Eksperci twierdzą, że najwyższy czas przestać polegać na hasłach
Kluczowe dania na wynos
- Eksperci ds. cyberbezpieczeństwa sugerują, że same hasła nie powinny już być uważane za odpowiednie do zabezpieczania kont.
- W miarę możliwości użytkownicy powinni włączyć uwierzytelnianie wieloskładnikowe (MFA).
- Jednak MFA nie powinno być używane jako wymówka do tworzenia słabych haseł.
Oscar Wong / Getty Images
Najsilniejsze hasła i najbardziej rygorystyczne zasady dotyczące haseł nie są zbyt przydatne, gdy dostawca usług online ujawnia Twoje dane uwierzytelniające z powodu błędnej konfiguracji na jego serwerach.
Jeśli uważasz, że taka ewentualność byłaby rzadkością, wiedz, że wiele z nich największe wycieki danych w 2021 r. były spowodowane problemami technicznymi ze strony dostawców usług. W rzeczywistości w grudniu 2021 r. eksperci ds. cyberbezpieczeństwa pomogli podłączyć taką błędną konfigurację do wiadra S3 usługi Amazon Web Services własność Sega, który zawierał wszelkiego rodzaju poufne informacje, w tym hasła.
„Używanie haseł powinno stać się przestarzałe i powinniśmy szukać różnych sposobów logowania się na konta”, dyrektor generalny dostawcy zabezpieczeń Gurucul,
Problem z hasłami
W grudniu, Słońce donosiło że brytyjska Narodowa Agencja ds. Przestępczości (NCA) dostarczyła popularnym ponad 500 milionów haseł Czy zostałem pokonany? (HIBP), którą wykrył podczas dochodzenia.
HIBP umożliwia użytkownikom sprawdzenie, czy ich hasła nie zostały ujawnione w wyniku naruszenia i są podatne na nadużycia ze strony hakerów. Według założyciela HIBP, Polowanie na Troję, ponad 200 milionów haseł dostarczonych przez NCA nie istniały już w bazie.
„Chociaż funkcja przechowywania danych logowania do konta w przeglądarkach jest bardzo wygodna... zaleca się, aby użytkownicy nie korzystali z niego."
„Wskazuje to na sam rozmiar problemu, problemem są hasła, archaiczna metoda udowodnienia swojej wierności. Jeśli kiedykolwiek pojawiło się wezwanie do działania na rzecz wyeliminowania haseł i znalezienia alternatyw, to musi to być to ” Baber Amin, dyrektor operacyjny ekspertów ds. tożsamości cyfrowej, Veridium powiedział Lifewire za pośrednictwem poczty elektronicznej, w odpowiedzi na niedawny wkład NCA w HIPB.
Amin dodał, że ujawnione dane uwierzytelniające nie tylko naruszają istniejące konta, ponieważ hakerzy używają ich teraz za pomocą narzędzi analitycznych opartych na sztucznej inteligencji do identyfikowania wzorców tworzenia haseł przez daną osobę. Zasadniczo, ujawnione dane uwierzytelniające zagrażają również bezpieczeństwu innych niezabezpieczonych kont.
Hasła i nie tylko
Opowiadając się za lepszym mechanizmem ochrony niż hasła, Nayyar sugeruje, aby użytkownicy, którzy mają możliwość skonfigurowania uwierzytelniania wieloskładnikowego na swoich kontach, zrobili to.
Ron Bradley, wiceprezes Shared Assessments, organizacji członkowskiej, która pomaga opracowywać najlepsze praktyki w zakresie zapewniania ryzyka przez strony trzecie, zgadza się. „Włącz uwierzytelnianie wieloskładnikowe wszędzie, gdzie to możliwe, zwłaszcza w aplikacjach, które przenoszą pieniądze”.
Zabezpieczanie konta samym hasłem jest znane jako uwierzytelnianie jednoskładnikowe. Uwierzytelnianie wieloskładnikowe lub MFA opiera się na tym i zabezpiecza konta, dodając dodatkowy krok w procesie logowania, prosząc użytkowników o kolejne informacje. Wiele usług, w tym kilka banków, wdraża MSZ, wysyłając kod weryfikacyjny na zarejestrowany w banku numer telefonu użytkownika.
Mark Kolpakov / Getty Images
Jednak ten mechanizm weryfikacji jest podatny na mechanizm ataku znany jako Atak wymiany karty SIM, w której atakujący przejmują kontrolę nad numerem telefonu komórkowego celu, nakłaniając operatora właściciela do ponownego przypisania numeru do karty SIM atakującego.
Przyznając się do takiego ataku, który był wymierzony w niektórych swoich klientów, T-Mobile powiedział, że ataki typu SIM swap stały się powszechne i ogólnobranżowe zjawisko.
Zamiast tego lepszą opcją włączenia usługi MFA jest użycie aplikacji takich jak Duo Security, Google Authenticator, Authy, Microsoft Authenticator i innych dedykowanych aplikacji MFA.
Zwiększenie liczby haseł
Jednak wszyscy eksperci ds. cyberbezpieczeństwa, z którymi rozmawialiśmy, ostrzegali, że korzystanie z usługi MFA nie powinno być usprawiedliwieniem dla niepodjęcia odpowiednich kroków w celu zabezpieczenia haseł.
„Bądź częścią jednego procenta, który nie ma pojęcia, jakie jest hasło do banku, ponieważ jest zbyt długie i skomplikowane” – poradził Bradley.
Dodaje, że użytkownicy powinni rozważyć zainwestowanie w menedżera haseł, jeśli chodzi o hasła. Chociaż nie brakuje darmowych menedżerów haseł, a jest on również wbudowany w twoją przeglądarkę, eksperci zasugeruj, że darmowy menedżer haseł jest lepszy niż jego brak, ale użytkownicy powinni zachować ostrożność podczas korzystania z niego jeden.
„Bądź częścią jednego procenta, który nie ma pojęcia, jakie jest hasło do banku, ponieważ jest zbyt długie i skomplikowane”.
Dopóki badanie niedawnego naruszenia z sieci wewnętrznej jednej firmy badacze cyberbezpieczeństwa z AhnLab odkryli, że konto VPN używane do włamywania się do sieci firmowej wyciekło z komputera pracownika pracującego zdalnie.
Ten komputer został zainfekowany różnymi złośliwymi programami, w tym specjalnie zaprojektowanym do wyodrębniania haseł z menedżerów haseł wbudowanych w przeglądarki internetowe oparte na Chromium, takie jak Google Chrome i Microsoft Krawędź.
„Chociaż funkcja przechowywania danych logowania do konta w przeglądarkach jest bardzo wygodna, ponieważ istnieje ryzyko wycieku dane uwierzytelniające konta po zainfekowaniu złośliwym oprogramowaniem, zaleca się, aby użytkownicy nie korzystali z niego”, ostrzega AhnLab badacze.