Pozor na názvy souborů, kompresní algoritmy podporují útoky na zahlcení služeb, chybný důraz na podobu hesel. Curtis Franklin na Dark Reading uvádí bezpečnostní rizika, jichž si správci podnikového IT zpravidla nejsou dostatečně vědomi.
ZIP bomby. Nové kompresní algoritmy mohou data z hlediska objemu snížit na až na velikost 28 milionů : 1. Nevinně působící soubor pak může po svém rozbalení snadno vyřadit kus IT infrastruktury, je tu možnost útoků na dostupnost služby. A to jakkoliv se v praxi tento typ útoku ještě neobjevil a vše bylo demonstrováno pouze pro výzkumné účely. Navíc k rozbalení dat může dojít i automaticky (při analýze/skenování souboru apod.).
Nezamknutá zařízení. Nastavení firemních politik neumožňuje vynutit uzamykání displeje na mobilních zařízeních. Podobný problém: Lidé přihlášení do určité aplikace včetně kritických systémů nejsou kvůli uživatelskému komfortu po určité době nečinnosti automaticky odhlašováni. Pro administrátory může být jednodušší nenastavovat automatické odhlašování pro každou aplikaci, ale na úrovni firemních zařízení. To se však často týká jen PC, nikoliv smartphonů, navíc lidé přistupují k podnikovým aplikacím i ze soukromých PC doma. Lepší je proto ochrana na úrovni aplikace.
Podezřelé VPN. Lidé by pro vzdálený přístup k firemní síti měli používat firemní VPN, respektive schválený seznam VPN, nikoliv mnohé bezplatné aplikace, které mohou mít chyby zabezpečení, nebo dokonce mohou příslušnou komunikaci odposlouchávat záměrně (mnohé s vazbou na Čínu apod.). Firmy by měly za vlastní VPN být ochotny zaplatit. Lidé přistupující do firemní sítě např. z veřejných Wi-Fi sítí nevědí, že použití bezplatných VPN může znamenat více škody než užitku.
Hesla. U hesel se bezpečnostní specialisté soustředí často na pravidla pro jejich zadávání. Jenže většina bezpečnostních incidentů dnes není spojena s hádáním hesel (slovníkové útoky apod.), ale s tím, že jsou zachycena na kompromitovaném zařízení, ukradeny databáze hesel apod. Ukrást silné heslo není o nic obtížnější než slabé. Mnohem větší pozornost je tedy třeba věnovat způsobům, jak jsou hesla uchovávána. A samozřejmě rizikem je používat hesla pro důležité aplikace na dalších, rizikových apod. webech. Bezpečnější je slabé, ale jedinečné heslo.
QR kódy. Podobně jako zkracovače URL se i tyto formy odkazů používají k tomu, aby uživatele mátly, skrývaly skutečnou adresu. Na mobilních zařízeních vzhledem k velikost adresního řádku často není pořádně vidět ani URL, na které se nakonec vše přesměruje. Phishing na mobilních zařízeních je díky tomu mnohem účinnější. Lidé jsou běžně poučeni, že nemají na všechno klikat, ale s mobilním zařízením přistupujícím k podnikové síti často zacházejí jinak než s PC. Útočníci využívají QR kódy v e-mailu, v aplikacích pro zasílání zpráv apod.
Názvy souborů. Pokud se ve firmě používá nějaký jednotný systém pro pojmenování souborů, nemělo by jít o nicneříkající kombinace čísel. Názvy by určitě měly dávat smysl a usnadňovat uživatelům orientaci, ale na druhé straně by neměly ulehčovat práci útočníkům. Získá-li útočník např. přístup k jednomu souboru, neměl by mít možnost snadno stáhnout soubory ostatní. Názvy souborů by také neměly obsahovat dodatečné informace typu čísla, pod nímž je zákazník veden v nějaké další databázi apod.
