Experts zeggen dat het de hoogste tijd is dat we niet langer op wachtwoorden vertrouwen
Belangrijkste leerpunten
- Experts op het gebied van cyberbeveiliging suggereren dat wachtwoorden op zichzelf niet langer als voldoende moeten worden beschouwd voor het beveiligen van accounts.
- Gebruikers moeten waar mogelijk multi-factor authenticatie (MFA) inschakelen.
- MFA mag echter niet worden gebruikt als excuus voor het maken van zwakke wachtwoorden.
Oscar Wong / Getty Images
De sterkste wachtwoorden en het strengste wachtwoordbeleid hebben niet veel zin wanneer uw online serviceprovider uw inloggegevens lekt vanwege een verkeerde configuratie op hun servers.
Als u denkt dat een dergelijke mogelijkheid een zeldzaamheid zou zijn, weet dan dat veel van de grootste datalekken in 2021 waren te wijten aan technische problemen door de dienstverleners. In december 2021 hebben cyberbeveiligingsexperts zelfs geholpen om een dergelijke verkeerde configuratie in de S3-bucket van Amazon Web Services te stoppen eigendom van Sega, die allerlei gevoelige informatie bevatte, inclusief wachtwoorden.
"Het gebruik van wachtwoorden zou achterhaald moeten worden en we moeten op zoek gaan naar andere manieren om in te loggen op accounts", zegt CEO van beveiligingsleverancier Gurucul. Saryu Nayyar, vertelde Lifewire via e-mail.
Het probleem met wachtwoorden
In december, De zon meldde dat het Britse National Crime Agency (NCA) meer dan 500 miljoen wachtwoorden aan de populaire Ben ik gepwnd? (HIBP)-service, die het tijdens een onderzoek had ontdekt.
HIBP stelt gebruikers in staat om te controleren of hun wachtwoorden zijn gelekt bij een inbreuk en vatbaar zijn voor misbruik door hackers. Volgens de oprichter van HIBP, Troy Hunt, meer dan 200 miljoen van de wachtwoorden geleverd door NCA bestond nog niet in de database.
"Hoewel de functie voor het opslaan van accountgegevens van browsers erg handig is... gebruikers wordt aangeraden het niet te gebruiken."
"Het wijst op de enorme omvang van het probleem, het probleem zijn wachtwoorden, een archaïsche methode om iemands bonafides te bewijzen. Als er ooit een oproep tot actie is geweest om te werken aan het elimineren van wachtwoorden en het vinden van alternatieven, dan moet dit het zijn." Baber Amin, COO van experts op het gebied van digitale identiteit, vertelde Veridium via e-mail aan Lifewire, als reactie op de recente bijdrage van de NCA aan HIPB.
Amin voegde eraan toe dat gelekte inloggegevens niet alleen bestaande accounts in gevaar brengen, omdat hackers ze nu gebruiken met op AI gebaseerde analytische tools om patronen te identificeren van hoe een persoon wachtwoorden maakt. In wezen brengen gelekte inloggegevens ook de veiligheid van andere niet-gecompromitteerde accounts in gevaar.
Wachtwoorden en meer
Nayyar pleit voor een beter beveiligingsmechanisme dan wachtwoorden en stelt voor dat gebruikers die de mogelijkheid hebben om multi-factor authenticatie op hun accounts in te stellen, dit ook doen.
Ron Bradley, VP van Shared Assessments, een ledenorganisatie die helpt bij het ontwikkelen van best practices voor risicoborging door derden, is het daarmee eens. "Schakel overal waar mogelijk multi-factor authenticatie in, vooral apps die geld verplaatsen."
Het beveiligen van een account met alleen een wachtwoord staat bekend als single-factor authenticatie. Multi-factor authenticatie of MFA bouwt daarop voort en beveiligt accounts door een extra stap toe te voegen aan het aanmeldingsproces door gebruikers om nog een stukje informatie te vragen. Veel diensten, waaronder verschillende banken, implementeren MFA door een verificatiecode te sturen naar het mobiele nummer van een gebruiker dat bij de bank is geregistreerd.
Mark Kolpakov / Getty Images
Dit verificatiemechanisme is echter gevoelig voor een aanvalsmechanisme dat bekend staat als a SIM-swap aanval, waarbij aanvallers het mobiele telefoonnummer van een doelwit overnemen door de provider van de eigenaar te misleiden om het nummer opnieuw toe te wijzen aan de simkaart van de aanvaller.
Hoewel T-Mobile een dergelijke aanval erkende die op sommige van zijn klanten gericht was, zei T-Mobile dat SIM-swapaanvallen zijn geworden een veelvoorkomend en branchebreed verschijnsel.
In plaats daarvan is een betere optie voor het inschakelen van MFA het gebruik van apps zoals Duo Security, Google Authenticator, Authy, Microsoft Authenticator en andere dergelijke speciale MFA-apps.
Wachtwoordverspreiding
Alle cyberbeveiligingsexperts die we spraken waarschuwden echter dat het gebruik van MFA geen excuus mag zijn om geen adequate stappen te ondernemen om de wachtwoorden te beveiligen.
"Maak deel uit van de één-percenten die geen idee hebben wat hun bankwachtwoord is omdat het te lang en te ingewikkeld is", adviseerde Bradley.
Hij voegt eraan toe dat gebruikers moeten overwegen om te investeren in een wachtwoordbeheerder als het om wachtwoorden gaat. Hoewel er geen tekort is aan gratis wachtwoordmanagers, en er is er ook een ingebouwd in uw webbrowser, experts suggereren dat een gratis wachtwoordbeheerder beter is dan er helemaal geen te hebben, maar gebruikers moeten voorzichtig zijn bij het gebruik een.
"Maak deel uit van de een-percenten die geen idee hebben wat hun bankwachtwoord is omdat het te lang en te ingewikkeld is."
Terwijl een recente inbreuk onderzoeken van het interne netwerk van een bedrijf, ontdekten cybersecurity-onderzoekers van AhnLab dat het VPN-account dat werd gebruikt om in te breken in het bedrijfsnetwerk, was gelekt vanaf de pc van een op afstand werkende werknemer.
Deze pc is geïnfecteerd met verschillende malware, waaronder een die speciaal is ontworpen om wachtwoorden te extraheren van de wachtwoordmanagers die zijn ingebouwd in Chromium-gebaseerde webbrowsers zoals Google Chrome en Microsoft Kant.
"Hoewel de functie voor het opslaan van accountgegevens van browsers erg handig is, omdat er een risico bestaat op lekkage van accountgegevens bij malware-infectie, wordt gebruikers aangeraden deze niet te gebruiken", waarschuwt het AhnLab onderzoekers.