劳动力
2020
对于黑客来说,这就像1、2、3、4一样简单
伊丽莎白·s·高尔著
郑重声明
第32卷第5页
密码仍然是最受欢迎的身份验证形式,也是漏洞攻击的首要途径。
根据EMA对200名IT和安全经理的调查,42%的受访者表示,他们的组织曾因密码泄露而遭到入侵。“糟糕的密码卫生”也是导致数据泄露的主要原因,31%的受访者表示,数据泄露是由于与未经授权的同行共享了密码。
虽然由MobileIron赞助并于2020年3月发布的EMA调查并非专门针对医疗保健行业,但鉴于医疗保健行业数据泄露的猖獗性质,加上网络安全支出相对较低(仅占总预算的6%),调查结果并不令人意外。
“密码管理几乎对每个组织来说都是一个永无止境的压力源。Wolf & Company IT保障服务负责人、CISA、CISSP的Ryan J. Rodrigue表示:“虽然网络安全世界继续以其他方式发展,但老式密码仍然是最常见的身份验证方法,而且往往是组织安全态势中最薄弱的环节。”
避开陷阱的适当政策
据许多人估计,超过80%的违规行为涉及密码被破解或被盗。所以我的第一个密码策略建议是“不要使用密码”。罗德里格说:“几乎任何其他形式的身份验证,尤其是多因素身份验证,无论是单独的还是与密码结合使用,都能提供更好的安全性。”
虽然罗德里格承认消除密码是不现实的,但医疗机构可以制定一些政策,使密码的使用更加安全。例如,要求更长的密码是至关重要的,因为“密码长度掩盖了几乎所有其他结构要求的价值”。如果你说的是密码的原始概率空间,长度就是指数,所以每增加一个字符,密码的强度就会呈指数级增长,”罗德里格说。
他还建议对密码要求做一些意想不到的事情,比如在单词中间放一个符号,故意拼写错误,以及将数字编织到单词中。仍然可以使用模式,这对最终用户来说更容易记住,但它应该是独特的。
“通过对概率空间的原始暴力攻击,密码破解几乎从来没有成功过,至少没有成功过。相反,破解工具会遵循从用户现实生活中的密码构造行为中学习到的预期模式,”罗德里格说,他指的是模式或掩码,比如大写字母后面跟着小写字母,添加感叹号以满足复杂性要求,甚至用美元符号代替S或用零代替o,“破解者几乎会立即检查所有这些模式。”
Blue & Co.负责人兼IT风险和咨询实践领域负责人汤姆·斯库格指出,威瑞森2019年的数据泄露调查报告显示,密码泄露是黑客进入系统的第二大常见方式。因此,斯库格表示:“如今最常用的密码是网络安全领域最薄弱的安全措施之一。”
入侵通常有三种形式:有人被骗出密码,密码是通过通过网络钓鱼电子邮件安装的键记录实用程序确定的,或者从服务器获取密码文件,弱密码很容易解密。
为了对抗这些攻击,Skoog建议组织实现多因素身份验证和密码管理器工具。
双因素身份验证涉及您知道的东西和您拥有的东西。换句话说,密码和通常通过文本消息或应用程序(如RSA令牌或Microsoft Authenticator)发送的代码。这种方法极大地降低了泄露的风险,因为黑客无法访问提供验证用户所需的第二个因素的物理设备。
斯库格说:“它降低了密码被轻易猜到的风险,也降低了通过网络钓鱼等社会工程攻击获得密码的风险。”
另一方面,密码管理器可以解决多个密码安全问题。其中包括启用一个单一的主密码,提供对“保险库”的访问,所有其他密码都可以从该“保险库”访问。此外,密码是复杂和加密的,消除了根据个人信息创建密码的可能性。最后,只要知道主密码,它们就可以访问所有设备上的密码。
“财政投资是最小的。而且,在某些情况下,它是零美元,”斯库格说。“许多最流行的密码管理系统,如Dashlane,都免费提供基本方案”,但对高级安全功能收取象征性的费用。
Lesley Berkeyheiser, CCSFP,电子医疗网络认证委员会的高级审查员和HITRUST从业者,也提倡多因素认证。她说,密码太容易受到破坏和黑客攻击,不能让它们单独存在。因此,通过将密码使用与多因素身份验证相结合来保持数据完整性非常重要。
然而,只有在技术的使用和遵循策略以遵守这些特定技术的人员之间找到平衡时,才能实现隐私和安全遵从性的最佳结beplay最新备用网站果。在这种情况下,Berkeyheiser建议按照行业推荐的指导方针来构建密码,比如美国国家标准技术研究院(National Institute of Standards Technology)发布的指导方针。
全面的培训也是必要的,应该包含在任何密码策略中。
Berkeyheiser说:“人们很忙,很容易忘记,他们不想因为记不住密码而花时间重置密码。”“他们应该在刚入职时接受培训,然后不断地编写易于记忆的密码,而不是基于姓氏、地点等个人信息。”应该鼓励他们编写唯一的密码——不容易被猜出——并且包含大写和小写字符,还包括数字、数字和标点/特殊字符,但不要包含任何语言中的单个单词、俚语、方言或行话。
“最重要的是,”她补充说,“应该让员工知道密码非常重要,应该保密,不能分享。密码是他们个人行为的关键,因为它关系到数据的使用,密码的完整性是他们工作职能的核心要求。”
beplay最新备用网站合规是关键
与其他任何与技术相关的事情一样,所实施的任何密码策略的有效性取决于最终用户的完全采用。Berkeyheiser分享说,鼓励员工采用并维持当前的政策或组织目标的最有效方法之一是经常提醒。除了培训,她建议使用海报、横幅和其他视觉机会。她还建议进行例行检查,以识别任何可能危及密码的操作。
“在过去,密码很容易在鼠标垫下面的黄色贴纸上找到。虽然如今在黄色便签上发现密码已经很少见了,但偶尔写一份密码清单是可以识别的,或者一个精通社会工程的人可以说服一个人说出他们的密码,尤其是当他们对这项技术感到沮丧,并认为如果他们提供密码会得到帮助的时候,”伯克海泽说。“组织进行物理检查,以确保工作站没有无人值守的PHI(受保护的健康信息)以及密码等重要信息,以提醒员工有人在监视。有时候,部门之间的竞争……足以激励一个组织达到合规行为。”
罗德里格是培训的支持者,但他敦促组织机构更进一步,请安全顾问进行演练,试图破解一个组织的整个密码文件。这样做有助于识别使用弱密码或可预测密码的用户,以便他们设计更强的密码。
“你也会有一些指标来支持你关于密码漏洞的论点。就像网络钓鱼测试能让人们意识到安全问题一样,密码破解测试也能向用户证明,弱密码是可以被利用的。”
Rose T. Dunn, MBA, RHIA, CPA, FACHE, FHFMA, First Class Solutions的首席运营官,建议鼓励使用复杂的密码,但要通过个性化的方式让人记住,特别是如果员工被要求每60到90天更换一次密码。例如,创建一个包含您的首字母、生日和密码开头的四分之一数字的图案。例如:1QF10M02L@2020。
邓恩说:“这有点长,但更容易记住,当你改变下一个季度时,你通常可以把1改为2,或者把第1季度移到最后,这样就可以把它变成F10M02L@20202Q。”
邓恩说,在教育员工时,“提供任何关于某人的个人账户被黑客入侵并失去积蓄的故事,因为他们使用了‘Admin’作为银行账户密码。”“他们需要保护自己以及他们组织的病人。他们还需要教育正在使用电脑的父母和年长的兄弟姐妹,让他们知道需要一个可靠的密码,以及其他预防措施,比如在可疑的电子邮件地址上徘徊,什么是可疑的电子邮件,永远不要通过电子邮件向他们要钱或银行号码。”
MBA、CHPC、曾在多家医疗机构担任隐私主管的丽贝卡·迈耶(Rebecca Meyer)指出,经常更改密码对保持信息安全至关重要。信息越敏感,修改密码的频率就越高。
然而,这样做可能会产生采用问题。
“虽然在域级别配置设置确实是确保遵守密码策略的唯一方法,但当然有时这是不可能的。密码短语可以使创建和记忆复杂的密码变得容易得多,”迈耶说,并补充说教育是政策采用的另一个重要关键。在互联网上快速搜索“医疗违规”一词,会出现令人担忧的结果。提醒大家保护信息的重要性和违规的后果,是让每个人都站在同一页上并提高合规的可靠方法。”beplay最新备用网站
最后,Berkeyheiser建议将培训和教育与需要密码的技术结合起来,以满足该组织的指导方针。系统可以配置为强制长度和字符组成,并且可以设置为在输入或包含在自动登录过程中时不允许显示密码。所需的加密也可以到位,以确保在传输和存储期间的保护。
她说:“默认的系统帐户应该经常更改,员工应该接受教育,并且系统配置为在发布临时密码后,在第一次登录时发现潜在威胁时要求更改密码,并在帐户恢复时要求立即选择新密码。”
——Elizabeth S. Goar是威斯康星州的一名自由撰稿人。
