Test varnosti gesel je ukrep, ki lahko prepreči kibernetski vdor
Varna gesla so pogosto povezana z dostopnostjo omrežja za kibernetske napadalce. Napad s surovo silo (ang. brute force attack) je tehnika vdiranje v notranje omrežje. Pri tem uporabljajo različne tehnike ugibanja gesel in razbijanja t.i. odtisa (ang. hash). Test varnosti gesel vam pokaže, koliko gesel vaših uporabnikov je moč razbiti.
Posledice zlorabe gesel so za organizacijo lahko katastrofalne, saj napadalec z vstopom v omrežje tako pridobi vse pravice uporabnika, poleg tega pa lahko ob poznavanju ustreznih tehnik pravice navadnega uporabnika še poveča in pridobi pravice sistemskega ali domenskega administratorja. Od tu naprej v notranjem omrežju zanj ni več omejitev.
CISO-ti in upravljavci omrežij se pogosto soočajo s krmarjenjem med zaostrovanjem politike gesel in prijaznostjo politik do uporabnikov. Tako prihaja do vrzeli med gesli, ki so skladna s politiko in objektivnimi merili za visoko odpornost gesel.
Primer vrzeli:
Geslo Pomlad2023! je lahko skladno s politiko gesel, a je s stališča dejanske varnosti popolnoma neustrezno, saj ga z ustreznimi programskimi pripomočki lahko razbijemo v le nekaj sekundah.
Ta vidik lahko bistveno izboljšate, če vzporedno z urejanjem politike gesel poteka tudi izobraževanje uporabnikov o pomenu kibernetske varnosti.
Kako varna so dejansko gesla, ki se uporabljajo v vašem informacijskem sistemu, pa pokaže test varnosti gesel.
Kako test varnosti gesel poteka?
Napadalci poskušajo priti do gesel uporabnikov z razbijanjem odtisov. Odtis je unikatna vrednost, sestavljena iz črk in številk, ki jo s kriptografskim algoritmom ustvari vaše geslo.
Odtisi so hekerjem v omrežju dostopni in jih lahko ulovijo, medtem ko poteka avtentikacija uporabnikov. Z metodami dešifriranja jih poskušajo razvozlati nazaj v gesla.
Test varnosti gesel zajema razbijanje odtisov in vključuje naslednje korake:
- Posredujete nam izvoz odtisov iz aktivnega imenika.
- S pomočjo namensko izdelanih orodij in posebnih slovarjev poskušamo razbiti odtise iz vašega imenika.
- Posredujemo vam izsledke testa, ki so skladni z vašo varnostno politiko.
- Vam in vašim uporabnikom nudimo kontakt s pentesterjem, ki vam svetuje glede izboljšanja varnosti gesla.
Kaj pridobite z opravljenim testom varnosti gesel?
Informacije, ki jih pridobite z opravljenim testom, so do določene mere povezane z vašo interno varnostno politiko in vključujejo naslednje:
- informacijo o ustreznosti vaše varnostne politike
- ali je dovolj stroga,
- na kakšen način jo je mogoče zaobiti;
- število razbitih odtisov,
- razloge, zakaj je bil odtis razbit
- kompleksnost,
- dolžina,
- geslo je že bilo razbito in je dostopno na črnem trgu,
- del gesla je že bil razbit;
- kako hitro je bilo geslo razbito,
- podatek, koliko uporabnikov ima enako geslo,
- vrste gesel, ki so v vašem okolju najbolj rizična – uporabniška, administratorska ali servisna.
Na podlagi pridobljenih podatkov in priporočil lahko oblikujte program ozaveščanja za zaposlene in izboljšate varnost gesel v svojem poslovnem okolju. Svojim zaposlenim lahko tudi ponudite možnost posveta s pentesterjem, ki bo podal informacije o tem, zakaj je bilo geslo možno izrabiti in kako ga lahko utrdite.
Poročilo po opravljenem testu vsebuje vodstveni povzetek za vodilne kadre in odločevalce ter tehnični del s podrobnimi opisi zaznanih varnostnih pomanjkljivosti, statistiko in priporočili za izboljšave.
POMEMBNO! Test varnosti gesel ne razkrije samih gesel, temveč njihove slabosti.