Lai šī tīmekļa vietne darbotos, CERT.LV izmanto obligāti nepieciešamās sīkdatnes.

Ar Jūsu piekrišanu šajā vietnē papildus var tikt izmantotas statistikas un mārketinga sīkdatnes.

Ja piekrītat šo papildu sīkdatņu izmantošanai, lūdzam atzīmēt savu izvēli:

Plašāka informācija un iespēja mainīt savu izvēli šeit.

☰
Sākums Incidenti Rīki un ieteikumi

E-pastu drošība - lietotāju autentifikācija

Lietotāju autentifikācija ir svarīgs posms e-pasta konfidencialitātes un integritātes nodrošināšanai. Svarīga ir ne tikai atbilstošu autentifikācijas metožu izvēle, bet arī to atbilstoša ieviešana. Zemāk aplūkosim principus efektīvas autentifikācijas implementācijai.

Definēta stingra paroļu politika

Ir definētas prasības paroļu sarežģītības pakāpei, kas nav vājākas par minētajām Ministru kabineta noteikumos Nr. 442.

Paroles tiek glabātas drošā veidā

Lietotāju paroles uz servera netiek glabātas atklātā veidā, vai tādā veidā, no kura tās ir iespējams izgūt.

Administratīvo interfeisu aizsardzība

Visi administratīvie interfeisi (vietnes, kas ļauj administratīvajām vai tehniskajām personām piekļūt servera konfigurācijai vai žurnālfailiem, individuālu lietotāju datiem un iestatījumiem) tiek pasargāti ar multifaktoru autentifikāciju (MFA).

(Vēlams) Visiem lietotājiem ir pieejama MFA

Visiem lietotājiem ir iespēja pasargāt savus kontus ar multifaktoru autentifikāciju un viņi ir informēti par šī risinājuma priekšrocībām.

(Vēlams) Lietotāju paroles tiek salīdzinātas ar HIBP

Laika sprīžos, kad servera pusē ir zināma lietotāja parole (paroles iestatīšanas laikā un pēc veiksmīgas ielogošanās), tiek pārbaudīts, vai tā ir sarežģīta un unikāla, salīdzinot to ar Have I Been Pwned datubāzi.

Ja parole izrādās vāja un lietotājs ir pieslēdzies pie servera caur web-interfeisu, tiek parādīts brīdinājums» ar rīkojumu paroli nomainīt. Ja logošanās nenotiek caur web-interfeisu, bet gan caur e-pasta klientu (izmantojot IMAP vai POP protokolu), lietotājam tiek nosūtīts informatīvs e-pasts.

Vēl par e-pastu drošību:

E-pastu drošība – šifrēšana
E-pastu drošība - aizsardzība pret ienākošo e-pastu viltošanu
E-pastu drošība - aizsardzība pret izejošo e-pastu viltošanu

Noderīgas saites:

“Guidelines on Electronic Mail Security”, NIST
https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-45ver2.pdf

“Trustworthy Email”, NIST
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-177r1.pdf

“Email Authentication Best Practices”, CISCO
https://www.cisco.com/c/dam/en/us/products/collateral/security/esa-spf-dkim-dmarc.pdf

“M3AAWG Best Practices for Managing SPF Records”, Messaging, Malware and Mobile Anti-Abuse Working Group https://www.m3aawg.org/sites/default/files/m3aawg_managing-spf_records-2017-08.pdf

“M3AAWG Trust in Email Begins with Authentication”, Message, Mobile and Malware Anti-Abuse Working Group https://www.m3aawg.org/sites/default/files/document/M3AAWG_Email_Authentication_Update-2015.pdf

“Internet.nl Toolbox – hw-to’s mail security standards”, internet.nl
https://github.com/internetstandards/toolbox-wiki

“How to Combat Fake Emails”, Australian Cyber Security Centre
https://www.cyber.gov.au/publications/how-to-combat-fake-emails

Attēls: pixabay.com

Ziņas

Par mums

Incidenti

Pakalpojumi

Kontakti

© 2024 CERT.LV