Asiantuntijat sanovat, että on korkea aika lopettaa salasanoihin luottaminen

January 05, 2022
SisäänUutiset Internet Turvallisuus

Avaimet takeawayt

Kyberturvallisuusasiantuntijat ehdottavat, että salasanoja itsessään ei enää pitäisi pitää riittävinä tilien turvaamiseen.
Käyttäjien tulee ottaa käyttöön monitekijätodennus (MFA) aina kun mahdollista.
MFA: ta ei kuitenkaan pidä käyttää tekosyynä heikkojen salasanojen luomiseen.

Joku kirjautuu kannettavaan tietokoneeseen käyttämällä älypuhelimessaan kaksivaiheista todennusta. — Oscar Wong / Getty Images

Vahvimmista salasanoista ja tiukimmista salasanakäytännöistä ei ole paljon hyötyä, kun verkkopalveluntarjoajasi vuotaa valtuustietosi palvelimiensa virheellisen määrityksen vuoksi.

Jos luulet, että tällainen mahdollisuus olisi harvinaisuus, tiedä, että monet niistä suurimmat tietovuodot vuonna 2021 johtuivat palveluntarjoajien teknisistä ongelmista. Itse asiassa joulukuussa 2021 kyberturvallisuusasiantuntijat auttoivat liittämään tällaisen virheellisen määrityksen Amazon Web Servicesin S3-alueeseen. Segan omistama, joka sisälsi kaikenlaista arkaluontoista tietoa, mukaan lukien salasanat.

"Salasanan käytön pitäisi tulla vanhentuneeksi, ja meidän pitäisi etsiä erilaisia tapoja kirjautua tileille", turvallisuustoimittaja Guruculin toimitusjohtaja

Saryu Nayyar, kertoi Lifewirelle sähköpostitse.

Ongelma salasanojen kanssa

Joulukuussa, Asiasta uutisoi The Sun että Ison-Britannian kansallinen rikosvirasto (NCA) toimitti yli 500 miljoonaa salasanaa suosituille Onko minut ryöstetty (HIBP) -palvelun, jonka se oli paljastanut tutkimuksen aikana.

HIBP: n avulla käyttäjät voivat tarkistaa, ovatko heidän salasanansa vuotaneet tietomurron yhteydessä ja ovatko hakkerit alttiita väärinkäyttöön. HIBP: n perustajan mukaan Troy Hunt, yli 200 miljoonaa NCA: n toimittamia salasanoja ei jo ollut tietokannassa.

"Vaikka selainten tilitietojen tallennusominaisuus on erittäin kätevä... käyttäjiä suositellaan pidättäytymään käyttämästä sitä."

"Se viittaa ongelman valtavaan laajuuteen, ongelmana ovat salasanat, arkaainen tapa todistaa vilpittömyytensä. Jos joskus on kehotettu toimimaan salasanojen poistamiseksi ja vaihtoehtojen löytämiseksi, niin tämän täytyy olla." Baber Amin, digitaalisen identiteetin asiantuntijoiden COO, Veridium kertoi Lifewirelle sähköpostitse vastauksena NCA: n äskettäiseen panokseen HIPB: lle.

Amin lisäsi, että vuotaneet tunnistetiedot eivät vain vaaranna olemassa olevia tilejä, koska hakkerit käyttävät niitä nyt tekoälypohjaisten analyyttisten työkalujen kanssa tunnistaakseen malleja, joilla yksilö luo salasanoja. Pohjimmiltaan vuotaneet tunnistetiedot vaarantavat myös muiden vaarantamattomien tilien turvallisuuden.

Salasanat ja paljon muuta

Puolustaessaan parempaa suojausmekanismia kuin salasanat, Nayyar ehdottaa, että käyttäjien, joilla on mahdollisuus määrittää tililleen monitekijätodennus, tulisi tehdä niin.

Ron Bradley, VP of Shared Assessments, jäsenorganisaatio, joka auttaa kehittämään parhaita käytäntöjä kolmannen osapuolen riskinvarmistusta varten, on samaa mieltä. "Ota monivaiheinen todennus käyttöön kaikkialla mahdollista, erityisesti sovelluksissa, jotka siirtävät rahaa."

Tilin suojaaminen pelkällä salasanalla tunnetaan yksivaiheisena todennuksena. Monitekijätodennus tai MFA rakentuu tämän päälle ja suojaa tilit lisäämällä ylimääräisen vaiheen kirjautumisprosessiin pyytämällä käyttäjiltä muita tietoja. Monet palvelut, mukaan lukien useat pankit, toteuttavat MFA: n lähettämällä varmistuskoodin käyttäjän pankkiin rekisteröityyn matkapuhelinnumeroon.

Kuva kannettavasta tietokoneesta ja älypuhelimesta, jossa käytetään kaksivaiheista todennusta. — Mark Kolpakov / Getty Images

Tämä vahvistusmekanismi on kuitenkin altis hyökkäysmekanismille, joka tunnetaan nimellä a SIM-vaihtohyökkäys, jossa hyökkääjät ottavat hallintaansa kohteen matkapuhelinnumeron huijaamalla omistajan operaattorin määräämään numeron uudelleen hyökkääjän SIM-kortille.

T-Mobile myönsi hyökkäyksen, joka kohdistui joihinkin sen asiakkaisiin, mutta sanoi, että SIM-swap-hyökkäyksistä on tullut yleinen ja alan laajuinen ilmiö.

Sen sijaan parempi vaihtoehto MFA: n käyttöönottoon on käyttää sovelluksia, kuten Duo Security, Google Authenticator, Authy, Microsoft Authenticator ja muita vastaavia omistettuja MFA-sovelluksia.

Salasanan leviäminen

Kaikki kyberturvallisuusasiantuntijat, joiden kanssa puhuimme, varoittivat kuitenkin, että MFA: n käyttäminen ei saa olla tekosyy sille, ettemme ryhdy riittäviin toimiin salasanojen turvaamiseksi.

"Ole osa niitä yksiprosenttisia, joilla ei ole aavistustakaan pankin salasanasta, koska se on liian pitkä ja monimutkainen", Bradley neuvoi.

Hän lisää, että käyttäjien tulisi harkita salasanojen hallintaan investoimista. Vaikka ilmaisista salasanojen hallintaohjelmista ei ole pulaa, ja yksi niistä on myös sisäänrakennettu selaimeesi, asiantuntijat ehdottaa, että ilmainen salasananhallinta on parempi kuin sen puuttuminen, mutta käyttäjien tulee olla varovaisia käyttäessään yksi.

"Ole osa niitä yksiprosenttisia, joilla ei ole aavistustakaan, mikä heidän pankin salasanansa on, koska se on liian pitkä ja monimutkainen."

Sillä aikaa äskettäisen rikkomuksen tutkiminen yhden yrityksen sisäisestä verkosta AhnLabin kyberturvallisuustutkijat havaitsivat, että yrityksen verkkoon murtautumiseen käytetty VPN-tili oli vuotanut etätyöntekijän tietokoneelta.

Tämä tietokone oli saastunut useilla haittaohjelmilla, mukaan lukien yksi, joka on suunniteltu erityisesti salasanojen poimimiseen Chromium-pohjaisten verkkoselaimien, kuten Google Chromen ja Microsoftin, sisäänrakennetuista salasananhallintaohjelmista Reuna.

"Vaikka selainten tilitietojen tallennusominaisuus on erittäin kätevä, sillä on olemassa riski tilin tunnistetiedot haittaohjelmatartunnan yhteydessä, käyttäjiä suositellaan pidättäytymään käyttämästä niitä", varoittaa AhnLab tutkijat.