Oroa dig inte för programvarans sårbarheter, ditt företagsnätverk är mycket mer benägna att bryta mot på grund av att en anställd släckt, en ny rapport har påmint oss.

Denna speciella undersökning har publicerats av säkerhetsutrustning Praetorian, och den omfattade 100 penetrationstester och 450 verkliga attacker, och fann att den mest utbredda attackvektorn var att utnyttja antingen svaga eller gissade anställdslösenord.

Faktum är att Praetorian observerade att svaga domän användar lösenord var en grundläggande orsak till kompromiss i 66% av överträdelser, som kommer först i listan över topp fem attackvektorer.

Följande fyra var: Broadcast namnupplösning förgiftning (64%); Lokala administratörsattacker (61%); Cleartext lösenord lagrade i minnet (59%); Otillräckliga kontroller för nätverksåtkomst (52%).

Praetorian noterade att de fyra främsta angreppsmetoderna är baserade på utnyttjande av phished eller på annat sätt stulna användaruppgifter - och också att de flesta attacker inte har en enda grundorsak, faktiskt 97% av dem har två eller flera.

Vägen av minst motstånd

Den enkla sanningen är att istället för att jaga efter exploater och sårbarheter som de kan använda för att spricka upp ett nätverk, är attackerna mycket mer benägna att förlita sig på någon form av socialteknik, eftersom det här helt enkelt är en lättare och mindre riskabel väg att ta.

Naturligtvis, ser ner linjen, är det traditionella lösenordet sakta ersatt av biometri - som vi såg nyligen, skulle vi helst använda våra kroppar än lösenord.

Även om det naturligtvis finns gränser för biometrisk säkerhet i vissa avseenden. Tidigare i veckan rapporterade vi om hur ansiktsigenkänning lätt kan luras med hjälp av dåliga kvalitetsbilder av offer som hittades på webben, men det är bara grundläggande kamerabaserat ansiktsigenkänning (till exempel lägger infraröd för att upptäcka ett "levande ansikte" uppenbarligen gör en stor skillnad).

I alla fall är det tydligt att traditionella lösenord är en allvarligt sårbar aspekt när det gäller nätverkssvar.

Via: Naken säkerhet

  • Google vill eliminera lösenord, men kommer det att fungera i IT?