Ikke bry deg om programvaresårbarheter, ditt selskapsnettverk er langt mer sannsynlig å bli brutt på grunn av en oppsigelse laget av en medarbeider, en ny rapport har påminnet oss.

Denne spesielle undersøkelsen har blitt publisert av sikkerhetsutstyret Praetorian, og den omfattte rundt 100 penetrasjonstester og 450 virkelige angrep, og fant at den mest utbredte angrepsvektoren var å utnytte enten svake eller gjengitte ansattes passord.

Faktisk observert Praetorian at svak domene brukerpassord var en grunnårsak til kompromiss i 66% av bruddene, som kommer først i listen over topp fem angrepvektorer.

De følgende fire var: Broadcast navn oppløsning forgiftning (64%); Lokale administratorangrep (61%); Cleartext passord lagret i minnet (59%); Utilstrekkelige nettverkstilgangskontroller (52%).

Praetorian bemerket at de fire øverste av disse angrepsmetodene er basert på å utnytte phished eller på annen måte stjålet brukeridentifikasjoner - og at de fleste angrep ikke har en eneste grunnårsak, faktisk har 97% av dem to eller flere.

Sti av minst motstand

Den enkle sannheten er at i stedet for å jakte på utnyttelser og sårbarheter de kan bruke til å knekke opp et nettverk, er angriperne mye mer sannsynlig å stole på noen form for sosialteknikk, fordi dette ganske enkelt er en enklere og mindre risikabel rute å ta.

Selvfølgelig, ser du ned linjen, blir det tradisjonelle passordet langsomt erstattet av biometri - som vi så nylig, vil vi alle bruke kroppene våre enn passord.

Selv om det selvsagt er grenser for biometrisk sikkerhet i visse henseender. Tidligere i uka rapporterte vi om hvordan ansiktsgjenkjenning lett kan bli lurt ved å bruke dårlige kvalitetsbilder av ofre funnet på nettet, selv om det bare er grunnleggende kamerabasert ansiktsgjenkjenning (for eksempel legger infrarød til å oppdage et "levende" ansikt tydeligvis gjør en stor forskjell).

I alle fall er det klart at tradisjonelle passord er et alvorlig sårbart aspekt når det gjelder nettverksforsvar.

Via: Naken sikkerhet

  • Google vil eliminere passord, men vil det fungere i IT?