Odborníci říkají, že je nejvyšší čas, abychom přestali spoléhat na hesla

January 05, 2022
VZprávy Internetová Bezpečnost

Klíčové věci

Odborníci na kybernetickou bezpečnost naznačují, že hesla sama o sobě by již neměla být považována za dostatečná pro zabezpečení účtů.
Uživatelé by měli povolit vícefaktorové ověřování (MFA), kdykoli je to možné.
MFA by však neměla být používána jako záminka pro vytváření slabých hesel.

Někdo se na svém smartphonu přihlašuje k přenosnému počítači pomocí dvoufaktorového ověřování. — Oscar Wong / Getty Images

Nejsilnější z hesel a nejpřísnější zásady pro hesla nejsou k ničemu, když váš poskytovatel online služeb unikne vaše přihlašovací údaje kvůli špatné konfiguraci svých serverů.

Pokud si myslíte, že by taková eventualita byla vzácností, vězte, že mnoho z nich největší úniky dat v roce 2021 byly způsobeny technickými problémy ze strany poskytovatelů služeb. Ve skutečnosti v prosinci 2021 odborníci na kybernetickou bezpečnost pomohli zapojit takovou nesprávnou konfiguraci do segmentu S3 Amazon Web Services. ve vlastnictví společnosti Sega, který obsahoval všechny druhy citlivých informací, včetně hesel.

"Používání hesel by mělo být zastaralé a měli bychom hledat různé způsoby, jak se přihlásit k účtům," generální ředitel dodavatele zabezpečení Gurucul,

Saryu Nayyar, řekl Lifewire prostřednictvím e-mailu.

Problém s hesly

V prosinci, Informoval The Sun že britská Národní kriminální agentura (NCA) dodala populárním přes 500 milionů hesel Byl jsem Pwned (HIBP), kterou odhalila během vyšetřování.

HIBP umožňuje uživatelům zkontrolovat, zda jejich hesla neunikla při prolomení a jsou náchylná ke zneužití hackery. Podle zakladatele HIBP, Troy Hunt, více než 200 milionů hesel poskytnutých NCA ještě v databázi neexistoval.

"Přestože funkce ukládání přihlašovacích údajů k účtu v prohlížečích je velmi pohodlná... uživatelům se doporučuje, aby se zdrželi jeho používání."

„Poukazuje to na naprostou velikost problému, problémem jsou hesla, archaická metoda dokazování svých bonafidů. Pokud se někdy objevila výzva k akci k práci na odstranění hesel a hledání alternativ, pak to musí být ono,“ Baber Amin, COO odborníků na digitální identitu, Veridium řekl Lifewire e-mailem v reakci na nedávný příspěvek NCA pro HIPB.

Amin dodal, že uniklé přihlašovací údaje neohrožují pouze stávající účty, protože hackeři je nyní používají s analytickými nástroji založenými na umělé inteligenci k identifikaci vzorců, jak jednotlivec vytváří hesla. Uniklé přihlašovací údaje v podstatě ohrožují bezpečnost i dalších nekompromitovaných účtů.

Hesla a další

Nayyar, obhajující lepší ochranný mechanismus než hesla, navrhuje, aby uživatelé, kteří mají možnost nastavit vícefaktorové ověřování na svých účtech, tak učinili.

Ron Bradley, viceprezident společnosti Shared Assessments, členské organizace, která pomáhá vyvíjet osvědčené postupy pro zajišťování rizik třetích stran, souhlasí. "Zapněte si vícefaktorové ověřování všude možně, zejména aplikace, které přesouvají peníze."

Zabezpečení účtu pouze heslem se nazývá jednofaktorové ověřování. Vícefaktorová autentizace neboli MFA na tom staví a zabezpečuje účty přidáním dalšího kroku do procesu přihlašování tím, že žádá uživatele o další informace. Mnoho služeb, včetně několika bank, implementuje MFA odesláním ověřovacího kódu na mobilní číslo uživatele registrované v bance.

Ilustrace notebooku a smartphonu pomocí dvoufaktorové autentizace. — Mark Kolpakov / Getty Images

Tento ověřovací mechanismus je však náchylný k mechanismu útoku známému jako a Útok na výměnu SIM, kde útočníci převezmou kontrolu nad číslem mobilního telefonu cíle tím, že oklamou operátora vlastníka, aby znovu přidělil číslo útočníkově SIM kartě.

I když T-Mobile uznal takový útok, který se zaměřoval na některé ze svých zákazníků, uvedl, že útoky na výměnu SIM karet se staly běžný a v celém odvětví jev.

Místo toho je lepší možností pro povolení MFA použití aplikací, jako je Duo Security, Google Authenticator, Authy, Microsoft Authenticator a další takové specializované aplikace MFA.

Heslo Spawl

Všichni odborníci na kybernetickou bezpečnost, se kterými jsme mluvili, však varovali, že používání MFA by nemělo být omluvou pro nepodniknutí adekvátních kroků k zabezpečení hesel.

"Buďte součástí jednoho procenta, kteří nemají ponětí, jaké je jejich bankovní heslo, protože je příliš dlouhé a složité," radil Bradley.

Dodává, že pokud jde o hesla, uživatelé by měli zvážit investici do správce hesel. I když zde není nouze o bezplatné správce hesel a jeden je integrován i do vašeho webového prohlížeče, odborníci naznačují, že bezplatný správce hesel je lepší než nemít jej vůbec, ale uživatelé by měli být při jeho používání opatrní jeden.

"Buďte součástí jednoho procenta, který netuší, jaké je jejich bankovní heslo, protože je příliš dlouhé a složité."

Zatímco vyšetřování nedávného porušení V interní síti jedné společnosti výzkumníci kybernetické bezpečnosti z AhnLab zjistili, že účet VPN použitý k prolomení firemní sítě unikal z počítače zaměstnance pracujícího na dálku.

Tento počítač byl infikován různými malware, včetně jednoho určeného speciálně k extrakci hesel ze správců hesel zabudovaných do webových prohlížečů založených na Chromiu, jako je Google Chrome a Microsoft Okraj.

„Přestože funkce ukládání přihlašovacích údajů k účtu v prohlížečích je velmi pohodlná, protože existuje riziko úniku přihlašovací údaje účtu při napadení malwarem, uživatelům se doporučuje, aby se zdrželi jeho používání,“ varuje AhnLab výzkumníci.