De tre nycklar till säkerhet: lösenord, lösenord, och lösenord

Svaga lösenord fortsätter att vara den enskilt största säkerhetsproblem inför brittiska företag: användare förlitar sig alltför ofta på standardlösenord eller de möjliggör samtidiga inloggningar.

Enligt en rapport från teknologiindustrin kroppen techUK, medan nya hot fortsätter att växa “väl kända sårbarheter är fortfarande den vanligaste”.

Rapporten Säkra webbapplikationer och infrastruktur, bygger på penetrationstester som genomförts under de senaste 12 månaderna av techUK, och producerades i samarbete med inrikesdepartementet.

Hundratals miljoner skivor har stulits i år genom hacka och dataintrång som ett resultat av dålig eller bristfällig säkerhet. Här är de mest anmärkningsvärda historier om året.

Resultaten visade att de tio bästa sårbarheter är

1. Konto svagheter. En svag lösenordspolicy kan ge obehörig åtkomst till ett program eller större system.

2. Secure Sockets Layer (SSL) frågor. Tester visar genomgående osäkerhet från svaga chiffer som används, egensignerade och utgångna certifikat som kan leda till nedsatt lösenord.

3. Cross site scripting (XSS). XSS är en av de vanligaste sårbarheter som gör det möjligt för angripare att injicera körbar kod i webbsidor.

4. Rensa testprotokoll som används. Även om det kan vara bra att testa applikationer och system i allmänhet, utan synlig såsom “test selar” eller liknande kan vara till nytta för en angripare.

5. Ingen brute force skydd. Brute force kan användas för att attackera en ansökan på ett enkelt men effektivt sätt, genom att automatiskt pröva olika lösenord kombinationer eller metoder.

6. kataloglistning. Genom att upptäcka katalogstrukturen en angripare kan utnyttja en viss fil eller använda katalogen notering att förbättra deras chans att lyckas i att äventyra systemet eller tillämpningen

7. Nej “clickjacking” skydd. Clickjacking tillåter en skadlig länk som ska placeras över en legitim länk via ett transparent webblager. Detta gör det möjligt för angripare att “highjack” länken och dirigera användaren till en webbsida som skiljer sig från den som de tror att de kommer att.

Är förbjuda kryptering en galen plan eller en absolut nödvändighet? Verkligheten är mycket mer komplicerat än så, Skeleton Key “malware låser företagsnätverk, Storbritanniens premiärminister vill förbjuda krypterad kommunikation online

2014 i säkerhet

Säkerhet, nytänkande säkerhets grunderna: Hur man gå bortom FUD, Innovation, M2M marknaden studsar tillbaka i Brasilien, säkerhet, FBI gripanden påstådda medlemmar av Crackas med inställningen för att hacka amerikanska Gov’t tjänstemän, säkerhet, WordPress uppmanar användare att uppdatera? nu att åtgärda kritiska säkerhetshål

8. Cookies. Cookies kan vara en säkerhetsrisk när de inte bara märkta HTTP eller att de inte markeras som säkra.

9. Värdkonfigurationsproblem. Värdar måste ställas in på rätt sätt för att försvara sig mot angripare eller andra säkerhetsproblem. De största frågorna här är brandväggar och IP-läckage.

10. Information avslöjande, och särskilt användar uppräkning. Det är där den funktionella svar av ansökan eller återställning av lösenord mekanismen kan ge oavsiktliga “ledtrådar” som till konstruktionen av ett användarnamn eller lösenord.

Men det är inte bara dåliga nyheter. Gordon Morrison, chef för tech för regeringen på techUK, sa: “De goda nyheterna för företag och medborgare är att det finns väletablerade korrigeringarna för att skydda mot dessa sårbarheter och undvika att falla offer för IT-relaterad brottslighet”.

Till exempel noterade han hjälp var tillgängliga i form av en specifikation som utvecklats av BSI som beskriver vad som är god programvaruteknik: PAS 754, Software Pålitlighet – Förvaltning och ledning.

Vidare läsning

Re-thinking säkerhets grunderna: Hur man gå bortom FUD

? M2M marknaden studsar tillbaka i Brasilien

FBI gripanden påstådda medlemmar av Crackas med inställningen för att hacka amerikanska Gov’t tjänstemän

WordPress uppmanar användare att uppdatera nu för att åtgärda kritiska säkerhetshål