In un ufficio se una persona si avvicina a un dipendente e dichiara di essere un nuovo personale IT e di dare loro accesso al proprio computer, cosa può impedire questo tipo di attacco? Ho lavorato un paio di lavori di supporto tecnico e le persone sono tutte felici di consegnare la password e il computer portatile quando dico loro che sono qui per sistemarlo.
come @TerryChia ha detto che la difesa corretta contro questo tipo di attacco è una politica strong. In questo caso gli utenti dovrebbero essere addestrati a non fornire password alle persone di persona o al telefono indipendentemente da quali siano le circostanze.
Se l'IT ha bisogno di accedere a un account utente, dovrebbe utilizzare qualcosa come sudo (per ambienti * nix) o se non è disponibile resettare la password dell'utente prima di eseguire il lavoro e poi reimpostarlo di nuovo o in alternativa potrebbe utilizzare un meccanismo di controllo remoto approvato con severi requisiti di autenticazione.
La chiave è impostare le politiche in modo da non incoraggiare le persone a romperle. Se diventa normale che lo staff IT chieda agli utenti le loro password, allora quando un utente malintenzionato fa la stessa cosa, gli utenti lo seguiranno. Tuttavia, se l'IT non chiede mai password e la politica aziendale non deve farlo, è molto più probabile che gli utenti lo riconoscano come un attacco e reagiscono di conseguenza.
Come per qualsiasi cosa con gli esseri umani, non esiste una difesa perfetta, ma le politiche correttamente progettate e implementate aiutano molto.
Addestra i dipendenti in modo appropriato.
Insegna loro la necessità e l'importanza di verificare l'identità di una persona attraverso una sorta di metodo di identificazione prima di consegnare informazioni importanti.
Nessuna quantità di misure tecniche in vigore può proteggere da utenti clueless. Quindi assicurati che i tuoi utenti non siano clueless.
Installa un sistema di ricompensa per comportamenti sicuri, in modo che i dipendenti si abituino a chiedere credenziali anche da parte del personale IT che conoscono bene.
Ancora più importante, non punire i dipendenti per comportamenti sicuri o premiarli per motivi di sicurezza.
Scenario
Il New-hire VIP (VIP) entra in ufficio, ha dimenticato la password. VIP chiede di utilizzare il login di segreteria (SEC) oggi in modo che possano mettersi al lavoro. SEC è conforme. VIP - con abilità di persone accettabili - dice "grazie" e porta forse le rose il giorno dopo. La SEC è stata rafforzata nel comportamento "Aiuta le persone ad accedere al sistema."
Scenario
Il VIP entra in ufficio, ha dimenticato la password. VIP chiede di usare il login di SEC oggi per poter andare al lavoro. La SEC nega. VIP recupera il diretto superiore di SEC che rimprovera la SEC per ostacolare il posto di lavoro. La SEC è stata rafforzata nel comportamento "Rispetta le richieste dei superiori anche se non sai per certo che sono superiori. "
La metà del problema è che il tuo VIP e SEC sono in esecuzione su hardware progettato per funzionare in una società tribale neolitica e quindi SEC (stato inferiore nella tribù) ha una naturale inclinazione a fare da VIP (stato superiore, forse anche capo della tribù) vuole a meno che non ci sia un tabù contro di essa. Installa quel tabù. Fai capire a tutti che VIP, non SEC, è quello che si sbaglia in questa situazione. Chiedete ai manager di tornare a SEC, non a VIP - anche quando VIP è il gestore .
Questo, come molte altre cose, non accadrà senza il supporto della gestione.
Leggi altre domande sui tag passwords user-education corporate-policy awareness