Sekite ZDNET: Pridėkite mus kaip pageidaujamą šaltinį „Google“.
Pagrindiniai ZDNET pasiūlymai
- Silpni arba pažeisti slaptažodžiai įmonėms kelia didelę saugumo riziką.
- Darbuotojai ir toliau pakartotinai naudoja slaptažodžius arba dalijasi jais el. paštu.
- Ateitis be slaptažodžio įmanoma, tačiau tai pareikalaus laiko ir pastangų.
Naudoti silpną arba pažeistą slaptažodį asmeninėje paskyroje yra pakankamai blogai. Tačiau naudojant vieną darbe kyla pavojus ne tik jums, bet ir visai jūsų įmonei. Štai kodėl ši praktika laikoma pagrindine grėsme saugumui, remiantis nauja slaptažodžių tvarkyklės 1Password ataskaita.
Savo 2025 m. metinėje ataskaitoje „Prieigos ir pasitikėjimo spraga“ 1Password apžvelgė būdus, kaip slaptažodžiai vis dar kelia problemų, nepaisant nuolatinio žingsnio prie autentifikavimo be slaptažodžio. Ataskaitos išvados pagrįstos internetinės apklausos, kurioje dalyvavo 5 200 darbuotojų iš JAV, Kanados, JK, Vokietijos, Prancūzijos ir Singapūro, rezultatais. Tarp apklaustųjų buvo prie stalo dirbančių darbuotojų, taip pat IT ir saugos specialistų.
Taip pat: Kaip veikia prieigos raktai: visas vadovas apie jūsų neišvengiamą ateitį be slaptažodžio
Paklausti, kas labiausiai paveikė jų saugos komandos gebėjimą užtikrinti tinkamą jūsų įmonės apsaugą, 44 % respondentų nurodė, kad darbuotojai naudojasi silpnais arba pažeistais įgaliojimais. Apklausa parodė, kad darbuotojų slaptažodžių praktika iš tikrųjų blogėja, o ne gerėja, nes šis procentas padidėjo, palyginti su praėjusių metų ataskaita.
Maždaug du trečdaliai darbuotojų prisipažino pakartotinai naudoję slaptažodžius darbo ir asmeninėse paskyrose, pasikliavę numatytaisiais kredencialais arba bendrinę slaptažodžius el. paštu ar susirašinėjimo programėlėmis. Ironiška, bet IT ir saugos specialistai iš tikrųjų rizikuoja naudoti slaptažodžius nei jų ne IT kolegos.
Pavyzdžiui, 15 % apklaustų ne IT darbuotojų teigė naudoję tuos pačius slaptažodžius darbo ir asmeninėms paskyroms, o 24 % IT profesionalų teigė darantys tą patį.
Prasta slaptažodžių praktika buvo akivaizdi tarp apklaustųjų. Tik 30 % darbuotojų ir 23 % IT specialistų teigė, kad visada naudoja sudėtingus ir unikalius slaptažodžius. Ir nors slaptažodžių tvarkyklės suteikia tam tikrą apsaugą nuo kredencialų kompromiso, tik 38 % IT profesionalų ir 26 % kitų darbuotojų atskleidė, kad jų darbdavys suteikia tokį įrankį.
Taip pat: ar turėtumėte atsisakyti TP-Link maršrutizatoriaus? Štai kaip šiandien apsaugoti savo „Wi-Fi“.
Tarp CISO, kurių įmones per pastaruosius trejus metus nukentėjo duomenų pažeidimas, 50 % nurodė pažeistus kredencialus kaip pagrindinę priežastį, antra po išnaudotų saugumo spragų. Kiti veiksniai, lėmę pažeidimus, buvo tai, kad darbuotojai naudojo nevaldomas arba nepatvirtintas programas ir įrenginius, taip pat buvo išfiltruojami duomenys.
Ateities be slaptažodžio tikrai nori tiek asmenys, tiek įmonės. Tačiau kelias iki ten buvo vingiuotas. Slaptažodžių tvarkykles gali būti sunku prižiūrėti ir valdyti net įmonės aplinkoje. Be to, prieigos raktai vis dar susiduria su keliomis kliūtimis, kol jie tampa pakankamai lengvi, patogūs ir plačiai paplitę, kad galėtų priimti daugiau žmonių.
Vis dėlto prieigos raktai vis labiau populiarėja verslo pasaulyje. Maždaug 41 % apklaustų darbuotojų teigė, kad prisijungė prie prieigos raktų ten, kur jie yra. 89 % saugumo ir IT profesionalų teigia, kad jų įmonė skatina arba planuoja paskatinti darbuotojus pereiti prie prieigos raktų. Maždaug 25 % respondentų teigia, kad mielai pakeistų slaptažodžius prie slaptažodžių, kai tik jie taptų prieinami.
Taip pat: geriausi slaptažodžių tvarkyklės įmonėms: patikrinta ekspertų
Iššūkis čia yra tas, kad pereiti nuo slaptažodžių prie prieigos raktų nėra taip paprasta, kaip įjungti jungiklį. Atvirkščiai, perėjimas žada būti kelių metų projektas daugumai įmonių, kurios turi suderinti savo technologijas, darbo eigą ir reguliavimo reikalavimus. Per tokį žingsnį slaptažodžiai ir prieigos raktai turi egzistuoti kartu, o tai reiškia, kad jie abu turi būti saugūs ir patogūs.
„Tikrai be slaptažodžio aplinka jau seniai buvo saugumo lyderių svajonė“, – sakė vienas respondentas. „Tačiau visiškas slaptažodžių pašalinimas yra daugelį metų trunkantis darbas, o autentifikavimas turi būti kiek įmanoma saugesnis kiekviename žingsnyje.
Taip pat: Kodėl SMS dviejų veiksnių autentifikavimo kodai nėra saugūs ir ką vietoj jų naudoti
Tuo tikslu 1Password išdėstė 5 žingsnių žaidimo planą, kurį organizacijos gali naudoti perėjimui atlikti.
- Suplanuokite savo veiksmų planą ir procesą. Čia norėsite nustatyti, kaip norite pakeisti silpnus slaptažodžius stipriais, pridėti kelių veiksnių autentifikavimą ir pereiti prie autentifikavimo be slaptažodžio, įskaitant prieigos raktus.
- Pateikite darbuotojams aiškias gaires ir palaikymą, kaip pereiti prie stiprių slaptažodžių, MFA ir beslaptažodžių sprendimų.
- Suteikite atitikties pareigūnams darbą patikrinti, ar jūsų sistema be slaptažodžio atitiks reguliavimo gaires, pvz., ISO, SOC 2 ir GDPR.
- Kadangi slaptažodžių vis dar reikia perėjimo metu, įsitikinkite, kad naudojate įmonės slaptažodžių tvarkyklę, kad galėtumėte valdyti slaptažodžių naudojimą ir palengvinti darbuotojų procesą.
- Kur tik įmanoma, atsisakykite rizikingų autentifikavimo metodų, tokių kaip SMS kodai.
Kiekvieną penktadienį su ZDNET gaukite didžiausias technologijų istorijas Savaitės apžvalgos naujienlaiškis.
