员工们对于出售公司密码毫无顾虑

内部威胁有很多种形式,其中最难对付的是愿意出售公司密码的员工。专家们说,应对这种情况需要结合技术、培训和更好地了解员工的士气和动机

贡献的作家,方案 |

在一项在线调查中,大约一半的受访者表示,他们的密码已经超过5年了。
思想库

很多人是粗心的用自己的个人密码,使用相同的多个站点,和/或使它们那么简单,他们滑稽的是最容易被黑,但几乎没有人会故意卖几块钱的人他们知道将使用它们去做损害。

但显然,他们中的一些人对出售公司密码并不感到不安。最近的一次全球调查由供应商SailPoint委托开展的一项调查发现,七分之一的组织会以最低150美元的价格将自己的密码卖给外行人。

然而,这并不是一个新问题。相对来说,150美元是一大笔钱。一个2012调查调查发现,近一半的受访者愿意以低于5英镑的价格出售公司密码,30%的人愿意以1英镑的价格出售。

纽约城市理工学院(New York City College of Technology)的教员克里斯托弗·弗伦兹(Christopher Frenz)说,“其他研究小组也能让人们透露巧克力棒这么小的东西的密码。”

但是,弗伦兹补充说,重要的是要知道这样的研究有多严格。他说:“这些调查倾向于采访那些自己选择参与的人,所以他们不是一个具有代表性的截面。”“他们(调查)通常缺乏适当的控制,通常不会试图验证用户是否真的透露了真实的密码。这不禁让人想知道,有多少人只是为了获得免费巧克力或几美元而当场编造密码?”

尽管如此,即使实际比例低于调查结果,也足以在任何公司的数据安全上炸出一个大洞。

muddu sudhakar

Muddu Sudhakar首席执行官,Caspida

Caspida首席执行官Muddu Sudhakar回忆道:“人类会犯错,这类问题是一个真正的问题。头条新闻今年1月,一名摩根士丹利(Morgan Stanley)金融顾问因涉嫌窃取约35万名理财客户的账户信息,并在网上发布900名客户的信息而被解雇。

据悉,当时泄露的信息中包括姓名和账号,但没有密码。但它清楚地表明,内部人士出售敏感的公司信息确实是“一个真正的问题”。

一个明显的问题是,为什么即使是少数工人也会为了几块钱而冒着失去工作的风险,因此不仅是他们当前的生计,而且是他们整个职业生涯的风险?

CyberSponse的创始人兼首席执行官约瑟夫•卢米斯表示,不应该假定员工的忠诚度。“你知道有多少员工真正关心他们工作的公司?””他说。“除了市场上的一些顶级组织,员工的士气或关心总是引发内部威胁的一个问题。”

苏达卡尔说,他怀疑员工们知道,如果他们的个人密码被泄露,后果肯定会很严重,而他们可能会把公司密码视为“其他人的问题,或者认为滥用它可能不会有后果。”

弗伦兹说,一些员工可能没有意识到他们的公司密码有多重要。“尤其如此,如果在工作中处理的数据通常不会被认为是敏感的,”他说,“他们可能未能领会他们的帐户可能会提供一个门口,可以使用一个临时地获得通过特权升级更敏感数据和方法。”

Sudhakar同意了。他说,密码泄露只是第一步。他说:“坏人在企业内部建立了立足点,扩大了特权,通过横向移动获取数据,在能够获取敏感数据并从中获利之前一直存在。”

一些人认为,出售密码的问题没有弱密码那么严重,因为它们很容易被黑。事实上,任何少于10个字符的密码都是一个真正的单词,甚至是插入了几个大写字母的反向密码,对拥有最低技能和正确软件的黑客来说,就像一扇没有上锁的门。他们说,这使得销售价格几乎为零。

约瑟夫。鲁姆斯

约瑟夫。鲁姆斯他是CyberSponse的创始人兼首席执行官

卢米斯并不完全相信。他说,提供出售密码确实让犯罪分子更容易获得密码,因为他们无需尝试两到三次就能获得密码——这种异常情况可能会被安全对策视为可疑。

不管密码在市场上的价值如何,一个相对较新的组织FIDO(快速身份在线)表示,这是完全取消密码的又一个理由。

FIDO副总裁Ramesh Kesanupalli也是Nok Nok Labs的创始人,他在一份声明中说:“企业用户出售密码再次证明了以密码为中心的身份验证是多么的有缺陷和危险。”

2012年成立的非营利组织FIDO开发了一个双因素认证系统,Kesanupalli说,该系统“与FIDO服务器交换加密数据,而不是任何类型的易受攻击的个人信息。”

不过,即使认证凭证比密码安全得多,如果人们愿意出售它们,问题仍然存在,或者可能更糟,因为这些凭证可能更有价值。

专家表示,这意味着加强安全意识培训的必要性。弗伦兹说,重要的是要让员工知道,面临风险的不仅仅是企业数据。他说:“提醒人们,工作中不仅存储了客户数据,还以人力资源和工资记录的形式存储了很多他们的个人数据,这通常有助于正确地看待问题。”

还有恶意链接网站,最近帖子他认为,企业需要了解员工的心理,并为他们提供激励措施,使他们不受出售资质的诱惑。

如果安全专业人士“熟悉认知心理学/行为经济学的新研究”,他们将能够理解人类判断中的“非理性”,并“设计更好的激励系统和安全控制方案,”该帖子说。

Sudhakar说,好消息是,即使人们愿意出售或泄露他们的证书,技术也能更好地发现随之而来的不可避免的漏洞。

他说:“数据科学和机器学习方面的创新,正在改进从被泄露的证书或内部人员变坏的情况下进行的早期泄露检测。”

这一点,再加上更好的培训和对不满员工的意识,可能是最好的防御。弗伦兹指出,与生物识别等其他更安全的认证形式相比,密码确实有很大的优势。

“一旦妥协,就很容易改变,”他说。

这篇题为《员工对出售公司密码毫无疑虑》的文章最初是由方案

加入网络世界社区有个足球雷竞技app脸谱网LinkedIn对自己最关心的话题发表评论。
相关:

版权所有©2015 IDG ComRaybet2munications, Inc.

SD-WAN买家指南:向供应商(和您自己)提出的关键问题