Hasła i logowanie – o czym musisz pamiętać?
- Zakłady przemysłowe
Dzisiejsza cyfrowa przestrzeń przemysłowa w dużej mierze opiera się na hasłach do logowania do każdej z usług i to niezależnie, czy jest to system do zarządzania urlopami w pracy, czy baza, w której znajdują się wrażliwe dane klientów. Każdy z nas jest tylko człowiekiem i nawet dyrektor całej firmy nie będzie w stanie zapamiętać złożonych haseł do wielu systemów korporacyjnych.
Często działy bezpieczeństwa w firmach wprowadzają wyrafinowane polityki tworzenia haseł (znane wszystkim frazy wielkie i małe litery, przynajmniej jedna liczba i znak specjalny) nie dając tym samym narzędzi, które ułatwiłyby pracownikom tworzenie skomplikowanych i unikalnych haseł.
Jaki jest tego efekt?
Pracownicy upraszczają sobie ten proces i tworzą złe hasła typu: styczeń2022@, Nazwa_Firmy@ itd. Ale jak się okazuje… można pogodzić interesy obu grup.
W jaki sposób?
Dzięki menadżerowi haseł!
W tym miejscu chcemy zachęcić do korzystania z niego – zarówno na potrzeby prywatne jak i przy pracy z systemami korporacyjnymi.
Czym jest menadżer haseł?
Jest to zewnętrzna aplikacja instalowana na komputerze, telefonie lub tablecie. Jej zadaniem jest bezpieczne przechowywanie naszych haseł (w postaci zaszyfrowanego pliku), zarządzanie nimi, a także generowanie ich; rzecz jasna w formie unikalnej oraz losowej.
Teraz, zamiast zapamiętywania wiele złożonych haseł musisz zapamiętać dwa: pierwsze to do menadżera, które wykorzystywane jest do odblokowania bazy. Drugim jest to do Twojej skrzynki pocztowej. Nawet w przypadku utraty dostępu do menadżera będziesz mógł zresetować większość haseł przy użyciu e-maila.
Jaki menadżer haseł wybrać?
Prawdziwa odpowiedź na to pytanie brzmi: „korzystaj z dowolnego menadżera haseł”. Lepiej mieć jakikolwiek program niż nie mieć żadnego. Przy wyborze konkretnego rozwiązania pomocny może okazać się film Kacpra Szurka, który w ponad godzinnym materiale na YT opowiada o funkcjonalnościach menadżerów haseł, na które przy wyborze warto zwrócić uwagę, są to m.in.
- sposób przechowywania bazy z hasłami,
- możliwość odzyskiwania hasła głównego,
- współpraca z przeglądarkami internetowymi,
- wieloplatformowość
- koszt licencji (niektóre rozwiązania są darmowe, np. KeePassXC).
Naszym wyborem jest KeePassXC – ze względu na to, że jest aplikacją otwartoźródłową oraz darmową. Obszerny poradnik, który przeprowadzi Cię krok po kroku przez instalacją KeePassXC został opublikowany na blogu sekurak.pl.
Menadżer haseł dla zespołu
W ramach przeprowadzonej przez nas ankiety zapytaliśmy respondentów o domyślne hasła. Wynik jest zadowalający!
Następnie, zadaliśmy inne pytanie.
Aż 46% osób odpowiedziało – NIE. Parametr Community String jest powiązany ściśle z protokołem SNMP (wykorzystywanym głównie do monitorowanie urządzeń sieciowych). Producenci często definiują domyślne parametry community string, aby ułatwić proces wdrożenia. Atakujący, wykorzystując tę lukę w poprawnej konfiguracji, może odczytać (nawet bez hasła do urządzenia) całość konfiguracji, a nawet ma możliwość jej zmiany. Warto wiedzieć, że SNMP jest częstym wektorem ataków. Pod tym linkiem znajduje się lista znanych podatności w protokole SNMP, którą można wykorzystać do identyfikacji zagrożeń w ramach własnej sieci OT. Na naszym blogu znajdziesz też dodatkowo artykuł, w którym opisujemy jak bezpiecznie korzystać z protokołu SNMP w sieciach przemysłowych.
SNMP wprowadza zatem dodatkowe parametry, które trzeba zabezpieczać na równi z hasłem.
Liczby, które warto znać
Co ciekawe: blisko 83% ankietowanych pamiętało o tym, by ustawić automatyczne wylogowanie po okresie bezczynności urządzenia.
Jednocześnie niemal tyle samo osób ustawiło weryfikację złożoności i trudności hasła.
Niestety, zaledwie 69% ankietowanych pamiętało o tym, by czasowo zablokować możliwość logowania się po podaniu złych danych.
Na koniec jeszcze jeden ważny wynik z ankiety, tym razem napawający optymizmem:
O czym jeszcze warto wiedzieć?
W sieci OT spotkamy się nie tylko z urządzeniami sieciowymi. Zmiany w konfiguracji sterowników PLC mogą być zabezpieczone dodatkowym hasłem. Na pewno każdy znajdzie w swojej sieci OT jeszcze inne urządzenia.
W zespole inżynierów dobrym wyborem będzie menadżer haseł, służący do bezpiecznego przechowywania i wymieniania się wrażliwymi danymi do logowania.
Taki program dla zespołu powinien umożliwiać m.in.:
- Generowanie klucza głównego dla każdego inżyniera indywidualnie
- Przechowywanie indywidualnych haseł danego inżyniera
- Współdzielenie haseł w ramach zespołu lub między zespołami
- Zarządzanie uprawnieniami – np. do edycji haseł.
Menadżer haseł dla użytku osobistego (np. KeePass) nie jest przystosowany do bezpiecznego współdzielenia haseł w ramach zespołu. Istnieją dedykowane rozwiązania dla zespołów:
- płatne, np. 1Password Teams
- darmowe, np. Bitwarden
Na koniec jedna dobra wiadomość.
Większość nawet płatnych rozwiązań można przetestować za darmo. Podobnie, jak w przypadku osobistego menadżera haseł, ten dedykowany zespołom, może niskim nakładem sił znacznie podnieść bezpieczeństwo organizacji jak i sieci przemysłowej.
Powyższy wpis jest fragmentem raportu, który stworzyliśmy w 2022 roku - "Cyberbezpieczeństwo sektora OT Wyścig, który nigdy się nie kończy".
Pełną wersję pobierzesz bezpłatnie tutaj: https://tech.elmark.com.pl/cybersec/raport/cyberbezpieczenstwo-OT.html
Więcej na temat
Skontaktuj się ze specjalistą Elmark
Masz pytania? Potrzebujesz porady? Zadzwoń lub napisz do nas!
