Eksperdid ütlevad, et on viimane aeg lõpetada paroolidele lootmine

January 05, 2022
SisseUudised Interneti Turvalisus

Võtmed kaasavõtmiseks

Küberturbeeksperdid soovitavad, et paroole iseenesest ei tohiks enam pidada piisavaks kontode kaitsmiseks.
Kasutajad peaksid võimaluse korral lubama mitmefaktorilise autentimise (MFA).
Siiski ei tohiks MFA-d kasutada ettekäändena nõrkade paroolide loomiseks.

Keegi logib sülearvutisse sisse, kasutades oma nutitelefonis kahefaktorilist autentimist. — Oscar Wong / Getty Images

Tugevaimatest paroolidest ja kõige rangematest paroolipoliitikatest pole palju kasu, kui teie võrguteenuse pakkuja lekitab teie mandaate nende serverite vale konfiguratsiooni tõttu.

Kui arvate, et selline juhtum oleks haruldus, siis teadke, et paljud neist suurimad andmelekked 2021. aastal olid tingitud teenusepakkujate tehnilistest tõrgetest. Tegelikult aitasid küberjulgeoleku eksperdid 2021. aasta detsembris sellise valekonfiguratsiooni Amazon Web Servicesi S3 ämbrisse lisada. kuulub Segale, mis sisaldas igasugust tundlikku teavet, sealhulgas paroole.

"Parooli kasutamine peaks muutuma aegunuks ja me peaksime otsima erinevaid viise kontodele sisselogimiseks," ütles turvamüüja Gurucul tegevjuht. Saryu Nayyar, ütles Lifewire'ile e-posti teel.

Probleem paroolidega

Detsembris, The Sun teatas et Ühendkuningriigi riiklik kuritegevuse agentuur (NCA) andis populaarsetele üle 500 miljoni parooli Kas mind on salastatud (HIBP) teenust, mille ta uurimise käigus avastas.

HIBP võimaldab kasutajatel kontrollida, kas nende paroolid on lekkinud ja häkkerid võivad neid kuritarvitada. HIBP asutaja sõnul Troy Hunt, üle 200 miljoni NCA tarnitud parooli ei olnud veel andmebaasis olemas.

"Kuigi brauserite kontomandaatide salvestamise funktsioon on väga mugav... kasutajatel soovitatakse selle kasutamisest hoiduda."

"See viitab probleemi suurusele, probleemiks on paroolid, mis on arhailine meetod oma heauskse tõestamiseks. Kui kunagi kutsuti üles tegutsema paroolide kõrvaldamise ja alternatiivide leidmise nimel, siis see peab olema. Baber Amin, digitaalse identiteedi ekspertide COO, ütles Veridium Lifewire'ile e-posti teel vastuseks NCA hiljutisele panusele HIPB-sse.

Amin lisas, et lekkinud mandaadid ei ohusta ainult olemasolevaid kontosid, kuna häkkerid kasutavad neid nüüd koos tehisintellektil põhinevate analüütiliste tööriistadega, et tuvastada mustrid, kuidas üksikisik paroole loob. Sisuliselt seavad lekkinud volikirjad ohtu ka teiste turvalisuseta kontode turvalisuse.

Paroolid ja palju muud

Paroolidest parema kaitsemehhanismi pooldamisel soovitab Nayyar, et kasutajad, kellel on võimalus oma kontodel seadistada mitmefaktoriline autentimine, peaksid seda tegema.

Ron Bradley, jagatud hinnangute asepresident, liikmesorganisatsioon, mis aitab välja töötada parimaid tavasid kolmandate osapoolte riskide kindlustamiseks, nõustub. "Lülita mitmefaktoriline autentimine sisse kõikjal, kus vähegi võimalik, eriti rakendustes, mis raha liigutavad."

Konto kaitsmist ainult parooliga nimetatakse ühefaktoriliseks autentimiseks. Mitmefaktoriline autentimine või MFA tugineb sellele ja kaitseb kontosid, lisades sisselogimisprotsessi täiendava sammu, küsides kasutajatelt muud teavet. Paljud teenused, sealhulgas mitmed pangad, rakendavad MFA-d, saates pangas registreeritud kasutaja mobiilinumbrile kinnituskoodi.

Sülearvuti ja nutitelefoni illustratsioon, mis kasutab kahefaktorilist autentimist. — Mark Kolpakov / Getty Images

See kontrollimehhanism on aga altid ründemehhanismile, mida tuntakse a SIM-i vahetamise rünnak, kus ründajad võtavad kontrolli sihtmärgi mobiiltelefoninumbri üle, meelitades omaniku operaatorit numbrit ründaja SIM-kaardile ümber määrama.

Tunnistades sellist rünnakut, mis oli suunatud mõnele tema kliendile, ütles T-Mobile, et SIM-i vahetamise rünnakud on muutunud tavaline ja kogu tööstust hõlmav nähtus.

Selle asemel on parem võimalus MFA lubamiseks kasutada selliseid rakendusi nagu Duo Security, Google Authenticator, Authy, Microsoft Authenticator ja muud sellised spetsiaalsed MFA-rakendused.

Parooli laialivalgumine

Kõik küberjulgeolekueksperdid, kellega rääkisime, hoiatasid aga, et MFA kasutamine ei tohiks olla vabandus paroolide kaitsmiseks piisavate sammude mitteastumise eest.

"Olge osa neist üheprotsendilistest, kellel pole õrna aimugi, mis on nende pangaparool, sest see on liiga pikk ja keeruline," soovitas Bradley.

Ta lisab, et kasutajad peaksid paroolide osas kaaluma paroolihaldurisse investeerimist. Kuigi tasuta paroolihalduritest pole puudust ja üks on ka teie veebibrauserisse sisse ehitatud, pakuvad eksperdid viitavad sellele, et tasuta paroolihaldur on parem kui selle puudumine, kuid kasutajad peaksid selle kasutamisel olema ettevaatlikud üks.

"Ole osa neist üheprotsendilistest, kellel pole õrna aimugi, mis on nende pangaparool, sest see on liiga pikk ja keeruline."

Kuigi hiljutise rikkumise uurimine ühe ettevõtte sisevõrgust avastasid AhnLabi küberturvalisuse teadlased, et ettevõtte võrku sissemurdmiseks kasutatud VPN-konto lekkis kaugtöötava töötaja arvutist.

See arvuti oli nakatunud mitmesuguse pahavaraga, sealhulgas sellisega, mis on loodud spetsiaalselt paroolide eraldamiseks Chromiumipõhistesse veebibrauseritesse (nt Google Chrome ja Microsoft) sisseehitatud paroolihalduritest Edge.

"Kuigi brauserite konto mandaatide salvestamise funktsioon on väga mugav, kuna on oht konto mandaadid pahavaraga nakatumise korral, soovitatakse kasutajatel hoiduda selle kasutamisest," hoiatab AhnLab uurijad.