Ključni izsledki
- Strokovnjaki za kibernetsko varnost predlagajo, da gesla sama po sebi ne bi smela več veljati za primerna za zaščito računov.
- Uporabniki naj omogočijo večfaktorsko avtentikacijo (MFA), kjer koli je to mogoče.
- Vendar MFA ne bi smeli uporabljati kot izgovor za ustvarjanje šibkih gesel.
Najmočnejše gesla in najstrožji pravilniki o geslih niso kaj dosti koristni, ko vaš ponudnik spletnih storitev razkrije vaše poverilnice zaradi napačne konfiguracije v svojih strežnikih.
Če menite, da bi bil takšen dogodek redkost, vedite, da je veliko največjih uhajanj podatkov v letu 2021 nastalo zaradi tehničnih napak ponudnikov storitev. Pravzaprav so decembra 2021 strokovnjaki za kibernetsko varnost pomagali zapreti tako napačno konfiguracijo v vedru S3 Amazon Web Services v lasti Sega, ki je vsebovalo vse vrste občutljivih informacij, vključno z gesli.
»Uporaba gesel bi morala zastareti in morali bi iskati drugačne načine za prijavo v račune,« je za Lifewire po e-pošti povedal Saryu Nayyar, izvršni direktor prodajalca varnosti Gurucul.
Težava z gesli
Decembra je The Sun poročal, da je Nacionalna kriminalistična agencija Združenega kraljestva (NCA) poslala več kot 500 milijonov gesel priljubljeni storitvi Have I Been Pwned (HIBP), ki jih je odkrila med preiskavo.
HIBP omogoča uporabnikom, da preverijo, ali so njihova gesla pricurljala pri vdoru in ali so nagnjena k zlorabi s strani hekerjev. Po besedah ustanovitelja HIBP, Troya Hunta, več kot 200 milijonov gesel, ki jih je posredoval NCA, še ni obstajalo v bazi podatkov.
Čeprav je funkcija shranjevanja poverilnic računa v brskalnikih zelo priročna … uporabnikom priporočamo, da je ne uporabljajo.
Kaže na samo velikost problema, težava so gesla, arhaična metoda dokazovanja lastne verodostojnosti. Če je bil kdaj poziv k dejanju, da si prizadevamo za odpravo gesel in iskanje alternativ, potem mora to naj bo, « je Baber Amin, COO strokovnjakov za digitalno identiteto, Veridium povedal Lifewire po e-pošti, kot odgovor na nedavni prispevek NCA k HIPB.
Amin je dodal, da razkrite poverilnice ne ogrožajo le obstoječih računov, saj jih hekerji zdaj uporabljajo z analitičnimi orodji, ki temeljijo na umetni inteligenci, da prepoznajo vzorce, kako posameznik ustvarja gesla. V bistvu razkrite poverilnice ogrožajo tudi varnost drugih nekompromitiranih računov.
Gesla in več
Ko se zavzema za boljši zaščitni mehanizem od gesel, Nayyar predlaga, da uporabniki, ki imajo možnost nastavitve večfaktorske avtentikacije v svojih računih, to storijo.
Ron Bradley, podpredsednik Shared Assessments, članske organizacije, ki pomaga razviti najboljše prakse za zavarovanje tveganj tretjih oseb, se strinja. "Vklopi večfaktorsko preverjanje pristnosti povsod, zlasti aplikacije, ki prenašajo denar."
Zaščita računa samo z geslom je znana kot enofaktorska avtentikacija. Večfaktorsko preverjanje pristnosti ali MFA nadgrajuje to in ščiti račune z dodajanjem dodatnega koraka v postopek prijave, tako da od uporabnikov zahteva še en podatek. Številne storitve, vključno z več bankami, izvajajo MFA tako, da pošljejo potrditveno kodo na uporabnikovo mobilno številko, registrirano pri banki.
Vendar pa je ta mehanizem preverjanja nagnjen k mehanizmu napada, znanemu kot napad zamenjave kartice SIM, kjer napadalci prevzamejo nadzor nad ciljno številko mobilnega telefona tako, da pretentajo lastnikovega operaterja, da številko znova dodeli napadalčevi kartici SIM.
Medtem ko je T-Mobile priznal takšen napad, ki je bil usmerjen na nekatere njegove stranke, je dejal, da so napadi na zamenjavo SIM postali pogost pojav v celotni panogi.
Namesto tega je boljša možnost za omogočanje MFA z uporabo aplikacij, kot so Duo Security, Google Authenticator, Authy, Microsoft Authenticator in drugih podobnih namenskih aplikacij MFA.
Širjenje gesel
Vendar so vsi strokovnjaki za kibernetsko varnost, s katerimi smo govorili, opozorili, da uporaba MFA ne sme biti izgovor za neustrezne ukrepe za zaščito gesel.
"Bodite del enoprocentovcev, ki nimajo pojma, kakšno je njihovo bančno geslo, ker je predolgo in zapleteno," je svetoval Bradley.
Dodaja, da bi morali uporabniki razmisliti o vlaganju v upravitelja gesel, ko gre za gesla. Čeprav brezplačnih upraviteljev gesel ne manjka in je eden vgrajen tudi v vaš spletni brskalnik, strokovnjaki menijo, da je brezplačni upravitelj gesel boljši, kot da ga sploh nimate, vendar morajo biti uporabniki pri njegovi uporabi previdni.
Bodite del enoprocentovcev, ki nimajo pojma, kakšno je njihovo bančno geslo, ker je predolgo in zapleteno.
Med raziskovanjem nedavnega vdora v interno omrežje enega podjetja so raziskovalci kibernetske varnosti iz AhnLaba odkrili, da je račun VPN, ki je bil uporabljen za vdor v omrežje podjetja, pricurljal iz osebnega računalnika oddaljenega zaposlenega.
Ta računalnik je bil okužen z različno zlonamerno programsko opremo, vključno s tisto, ki je bila zasnovana posebej za pridobivanje gesel iz upraviteljev gesel, vgrajenih v spletne brskalnike Chromium, kot sta Google Chrome in Microsoft Edge.
»Čeprav je funkcija shranjevanja poverilnic računa v brskalnikih zelo priročna, saj obstaja nevarnost uhajanja poverilnic računa ob okužbi z zlonamerno programsko opremo, uporabnikom priporočamo, da je ne uporabljajo, « opozarjajo raziskovalci AhnLaba.
