En una oficina, si una persona se acerca a un empleado y dice ser un nuevo personal de TI y le da acceso a su computadora, ¿qué puede evitar este tipo de ataque? He trabajado en un par de trabajos de soporte técnico y la gente está feliz de entregar su contraseña y computadora portátil cuando les digo que estoy aquí para arreglarla.
como @TerryChia dijo que la defensa correcta contra este tipo de ataque son políticas sólidas. En este caso, los usuarios deben recibir capacitación para no proporcionar contraseñas a las personas en persona o por teléfono, independientemente de las circunstancias.
Si TI necesita iniciar sesión en una cuenta de usuario, deben usar algo como sudo (para entornos * nix) o, si no está disponible, restablecer la contraseña de los usuarios antes de hacer el trabajo y luego restablecerla nuevamente o, alternativamente, podrían use un mecanismo de control remoto aprobado que tenga fuertes requisitos de autenticación.
La clave es establecer políticas de una manera que no aliente a las personas a romperlas. Si se convierte en la norma de que el personal de TI está pidiendo a los usuarios sus contraseñas, entonces cuando un atacante hace lo mismo, los usuarios simplemente lo aceptarán. Sin embargo, si IT nunca pide contraseñas y la política de la empresa no debería hacerlo, es mucho más probable que los usuarios reconozcan esto como un ataque y reaccionen en consecuencia.
Al igual que con cualquier persona con seres humanos, no hay una defensa perfecta, pero las políticas correctamente diseñadas e implementadas ayudan mucho.
Entrene a los empleados adecuadamente.
Enséñeles la necesidad y la importancia de verificar la identidad de una persona a través de algún método de identificación antes de entregar información importante.
Ninguna cantidad de medidas técnicas implementadas puede proteger contra usuarios despistados. Así que asegúrate de que tus usuarios no estén despistados.
Instituya un sistema de recompensa para un comportamiento seguro, de modo que los empleados se acostumbren a solicitar credenciales incluso del personal de TI que conocen bien.
Más importante aún, no castiga a los empleados por comportamientos seguros, ni los recompensa por inseguros.
Escenario
El nuevo empleado VIP (VIP) entra a la oficina, ha olvidado la contraseña. VIP solicita usar el inicio de sesión del Secretario (SEC) hoy para que puedan ponerse a trabajar. SEC cumple. VIP - con habilidades de personas aceptables - dice "gracias" y tal vez trae rosas al día siguiente. La SEC ha sido reforzada en el comportamiento "Ayuda a las personas a acceder al sistema".
Escenario
VIP entra en la oficina, ha olvidado la contraseña. VIP solicita usar el inicio de sesión de SEC hoy para que puedan ponerse a trabajar. La SEC niega. VIP busca al superior inmediato de SEC que reprende a SEC por obstruir el lugar de trabajo. Se ha reforzado el comportamiento de SEC "Cumplir con las peticiones de los superiores incluso si no está seguro de que sean superiores. "
La mitad del problema es que tu VIP y SEC se ejecutan en hardware diseñado para funcionar en una sociedad tribal neolítica, por lo que SEC (estado más bajo en la tribu) tiene una inclinación natural a hacerlo como VIP (estado más alto, quizás incluso jefe de tribu) quiere a menos que haya un tabú contra ella. Instituye ese tabú. Haga que sea obvio para todos que VIP, no SEC, es el equivocado en esta situación. Haga que los administradores respalden a SEC, no a VIP - incluso cuando VIP es el administrador .
Esto, como muchas otras cosas, no sucederá sin el respaldo de la administración.
Lea otras preguntas en las etiquetas passwords user-education corporate-policy awareness