobb híján ‒ még használni kell a jelszavakat, de azért a megfelelő szoftver használatával a vállalkozás, a team biztonságosan tudja használni azokat.
A jelszavak a biztonság szempontjából kudarcot jelentenek. A gyenge vagy a nyilvánosságra került (kompromittálódott) jelszavak adják az „egyik legbiztosabb lehetőséget” arra, hogy veszélybe kerüljenek. Gondoljon a saját vállalkozásának üzleti információira, online számlájának adataira, és arra, hogy mekkora károkat okozhat a vállalkozásnak, vagy személyesen önnek, ha ezekhez hozzáfér. Mielőtt egy zsarolóprogram áldozatává válhatna, gondolja végig, hogy egy támadó mit tudna tenni az ön rendszerében, és milyen problémákat, károkat okozhatna egy hálózati rendszergazdai fiók birtokában.
Cikkünk második részében felsorolunk néhány olyan jelszókezelő alkalmazást, ...
... amelyek valamennyien üzleti célokat szolgálnak, de amelyekben nincs teljes vállalati integráció. A felsorolás semmiféle rangsorolást nem tartalmaz. Az is le kell írnunk, hogy sokkal több ilyen termék található a piacon, mint amit itt felsorolunk, használat (és vásárlás) előtt érdemes több forrásból is tájékozódni.
- LastPass Teams
- 1Password Business
- RoboForm for Business
- Dashlane Business
- Keeper Business
- Zoho Vault for teams
- Password Boss for business
- StickyPassword for teams
- Bitwarden Teams
- TeamsID Business Password Manager
- TeamPassword
Ezeknek a termékeknek az egyik ‒ az üzleti felhasználásuk szempontjából kiemelkedően jelentős ‒ funkciója, hogy képesek megosztani a bejelentkezési információkat más felhasználókkal. Vannak köztük olyanok,, amelyek lehetővé teszik a rendszergazda számára a felhasználók kezelését is. A rendszergazda képes lesz új felhasználókat beépíteni, központilag kezelni a megosztott elemeket, és azt, hogy ki férhet hozzájuk, ki engedélyezheti és ki szüntetheti meg az eszközök használatát, ki ellenőrizheti a jelszókezelő szolgáltatásaihoz való hozzáférést… …és még sok egyebet is.
Van olyan üzleti célú, (ebből eredően tehát nem ingyenes) jogosultságkezelő rendszer, amely azt is képes ellenőrizni, hogy ki milyen rendszerhez milyen hozzáféréssel rendelkezik, ezen belül azok hozzáférési szintjeit (pl user, vagy admin, csak írás, csak olvasás…) is képes meghatározni. Ebben a cikkben azonban nem foglalkozunk azzal, hogy mely termékek milyen egyéb lehetőségekkel rendelkeznek, ezeket a vásárlóknak kell összehasonlítania egymással, amikor dönt egy jelszókezelő kiválasztásáról.
És ezek csak a team jellemzők. Jelentős árkülönbségek lehetnek a termékek között, és az is lehetséges, hogy az egyik könnyebben használható, mint egy másik.
Azt is tudjuk, hogy a Google Chrome beépített jelszókezelővel is rendelkezik. Ez a beépített jelszókezelő mindig az éppen bejelentkezett Google Fiók -hoz tartozik, magánszemélyeknél ez általában a Gmail. Ha szervezete a G felhőt, a Google felhőalapú működéstámogató alkalmazásokat használja, az adminisztrátor néhány felügyeleti feladatot is végezhet, beleértve ebbe:
- Erős jelszóra van szükség, és be is tud állítani erősségi szintet a Google jelszó-erősségi eszközének alapján;
- be tudja állítani a jelszavak minimális hosszát;
- a régi jelszavak újbóli felhasználását engedélyezni vagy tiltani tudja;
- be lehet állítani a jelszavak lejáratát, azaz azt, hogy a felhasználónak hány nap eltelte után kell meg változtatnia a jelszót. (megjegyezzük, hogy ez semmiképpen nem tekinthető a bevált gyakorlatok részének);
Bármelyik team alapú, harmadik féltől származó jelszókezelő ezeknél (értsd: a Chrome által nyújtott jelszókezelő szolgáltatásoknál sokkal többet nyújt.
Biztonság és használhatóság
Miután a birtokába jut egy ilyen rendszer, megkezdheti a fent leírt bevált gyakorlatok végrehajtását.
Szinte az összes termék végez rendszerelemzést, majd riportot készít a tárolókban található jelszavakról, megmutatva a (többszörösen felhasznált) másolatokat és a gyenge jelszavakat. A riport segítségével megtervezhetik, és elkezdhetik vállalkozásuk jelszavainak biztonságosabb használatát.
Felhívjuk a figyelmüket, hogy a biztonság és a használhatóság között mindig kompromisszumot kell kötni, és mint más területeken is, esetünkben is nem csupán a technológia, hanem a napi tennivalók területén is (…csak meg kell próbálnia feljutni egy repülőgépre, hogy megértse ezt). Bizony, a jelszókezelők nem könnyítik meg a jelszavak használatát ‒ viszont megkönnyítik a jelszavak biztonságos használatát.
Egy átlagos felhasználó számára valamennyi jelszókezelő alkalmazása kihívást jelenthet .
Megkönnyítheti a jelszókezelő bevezetési folyamatát, ha egyszerre csak egy felhasználó bejelentkezéseit migrálja az adminisztrátor a jelszókezelő rendszerbe. Különböző időpontokban is átmozgathat az új rendszerbe különböző felhasználókat, lehetővé téve számukra, hogy megismerkedjenek és megszokják a jelszókezelés új rendjét, miközben továbbra is a régi módon tudják beírni a jelszavakat. De ehhez el kell halasztania a jelszókezelő használatának fő célját, azaz a jelszavak biztonságosabbá tételét, mivel a bejelentkezések nem kezelhetők a jelszókezelőn kívüli felhasználók számára.
Nagy kérdés, hogy miért állítanak kihívásokat a jelszókezelők a felhasználók számára? A legfőbb oka ennek az, hogy nem mindig (nem minden környezetben) működnek[PI5] . Ne siessenek azonban elhamarkodott ítéletet hozni! A felhasználónevek és jelszavak automatikus betöltése a bejelentkezési mezőkbe ugyanis pontosan olyan művelet, mint amit a rosszindulatú szoftverek is végrehajtanak, miközben megpróbálnak megtámadni egy felhasználói fiókot. Ezért a böngészők és a webhelyek védekező eljárásokat tartalmaznak, amelyek gyakran meggátolják a jelszókezelőt a feladata végrehajtásában, hasonlóan egy esetleges valódi támadás megakadályozásához.
Rövid példa a problémával kapcsolatban: egy nagyon nagy és piacvezető banknál a jelszómező automatikus kitöltése asztali eszközökről évek óta nem működött. A példa elmondója két jelszókezelőt is kipróbált, de mindkettő kudarcot vallott, a weboldal elutasította az automatikus kitöltést. Ugyan van áthidaló (kézi) megoldása a problémának, és ez az egész kérdés látszólag nem nagy ügy, de igen bosszantó. Mivel a bank mobilalkalmazása lehetővé teszi az ujjlenyomatok és az arcfelismerés használatát az eszközön, ezt a problémát a mobiltelefonnal könnyű volt áthidalni.
Az (amerikai) Nemzeti Szabványügyi és Technológiai Intézet nemrégiben megfogalmazott útmutatója kifejezetten azt ajánlja, hogy a webhelyek is tegyenek erőfeszítéseket a jelszókezelőkkel való együttműködés érdekében, ám ez az üzenet még az USA-ban sem ért el a webhelytulajdonosokhoz, Magyarországról nem is beszélve.
(Egy jelszókezelő rendszer bevezetése kiváló alkalom lehetne mindenkinek arra is, hogy ellenőrizzék, hogy az interneten elérhető rendszereik lehetővé teszik-e az ügyfeleiknek, hogy gond nélkül használjanak jelszókezelőt.)
A jelszókezelő használata soha nem lesz olyan egyszerű, mint a hagyományos jelszavak használata ‒ egy motiválatlan felhasználó számára ez pusztán terhet jelent. Tehát, amikor elmagyarázza egy jelszókezelő rendszer bevezetésének terveit a felhasználóknak, azt is el kell mondania nekik, mennyire fontos a vállalat számára, hogy komolyan vegyék a jelszavak biztonságát. Egy ilyen változtatás legalább annyira fontos, mint bármely más változtatás a vállalati információs technológiákban, amelyet megvalósíthat, ez ugyanakkor a legtöbbet segít kihozni a biztonsági rendszerekből és eljárásokból.
Jelszókezelők: javaslatok, figyelmeztetések vezetők számára
‒ Ragaszkodjon a belső rendszerek és a szállítók és partnerek számára fenntartott külső felhasználói fiókok jelszavaival kapcsolatban bevált gyakorlatokhoz.
‒ Nehéz a kiberbiztonságot a megfelelő szinten fenntartani, ha az alkalmazottak nem motiváltak. Ügyeljen arra, hogy az alkalmazottak megértsék, mennyire fontos a vállalat számára az, hogy komolyan vegyék a biztonságot.
‒ Az emberek a jelszavakat képtelenek biztonságosan használni kizárólag csak a memóriájuk vagy Post-it jegyzeteik segítségével. A biztonságos jelszókezeléshez az összes alapvető jelszókezelési funkcióval rendelkező felügyelt rendszerre van szükség.
A cikk az enterprise.nxt cikkei alapján készült