Аутор: Мајк Мулан (Mike Mullane)

IEC вијест на енглеском језику можете да прочитате овдје.

У пародији Мела Брукса (Mel Brooks) на „Ратове звијезда“, „Свемирским шејтанима“ (Spaceballs), „12345“ је комбинација која штити „ваздушни штит“ планете Друидија. Када се то открије, неспретни зликовац филма Дарк Хелмет (Dark Helmet) експлодира у невјерици: „То је најглупља комбинација коју сам икада чуо у животу! То је ствар коју би само идиот ставио на свој пртљаг!“

Та сцена из „Свемирских шејтана“ наглашава врло реалан и упоран проблем људске љености и предвидљивости при избору лозинки. Изненађујуће, „12345“ и њен рођак „password“ и даље су међу најчешће коришћеним лозинкама данас.

У „Свемирским шејтанима“ је атмосфера измишљене планете у опасности. У стварном животу, то су наши банковни рачуни, пословни системи и лични подаци.

Па ипак, многи безбједност лозинки третирају као нешто споредно, не схватајући колико је тога у игри док не буде прекасно. То је био случај прошлог мјесеца, на примјер, када је једна слаба лозинка довела до затварања једне британске компаније и губитка 700 радних мјеста.

Према извештајима, хакери су искористили једну рањиву лозинку, добивши приступ основној ИТ инфраструктури компаније. Пошто је особљу био блокиран приступ кључним подацима, операције су обустављене.

Немајући могућност да плати откупнину и без приступа подацима, компанија је пропала.

Сајбер безбједност за ИТ системе

Међународни стандард ISO/IEC 27002[1] нуди мноштво практичних савјета о управљању лозинкама у ИТ системима. Он наглашава важност јаких, јединствених лозинки, безбједне дистрибуције и редовне промјене лозинки ради заштите корисничких налога.

ISO/IEC 27002 идентификује три кључне области за управљање лозинкама: креирање и дистрибуција лозинки, одговорности корисника и системи за управљање лозинкама:

Креирање и дистрибуција лозинки

• Лозинке треба да буду сложене, јединствене и не смију се лако погодити.
• Лозинке морају безбједно да се преносе корисницима.
• Идентитет корисника треба да се провјери прије него што му се дају подаци о лозинци.
• Подразумијеване лозинке које дају добављачи морају се одмах промијенити.

Одговорности корисника

• Корисници морају да чувају лозинке у тајности и не смију да их дијеле с другима.
• Лозинке треба брзо да се промијене ако су компромитоване.
• Корисници би требало да креирају сложене лозинке користећи комбинацију карактера.

Систем за управљање лозинкама

• Корисници би требало да могу да бирају и мијењају своје лозинке.
• Препоручује се вишефакторска аутентификација.
• Лозинке би требало редовно да истичу, нарочито након безбједносних инцидената или промјене запослених.
• Требало би спријечити поновну употребу претходних лозинки.
• Лозинке би требало да се складиште и преносе безбједно.

Вриједи истаћи да савјети у међународним стандардима увијек теже да буду реалистични и практични. На примјер, ISO/IEC 27002 упозорава на опасности „замора од лозинки“, напомињући да пречесте промјене лозинки могу бити фрустрирајуће и могу довести до слабијих лозинки.

Сајбер безбједност за оперативну технологију (ОТ)

IEC 62443[2] је најпознатији свјетски стандард за сајбер безбједност критичне инфраструктуре и других индустријских система за аутоматизацију и контролу (IACS). Ова оперативна технологија (ОТ) је некада била ван мреже, али је сада повезана са низом монитора, сензора и других уређаја путем индустријског интернета ствари (IIoT).

IEC 62443-3-3[3] је мјесто гдје се може пронаћи већина савјета о мјерама за осигурање интегритета и безбједности лозинки. Он укључује смјернице за сложеност, јединственост, безбједно складиштење и редовно ажурирање.

Нивои безбједности описани у IEC 62443 директно утичу на управљање лозинкама. Једноставно речено, што је виши ниво безбједности, то су строжији захтјеви за управљање лозинкама.

Принцип најмање привилегије

Један од најважнијих савјета, који се налази и у породици стандарда ISO/IEC 27000 и у серији IEC 62443, односи се на „принцип најмање привилегије“. Идеја је да корисници треба да имају приступ мрежи и мрежним услугама само онолико колико је неопходно за обављање њиховог посла.

Али чак и ако су ИТ професионалци ваше организације примијенили принцип најмање привилегије, и даље морате да изаберете праву лозинку. Само запамтите да ако би Дарк Хелмет то назвао „најглупљом комбинацијом коју је икада чуо“, вријеме је да изаберете бољу.