Pagrindiniai pasiėmimai
- Kibernetinio saugumo ekspertai siūlo, kad patys slaptažodžiai nebegali būti laikomi tinkamais paskyroms apsaugoti.
- Naudotojai, kur tik įmanoma, turėtų įgalinti kelių veiksnių autentifikavimą (MFA).
- Tačiau MFA neturėtų būti naudojamas kaip pasiteisinimas kuriant silpnus slaptažodžius.
Tvirčiausias slaptažodis ir griežčiausia slaptažodžių politika nėra labai naudingi, kai jūsų interneto paslaugų teikėjas nutekina jūsų kredencialus dėl netinkamos jų serverių konfigūracijos.
Jei manote, kad toks atvejis būtų retenybė, žinokite, kad daugelis didžiausių duomenų nutekėjimo 2021 m. įvyko dėl paslaugų teikėjų techninių nesklandumų. Tiesą sakant, 2021 m. gruodžio mėn. kibernetinio saugumo ekspertai padėjo pašalinti tokią klaidingą konfigūraciją „Amazon Web Services“S3 segmente, priklausančiame „Sega“, kuriame buvo visos neskelbtinos informacijos, įskaitant slaptažodžius.
„Slaptažodžio naudojimas turėtų tapti nebereikalingas ir turėtume ieškoti įvairių būdų prisijungti prie paskyrų“, – el. paštu Lifewire sakė saugos tiekėjo Gurucul generalinis direktorius Saryu Nayyar.
Slaptažodžių problema
Gruodžio mėn. „The Sun“pranešė, kad JK Nacionalinė nusik altimų agentūra (NCA) pateikė daugiau nei 500 milijonų slaptažodžių populiariajai „Have I Been Pwned“(HIBP) paslaugai, kurią ji atskleidė tyrimo metu.
HIBP leidžia vartotojams patikrinti, ar jų slaptažodžiai nebuvo nutekinti pažeidus ir ar yra linkę piktnaudžiauti įsilaužėliais. Pasak HIBP įkūrėjo Troy Hunto, daugiau nei 200 milijonų NCA pateiktų slaptažodžių duomenų bazėje dar nebuvo.
Nors naršyklių paskyros kredencialų saugojimo funkcija yra labai patogi… naudotojams rekomenduojama jos nenaudoti.
Tai rodo didžiulį problemos dydį, nes problema yra slaptažodžiai, archajiškas būdas įrodyti savo nuoširdumą. Jei kada nors buvo raginimas imtis veiksmų, siekiant pašalinti slaptažodžius ir rasti alternatyvų, tai turi būti ar tai būtų “, – Baber Amin, skaitmeninės tapatybės ekspertų COO, Veridium el. paštu pasakė Lifewire, atsakydamas į neseniai NCA indėlį į HIPB.
Aminas pridūrė, kad nutekėję kredencialai ne tik kelia pavojų esamoms paskyroms, nes įsilaužėliai dabar naudoja juos su dirbtiniu intelektu pagrįstais analitiniais įrankiais, kad nustatytų, kaip asmuo sukuria slaptažodžius. Iš esmės nutekėję kredencialai taip pat kelia pavojų kitų nepažeistų paskyrų saugumui.
Slaptažodžiai ir daugiau
Remdamas geresnį apsaugos mechanizmą nei slaptažodžiai, Nayyar siūlo, kad naudotojai, turintys galimybę savo paskyrose nustatyti kelių veiksnių autentifikavimą, turėtų tai padaryti.
Ronas Bradley, bendrų vertinimų viceprezidentas, narystės organizacija, padedanti kurti geriausią trečiųjų šalių rizikos užtikrinimo praktiką, sutinka. "Visur, kur įmanoma, įjunkite kelių veiksnių autentifikavimą, ypač programas, kurios perkelia pinigus."
Paskyros apsauga tik slaptažodžiu vadinamas vieno veiksnio autentifikavimu. Kelių veiksnių autentifikavimas arba MFA yra papildomas ir apsaugo paskyras įtraukiant papildomą prisijungimo procesą, prašant naudotojų kitos informacijos. Daugelis paslaugų, įskaitant kelis bankus, įgyvendina MFA siųsdamos patvirtinimo kodą naudotojo mobiliojo telefono numeriu, užregistruotu banke.
Tačiau šis patvirtinimo mechanizmas yra linkęs į atakos mechanizmą, žinomą kaip SIM keitimo ataka, kai užpuolikai perima taikinio mobiliojo telefono numerio valdymą, apgaudinėdami savininko operatorių, kad šis perskirtų numerį užpuoliko SIM kortelei.
Pripažindama tokią ataką, kurios taikinys buvo kai kurie jos klientai, „T-Mobile“teigė, kad SIM keitimo atakos tapo įprastu ir visos pramonės reiškiniu.
Vietoj to, geresnė MFA įgalinimo galimybė yra naudoti tokias programas kaip „Duo Security“, „Google Authenticator“, „Authy“, „Microsoft Authenticator“ir kitas tokias skirtas MFA programas.
Slaptažodžio išplėtimas
Tačiau visi kibernetinio saugumo ekspertai, su kuriais kalbėjomės, įspėjo, kad MFA naudojimas neturėtų būti pasiteisinimas nesiimant atitinkamų veiksmų slaptažodžiams apsaugoti.
„Būkite dalis vieno procento, kurie nežino, koks yra jų banko slaptažodis, nes jis per ilgas ir sudėtingas“, – patarė Bradley.
Jis priduria, kad vartotojai turėtų apsvarstyti galimybę investuoti į slaptažodžių tvarkyklę, kai kalbama apie slaptažodžius. Nors nemokamų slaptažodžių tvarkytuvų netrūksta, be to, tokia yra įmontuota jūsų interneto naršyklėje, ekspertai teigia, kad nemokama slaptažodžių tvarkytuvė yra geriau nei jos neturėjimas, tačiau naudotojai turėtų būti atsargūs ja naudodami.
Būkite dalis vieno procento, kurie nežino, koks yra jų banko slaptažodis, nes jis per ilgas ir sudėtingas.
Nr.
Šis kompiuteris buvo užkrėstas įvairiomis kenkėjiškomis programomis, įskaitant tą, kuri specialiai sukurta slaptažodžiams išgauti iš slaptažodžių tvarkyklių, integruotų į „Chromium“pagrindu veikiančias žiniatinklio naršykles, pvz., „Google Chrome“ir „Microsoft Edge“.
„Nors naršyklių paskyros kredencialų saugojimo funkcija yra labai patogi, nes kyla paskyros kredencialų nutekėjimo rizika užsikrėtus kenkėjiška programa, vartotojams rekomenduojama jos nenaudoti“, – įspėja „AhnLab“tyrėjai.
