אחת מהסיבות שבגללן מתקשרים הכי הרבה למרכז התמיכה (Help Desk) הינה איפוס סיסמאות. הסיבה היא שמשתמש ארגוני צריך לזכור בין 4-8 סיסמאות למערכות השונות והן משתנות בממוצע כל 90 יום. נהלי החברה אוסרים, בצדק, לרשום את הסיסמאות על לוח המודעות או על המסך ובנוסף, הסיסמא מורכבת וארוכה. לכן, אחוז נכבד מהפניות למוקד הוא בנושא זה.
באופן טבעי, מחלקת השירות מעוניינת להטמיע בארגון תוכנות לאיפוס סיסמאות בשירות עצמי. תוכנות אלה מאפשרות למשתמש לשחרר את הסיסמא מנעילה או לאפס בעצמו את הסיסמא. לכאורה, זה משרת גם את אבטחת מידע שכן גם המוקדנים לא יידעו את הסיסמא החדשה. עם זאת, תוכנות כאלה יוצרות סיכונים אחרים שצריך להתחשב בהם בעת הטמעת מערכת כזאת.
להלן מספר סיכונים שמיפיתי בבחינת פתרונות שונים:
- לא כל המערכות האלה מאובטחות בעצמן. למשל, ראיתי בעבר מערכת שעובדת על HTTP, כלומר תשדורת הסיסמא עוברת באופן לא מוצפן. כך ששימוש בתוכנה לא מאובטחת תאפשר לפורץ להשיג שליטה על סיסמאות של עובדים אחרים.
- ישנם מנהלים שרוצים לחשוף מערכת כזאת גם לאינטרנט. זה יאפשר לכל העולם לנסות לדוג שם משתמש וסיסמא ולחדור לרשת הארגונית.
- מערכת כזאת מאפשרת לבצע סוג של Brute Force כדי לאפס סיסמא של עובדים. ניצול מתקפת Social Engineering יביא לתוצאה דומה לנקודה הקודמת.
- הגדרת שאלות אבטחה ('סבתא') חלשות לצורך זיהוי המשתמש, כגון מה הצבע האהוב עליך (רוב האנשים יבחרו כחול, אדום, ירוק או צהוב), יחליש מאוד את רמת האבטחה. למי שמתעניין בפוליטיקה האמריקאית בוודאי יזכור שכך פרצו לחשבון המייל של שרה פיילין אשר התמודדה על תפקיד סגן נשיא ארה"ב.
לכן, כאשר באים להכניס לארגון פתרון לחיזוק האבטחה, חשוב לוודא שהפתרון בעצמו מאובטח ולא פוגע ברמת אבטחת המידע.
CISO בלוג אבטחת מידע 
תגובות אחרונות