E-pastu drošība - lietotāju autentifikācija
Lietotāju autentifikācija ir svarīgs posms e-pasta konfidencialitātes un integritātes nodrošināšanai. Svarīga ir ne tikai atbilstošu autentifikācijas metožu izvēle, bet arī to atbilstoša ieviešana. Zemāk aplūkosim principus efektīvas autentifikācijas implementācijai.
Definēta stingra paroļu politika
Ir definētas prasības paroļu sarežģītības pakāpei, kas nav vājākas par minētajām Ministru kabineta noteikumos Nr. 442.
Paroles tiek glabātas drošā veidā
Lietotāju paroles uz servera netiek glabātas atklātā veidā, vai tādā veidā, no kura tās ir iespējams izgūt.
Administratīvo interfeisu aizsardzība
Visi administratīvie interfeisi (vietnes, kas ļauj administratīvajām vai tehniskajām personām piekļūt servera konfigurācijai vai žurnālfailiem, individuālu lietotāju datiem un iestatījumiem) tiek pasargāti ar multifaktoru autentifikāciju (MFA).
(Vēlams) Visiem lietotājiem ir pieejama MFA
Visiem lietotājiem ir iespēja pasargāt savus kontus ar multifaktoru autentifikāciju un viņi ir informēti par šī risinājuma priekšrocībām.
(Vēlams) Lietotāju paroles tiek salīdzinātas ar HIBP
Laika sprīžos, kad servera pusē ir zināma lietotāja parole (paroles iestatīšanas laikā un pēc veiksmīgas ielogošanās), tiek pārbaudīts, vai tā ir sarežģīta un unikāla, salīdzinot to ar Have I Been Pwned datubāzi.
Ja parole izrādās vāja un lietotājs ir pieslēdzies pie servera caur web-interfeisu, tiek parādīts brīdinājums» ar rīkojumu paroli nomainīt. Ja logošanās nenotiek caur web-interfeisu, bet gan caur e-pasta klientu (izmantojot IMAP vai POP protokolu), lietotājam tiek nosūtīts informatīvs e-pasts.
Vēl par e-pastu drošību:
E-pastu drošība – šifrēšana
E-pastu drošība - aizsardzība pret ienākošo e-pastu viltošanu
E-pastu drošība - aizsardzība pret izejošo e-pastu viltošanu
Noderīgas saites:
“Guidelines on Electronic Mail Security”, NIST
https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-45ver2.pdf
“Trustworthy Email”, NIST
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-177r1.pdf
“Email Authentication Best Practices”, CISCO
https://www.cisco.com/c/dam/en/us/products/collateral/security/esa-spf-dkim-dmarc.pdf
“M3AAWG Best Practices for Managing SPF Records”, Messaging, Malware and Mobile Anti-Abuse Working Group https://www.m3aawg.org/sites/default/files/m3aawg_managing-spf_records-2017-08.pdf
“M3AAWG Trust in Email Begins with Authentication”, Message, Mobile and Malware Anti-Abuse Working Group https://www.m3aawg.org/sites/default/files/document/M3AAWG_Email_Authentication_Update-2015.pdf
“Internet.nl Toolbox – hw-to’s mail security standards”, internet.nl
https://github.com/internetstandards/toolbox-wiki
“How to Combat Fake Emails”, Australian Cyber Security Centre
https://www.cyber.gov.au/publications/how-to-combat-fake-emails
Attēls: pixabay.com