Uždaryti
Meniu

Ekspertai sako, kad pats laikas nustoti pasitikėti slaptažodžiais

Key Takeaways

  • Kibernetinio saugumo ekspertai teigia, kad patys slaptažodžiai nebegali būti laikomi tinkamais paskyroms apsaugoti.
  • Jei įmanoma, vartotojai turėtų įjungti kelių veiksnių autentifikavimą (MFA).
  • Tačiau MFA neturėtų būti naudojamas kaip pasiteisinimas kuriant silpnus slaptažodžius.
Kažkas prisijungia prie nešiojamojo kompiuterio naudodamas dviejų veiksnių autentifikavimą savo išmaniajame telefone.

Oscar Wong / Getty Images

Stipriausi slaptažodžiai ir griežčiausia slaptažodžių politika nėra labai naudingi, kai interneto paslaugų teikėjas nutekina jūsų kredencialus dėl netinkamos serverių konfigūracijos.

Jei manote, kad toks atvejis būtų retenybė, žinokite, kad daugelis Didžiausias duomenų nutekėjimas 2021 m atsirado dėl paslaugų teikėjų techninių nesklandumų. Tiesą sakant, 2021 m. gruodžio mėn. kibernetinio saugumo ekspertai padėjo pašalinti tokią klaidingą „Amazon Web Services“ S3 konfigūraciją. priklauso Segai, kuriame buvo visos slaptos informacijos, įskaitant slaptažodžius.

„Slaptažodžio naudojimas turėtų tapti nebereikalingas ir turėtume ieškoti įvairių būdų prisijungti prie paskyrų“, – sakė saugumo pardavėjo Gurucul generalinis direktorius. Saryu Nayyar, sakė Lifewire el. paštu.

Problema su slaptažodžiais

Gruodžio, „The Sun“ pranešė kad JK Nacionalinė nusikalstamumo agentūra (NCA) populiariajam pateikė per 500 mln. slaptažodžių Ar aš buvau pagrobtas (HIBP) paslauga, kurią ji atskleidė tyrimo metu.

HIBP leidžia vartotojams patikrinti, ar jų slaptažodžiai nebuvo nutekinti pažeidus ir ar yra linkę piktnaudžiauti įsilaužėliais. Pasak HIBP įkūrėjo, Trojos medžioklė, daugiau nei 200 mln. NCA pateiktų slaptažodžių duomenų bazėje dar nebuvo.

„Nors naršyklių paskyros kredencialų saugojimo funkcija yra labai patogi... vartotojams rekomenduojama jo nenaudoti.

„Tai rodo didžiulį problemos dydį, nes problema yra slaptažodžiai, archajiškas būdas įrodyti savo sąžiningumą. Jei kada nors buvo raginimas imtis veiksmų siekiant pašalinti slaptažodžius ir rasti alternatyvų, tai taip ir turi būti. Baberis Aminas, skaitmeninės tapatybės ekspertų COO, Veridium sakė Lifewire el. paštu, atsakydamas į neseniai NCA indėlį į HIPB.

Aminas pridūrė, kad nutekėję kredencialai ne tik kenkia esamoms paskyroms, nes įsilaužėliai dabar juos naudoja su dirbtiniu intelektu pagrįstais analitiniais įrankiais, kad nustatytų, kaip asmuo sukuria slaptažodžius. Iš esmės nutekinti kredencialai kelia pavojų ir kitų nepažeistų paskyrų saugumui.

Slaptažodžiai ir daugiau

Nayyaras, pasisakydamas už geresnį apsaugos mechanizmą nei slaptažodžiai, siūlo, kad vartotojai, turintys galimybę savo paskyrose nustatyti kelių veiksnių autentifikavimą, turėtų tai padaryti.

Ronas Bredlis, bendrų vertinimų viceprezidentas, narystės organizacija, padedanti kurti geriausią trečiųjų šalių rizikos užtikrinimo praktiką, sutinka. „Visur, kur įmanoma, įjunkite kelių veiksnių autentifikavimą, ypač programas, kurios perkelia pinigus.

Paskyros apsauga vien slaptažodžiu vadinamas vieno veiksnio autentifikavimu. Kelių veiksnių autentifikavimas arba MFA yra papildomas ir apsaugo paskyras įtraukiant papildomą prisijungimo procesą, prašant naudotojų kitos informacijos. Daugelis paslaugų, įskaitant kelis bankus, įgyvendina MFA siųsdamos patvirtinimo kodą į banke registruotą vartotojo mobiliojo telefono numerį.

Nešiojamojo kompiuterio ir išmaniojo telefono, naudojant dviejų veiksnių autentifikavimą, iliustracija.

Markas Kolpakovas / Getty Images

Tačiau šis tikrinimo mechanizmas yra linkęs į atakos mechanizmą, žinomą kaip a SIM keitimo ataka, kur užpuolikai perima taikinio mobiliojo telefono numerio valdymą, apgaudinėdami savininko operatorių, kad šis perskirtų numerį užpuoliko SIM kortelei.

Pripažindamas tokią ataką, nukreiptą į kai kuriuos jos klientus, „T-Mobile“ teigė, kad SIM keitimo atakos tapo dažnas reiškinys visoje pramonėje.

Vietoj to, geresnis MFA įgalinimo pasirinkimas yra naudoti tokias programas kaip „Duo Security“, „Google Authenticator“, „Authy“, „Microsoft Authenticator“ ir kitas tokias skirtas MFA programas.

Slaptažodžio išplėtimas

Tačiau visi kibernetinio saugumo ekspertai, su kuriais kalbėjomės, perspėjo, kad MFA naudojimas neturėtų būti pasiteisinimas, kad nesiėmėma tinkamų veiksmų slaptažodžiams apsaugoti.

„Būkite dalis vieno procento, kurie nežino, koks yra jų banko slaptažodis, nes jis per ilgas ir sudėtingas“, – patarė Bradley.

Jis priduria, kad vartotojai turėtų apsvarstyti galimybę investuoti į slaptažodžių tvarkyklę, kai kalbama apie slaptažodžius. Nors nemokamų slaptažodžių tvarkyklių netrūksta, o jos taip pat yra integruotos jūsų žiniatinklio naršyklėje, ekspertai rodo, kad nemokama slaptažodžių tvarkyklė yra geriau nei jos neturėjimas, tačiau vartotojai turėtų būti atsargūs naudodami vienas.

„Būkite dalis vieno procento, kurie nežino, koks yra jų banko slaptažodis, nes jis per ilgas ir sudėtingas.

Nors tiria neseniai įvykusį pažeidimą vienos įmonės vidinio tinklo kibernetinio saugumo tyrėjai iš „AhnLab“ išsiaiškino, kad VPN paskyra, naudojama įsilaužti į įmonės tinklą, buvo nutekėjusi iš nuotoliniu būdu dirbančio darbuotojo kompiuterio.

Šis kompiuteris buvo užkrėstas įvairiomis kenkėjiškomis programomis, įskaitant vieną, specialiai sukurtą slaptažodžiams išgauti iš slaptažodžių tvarkyklių, integruotų į „Chromium“ pagrindu veikiančias žiniatinklio naršykles, pvz., „Google Chrome“ ir „Microsoft“. Kraštas.

„Nors naršyklių paskyros kredencialų saugojimo funkcija yra labai patogi, nes kyla pavojus nutekėti paskyros kredencialus užkrėtus kenkėjiška programa, vartotojams rekomenduojama susilaikyti nuo jų naudojimo“, – įspėja „AhnLab“ tyrinėtojai.