รีเซ็ตรหัสผ่าน และทีมงานระยะไกล: ภัยพิบัติด้านความปลอดภัยกำลังรอให้เกิดขึ้น

รีเซ็ตรหัสผ่าน ข้อมูลใหม่ที่ค้นพบในผลพวงของการหย่อนละเมิดความปลอดภัย ‘s จากมีนาคม 2015 ได้รับแจ้งให้ บริษัท ที่จะรีเซ็ตรหัสผ่านของบางส่วนของผู้ใช้ตามที่กรกฎาคม 18 โพสต์บล็อก

Slack อธิบายว่ารีเซ็ตรหัสผ่านบัญชีสำหรับ 1% ของผู้ใช้ ผู้ใช้ที่สร้างบัญชีก่อนเดือนมีนาคม 2015 และยังไม่ได้เปลี่ยนรหัสผ่านและไม่ได้ใช้การลงชื่อเพียงครั้งเดียว (SSO) มีแนวโน้มว่า บริษัท จะรีเซ็ตรหัสผ่านของตน

“ เมื่อเร็ว ๆ นี้เราได้รับการติดต่อผ่านโปรแกรมบั๊กรางวัลพร้อมข้อมูลเกี่ยวกับข้อมูลประจำตัวของ Slack ที่อาจถูกบุกรุก รายงานประเภทนี้ค่อนข้างเป็นกิจวัตรและโดยปกติจะเป็นผลมาจากการใช้มัลแวร์หรือรหัสผ่านซ้ำระหว่างบริการซึ่งเราเชื่อว่าเป็นเช่นนั้น” Slack เขียน

Slack อธิบายว่าตระหนักและขออภัยในความไม่สะดวกที่อาจเกิดขึ้น “วันนี้เรากำลังรีเซ็ตรหัสผ่านสำหรับบัญชีทั้งหมดที่มีการใช้งานในช่วงเวลาที่เกิดเหตุการณ์ปี 2015 ยกเว้นบัญชีที่ใช้ SSO หรือมีการเปลี่ยนรหัสผ่านหลังจากเดือนมีนาคม 2015 ไม่มีเหตุผลที่จะเชื่อว่าบัญชีใด ๆ เหล่านี้ถูกบุกรุก แต่เราเชื่อว่าข้อควรระวังนี้คุ้มค่ากับความไม่สะดวกที่อาจเกิดขึ้นจากการรีเซ็ต” รีเซ็ตรหัสผ่าน

ประกาศไฮไลท์ความต้องการอย่างต่อเนื่องเพื่อให้ความรู้ผู้บริโภคเกี่ยวกับสุขอนามัยความปลอดภัยที่เหมาะสมตามที่เทอเรนแจ็คสัน, เจ้าหน้าที่รักษาความปลอดภัยข้อมูลหัวหน้าThycotic

“ เราไม่สามารถควบคุมสถานการณ์ที่ข้อมูลของเราจะถูกละเมิดได้ แต่สิ่งที่เราทำได้คือ จำกัด ผลเสียเมื่อเกิดขึ้น ข้อมูลรับรองเหล่านี้ที่เปิดเผยในปี 2015 ยังคงปรากฏอยู่ เมื่อข้อมูลหมดก็จะมี การใช้ตัวจัดการรหัสผ่านเพื่อป้องกันการใช้รหัสผ่านซ้ำและการเปิดใช้งานการตรวจสอบสิทธิ์แบบหลายปัจจัยในบัญชีทั้งหมดที่รองรับเป็นขั้นตอนแรกที่ดีในการปกป้องข้อมูลประจำตัวดิจิทัลของคุณ”

เพราะความถี่สูงของการละเมิดข้อมูล Shahrokh Shahidzadeh ซีอีโอที่Accepttoกล่าวว่าเราทุกคนจะต้องดำเนินการภายใต้สมมติฐานที่ว่ามันเป็นเพียงเรื่องของเวลาก่อนที่เราเข้าใจอย่างแท้จริงว่าทั้งหมดของข้อมูลประจำตัวและข้อมูลส่วนบุคคลของเราจะถูกทำลายแล้ว

ด้วยเหตุผลดังกล่าว“ การพึ่งพาวิธีการพิสูจน์ตัวตนแบบไบนารีเช่นรหัสผ่านโดยไม่ขึ้นกับความยาวหรือแม้กระทั่งการผสมกับโซลูชันการตรวจสอบสิทธิ์แบบสองปัจจัยและหลายปัจจัยที่เสี่ยงต่อการโจมตีแบบฟิชชิงจึงเป็นสูตรสำหรับความล้มเหลวและเป็นเรื่องของ เมื่อไหร่ไม่ใช่ถ้า ในแง่ของการพัฒนาล่าสุดข้อมูลรับรองที่ปลอดภัยเพียงอย่างเดียวคือข้อมูลที่ไม่เปลี่ยนรูปและสามารถอิงตามพฤติกรรมทางชีวภาพเท่านั้น”

ในแง่ของการแพร่ระบาดของ COVID-19 ความท้าทายใหม่กำลังเริ่มเกิดขึ้นนั่นคือความจำเป็นในการเปลี่ยนหรือรีเซ็ตรหัสผ่านจากระยะไกล อย่างดีที่สุดมันเป็นงานเล็กน้อย ที่แย่ที่สุดคือฝันร้ายด้านความปลอดภัย

เราอยู่ในช่วงเวลาไม่กี่เดือนในการแพร่ระบาดและองค์กรด้านไอทีได้เรียนรู้มากมายเกี่ยวกับการจัดหาพนักงานจากระยะไกลพร้อมทำงาน ทุกอย่างตั้งแต่อุปกรณ์ปลายทางไปจนถึงการเชื่อมต่อไปจนถึงแอปพลิเคชันล้วนเป็นจุดสนใจของไฟที่เป็นที่เลื่องลือนับพันที่เกิดขึ้นในขณะที่องค์กรต่างๆทำงานเพื่อเปลี่ยนการดำเนินงานไปสู่จุดที่ทำงานได้จากระยะไกล

อย่างไรก็ตามปัญหาใหม่ได้เริ่มส่งผลต่อส่วนหัวที่น่าเกลียดนั่นคือการรักษาการรับรองความถูกต้อง Active Directory (AD) โดยเฉพาะอย่างยิ่งความสามารถสำหรับผู้ใช้ที่จำเป็นต้องเปลี่ยนหรือรีเซ็ตรหัสผ่าน AD เป็นระยะ เป็นหนึ่งในแง่มุมของการดูแลระบบที่ – สำหรับผู้ใช้รายใดรายหนึ่ง – อาจเป็นหรือไม่เป็นปัญหาเป็นประจำ แต่เมื่อเวลาผ่านไปสิ่งนี้ส่งผลกระทบต่อผู้ใช้ทุกคนในที่สุด

ไม่ว่ารหัสผ่านจะหมดอายุถูกลืมหรือถูกรีเซ็ตโดยผู้ดูแลระบบผลลัพธ์สุดท้ายสำหรับผู้ปฏิบัติงานระยะไกลคือการไม่สามารถเข้าถึงและใช้ทรัพยากร ขององค์กรได้อย่างสมบูรณ์ ลองดูแต่ละสถานการณ์เพื่อดูว่าต้องมีขั้นตอนใดบ้างในการรีเซ็ตรหัสผ่านและปัญหาด้านความปลอดภัยที่เกิดขึ้น

การเปลี่ยนรหัสผ่านเป็นระยะ

หลายองค์กรยอมแพ้ในการบังคับให้เปลี่ยนรหัสผ่านเป็นระยะเนื่องจาก Microsoft หยุดแนะนำให้ใช้ในปี 2019 อย่างไรก็ตามสำหรับผู้ที่ยังคงบังคับให้เปลี่ยนรหัสผ่านมีผลและ / หรือปิดใช้งานหรือ จำกัด การแคชข้อมูลรับรองข้อมูล ประจำตัวที่แคชไว้บนปลายทาง Windows ขององค์กรของคุณ จะหมดอายุโดยต้องให้ผู้ใช้เชื่อมต่อกับโดเมนและทำการอัปเดตรหัสผ่าน

ผู้ปฏิบัติงานระยะไกลที่ใช้อุปกรณ์ Windows ขององค์กรสามารถอัปเดตข้อมูลประจำตัวที่แคชไว้โดยใช้ฟังก์ชัน Change a Password ในตัวของ Windows 10 โดยให้พวกเขาสามารถเชื่อมต่อกับเครือข่ายขององค์กร (อ่าน: โดเมน) ผ่าน VPN หากไม่สามารถเชื่อมต่อกับโดเมนได้ข้อมูลประจำตัวที่แคชไว้ควรใช้งานได้ต่อไป แต่หากยังจำเป็นต้องมีการอัปเดตก็จะต้องโทรไปที่แผนกบริการ

ในกรณีที่ผู้ใช้ลืมรหัสผ่าน (และสันนิษฐานว่าตอนนี้จำเป็นต้อง ป้อนรหัสเพื่อเข้าถึงทรัพยากรแทนที่จะใช้ข้อมูลรับรองที่แคชไว้ในระบบปฏิบัติการหรือเว็บเบราว์เซอร์) หรือถูกรีเซ็ตโดย IT เนื่องจากกังวลว่าจะถูกบุกรุก ผู้ใช้จำเป็นต้องขอรับรหัสผ่านใหม่ที่ฝ่ายบริการกำหนดและอาจอัปเดตด้วยตนเอง

ข้อตกลงใหญ่คืออะไร?

คุณอาจคิดว่าฉันกำลังทำให้ปัญหานี้กลายเป็นปัญหาใหญ่เมื่อมันเป็นเพียง ปัญหาเล็กน้อยที่จะแก้ไขสำหรับผู้ใช้หรือไอที เมื่อผู้ใช้สามารถเชื่อมต่อ และอัปเดตรหัสผ่านได้อย่างถูกต้องภายใน Windows 10 แสดงว่าคุณถูกต้อง 100% อย่างไรก็ตามปัญหาที่นี่ได้ตลอดเวลาการกระทำของการรีเซ็ตรหัสผ่านโดยบริการแผนกที่เกิดขึ้นมีความกังวลด้านความปลอดภัยที่สำคัญ

หากคุณเป็นผู้ปฏิบัติงานระยะไกลและรหัสผ่านของคุณ จำเป็นต้องรีเซ็ต (หรือเป็นผู้ดูแลระบบ) คุณต้องโทรติดต่อแผนกบริการ ให้การตรวจสอบให้มากที่สุดว่าคุณเป็นคุณจริงตามที่จำเป็นจากนั้นจะได้รับรหัสผ่านทางโทรศัพท์ . ในยุคนี้ และยุคของการรักษาความปลอดภัยทางไซเบอร์มีธงสีแดงหลายประการ:

ไม่มีการตรวจสอบ – เว้นแต่แผนกบริการจะมีคำถามเพื่อความปลอดภัยหลายชุดที่จะขอให้คุณพิสูจน์ว่าคุณเป็นเจ้าของบัญชีการยืนยันจะไม่มีอยู่จริง เพิ่มแนวคิดที่ว่าตอนนี้อาชญากรไซเบอร์ใช้เสียงระดับลึกเพื่อปลอมเป็นคนอื่น และเห็นได้ชัดว่าการโทรและได้ยินเสียงที่คุ้นเคยนั้นไม่เพียงพอแน่นอน
มีคนรู้รหัสผ่านมากกว่าหนึ่งคน – หากแผนกบริการอัปเดตและสื่อสารรหัสผ่านใหม่ให้กับผู้ใช้ในอุปกรณ์ส่วนตัวนั่นคือรหัสผ่านสำหรับอนาคตอันใกล้ ตอนนี้มีคนสองคนรู้รหัสผ่านนั้นแล้ว
อาจเป็นการละเมิดการปฏิบัติตามข้อกำหนด ด้านความปลอดภัยของข้อมูล – ขึ้นอยู่กับกฎระเบียบคำใช้คำที่ใช้คำฟุ่มเฟือย ที่ใหม่กว่า มีความเฉพาะเจาะจงมากเพื่อให้แน่ใจว่ามีการควบคุมที่เหมาะสมว่าใครสามารถเข้าถึง ชุดข้อมูลที่ได้รับการป้องกัน หากกระบวนการอัปเดตรหัสผ่านขององค์กรส่งผลให้เจ้าหน้าที่แผนกบริการทราบรหัสผ่านองค์กรเองอาจประสบปัญหาหากมีการละเมิดข้อมูล
การรักษาการรับรองความถูกต้องของพนักงานระยะไกลให้ปลอดภัย

ปมของปัญหาที่ต้องแก้ไขมีสองเท่า – ผู้ใช้ต้องตรวจสอบความถูกต้องและฝ่ายบริการไม่ควรรู้รหัสผ่าน วิธีที่ดีที่สุดในการแก้ไขปัญหานี้อย่างแท้จริงคือการใช้โซลูชันรีเซ็ตรหัสผ่านแบบบริการตนเอง. โดยปกติสามารถเข้าถึง ได้ผ่านทางเว็บเบราว์เซอร์ (สำหรับอุปกรณ์ส่วนบุคคล) หรือรวมเข้ากับกระบวนการเข้าสู่ระบบ (สำหรับอุปกรณ์ขององค์กร) การบริการตนเองด้วยรหัสผ่านจะใช้กระบวนการบนเครื่อง ที่เจ้าของบัญชีลงทะเบียนเข้าใช้บริการหรือลงทะเบียนล่วงหน้าเพื่อตรวจสอบความถูกต้องในช่วง รีเซ็ตรหัสผ่าน วิธีการยืนยันอาจมีตั้งแต่คำถาม และคำตอบไปจนถึงวิธีการที่ปลอดภัยมากขึ้น โดยขึ้นอยู่กับโซลูชันการรีเซ็ตรหัสผ่านแบบบริการตนเอง เมื่อจำเป็นต้องรีเซ็ตรหัสผ่านผู้ใช้สามารถตรวจสอบและรีเซ็ตรหัสผ่านได้ด้วยตนเองเพื่อเอาชนะปัญหาด้านความปลอดภัย ที่เกี่ยวข้องกับการใช้ส่วนบริการ