Experții spun că este timpul să încetăm să ne bazăm pe parole

Cele mai puternice dintre parole și cele mai stricte politici de parolă nu sunt de mare folos atunci când furnizorul dvs. de servicii online vă scurge acreditările din cauza unei configurări greșite a serverelor lor.

Dacă credeți că o astfel de eventualitate ar fi o raritate, știți că multe dintre ele cele mai mari scurgeri de date din 2021 s-au datorat problemelor tehnice ale furnizorilor de servicii. De fapt, în decembrie 2021, experții în securitate cibernetică au contribuit la conectarea unei astfel de configurații greșite în compartimentul S3 al Amazon Web Services deținut de Sega, care conținea tot felul de informații sensibile, inclusiv parole.

„Utilizarea parolei ar trebui să devină învechită și ar trebui să căutăm diferite moduri de a ne conecta la conturi”, CEO-ul furnizorului de securitate Gurucul, Saryu Nayyar, a spus Lifewire prin e-mail.

Problema cu parolele

In decembrie, Soarele a raportat că National Crime Agency (NCA) din Marea Britanie a furnizat peste 500 de milioane de parole popularului Am fost Pwned (HIBP), pe care l-a descoperit în timpul unei investigații.

HIBP le permite utilizatorilor să verifice dacă parolele lor au fost scurse într-o încălcare și sunt predispuse la abuzuri de către hackeri. Potrivit fondatorului HIBP, Troy Hunt, peste 200 de milioane de parole furnizate de NCA nu exista deja în baza de date.

„Atrage atenția asupra mărimii problemei, problema fiind parolele, o metodă arhaică de a-și dovedi credința. Dacă a existat vreodată un îndemn la acțiune pentru a lucra pentru eliminarea parolelor și găsirea de alternative, atunci acesta trebuie să fie totul.” Baber Amin, COO al experților în identitate digitală, a declarat Veridium pentru Lifewire prin e-mail, ca răspuns la contribuția recentă a NCA la HIPB.

Amin a adăugat că acreditările scurse nu doar compromit conturile existente, deoarece hackerii le folosesc acum cu instrumente de analiză bazate pe inteligență artificială pentru a identifica tiparele modului în care o persoană creează parole. În esență, acreditările scurse pun în pericol și securitatea altor conturi necompromise.

Parole și multe altele

Pledând pentru un mecanism de protecție mai bun decât parolele, Nayyar sugerează ca utilizatorii care au opțiunea de a configura autentificarea cu mai mulți factori în conturile lor ar trebui să facă acest lucru.

Ron Bradley, Vicepreședintele Evaluărilor Partajate, o organizație de membru care ajută la dezvoltarea celor mai bune practici pentru asigurarea riscurilor de la terți, este de acord. „Activați autentificarea cu mai mulți factori oriunde este posibil, în special aplicațiile care mută bani.”

Securizarea unui cont numai cu o parolă este cunoscută sub numele de autentificare cu un singur factor. Autentificarea cu mai mulți factori sau MFA se bazează pe aceasta și securizează conturile adăugând un pas suplimentar în procesul de conectare, solicitând utilizatorilor o altă informație. Multe servicii, inclusiv mai multe bănci, implementează MFA prin trimiterea unui cod de verificare la numărul de telefon mobil al unui utilizator înregistrat la bancă.

Cu toate acestea, acest mecanism de verificare este predispus la un mecanism de atac cunoscut sub numele de a Atacul de schimb SIM, unde atacatorii preiau controlul asupra numărului de telefon mobil al unei ținte, păcălindu-l pe operatorul proprietarului să reatribuie numărul cartelei SIM a atacatorului.

Deși a recunoscut un astfel de atac care i-a vizat pe unii dintre clienții săi, T-Mobile a spus că atacurile de schimb SIM au devenit un eveniment comun și la nivelul întregii industrie.

În schimb, o opțiune mai bună pentru activarea MFA este utilizarea aplicațiilor precum Duo Security, Google Authenticator, Authy, Microsoft Authenticator și alte astfel de aplicații MFA dedicate.

Răspândirea parolei

Cu toate acestea, toți experții în securitate cibernetică cu care am vorbit au avertizat că utilizarea MFA nu ar trebui să fie o scuză pentru a nu lua măsuri adecvate pentru a securiza parolele.

„Faceți parte din cei unu la sută care nu au idee care este parola băncii lor, deoarece este prea lungă și complexă”, a sfătuit Bradley.

El adaugă că utilizatorii ar trebui să ia în considerare investiția într-un manager de parole atunci când vine vorba de parole. Deși nu lipsesc managerii de parole gratuite și există unul încorporat și în browserul dvs. web, experți sugerează că un manager de parole gratuit este mai bine decât să nu aibă deloc unul, dar utilizatorii ar trebui să fie precauți atunci când îl folosesc unu.

In timp ce investigând o încălcare recentă din rețeaua internă a unei companii, cercetătorii de securitate cibernetică de la AhnLab au descoperit că contul VPN folosit pentru a pătrunde în rețeaua companiei a fost scurs de pe computerul unui angajat care lucrează la distanță.

Acest PC a fost infectat cu diferite programe malware, inclusiv unul conceput special pentru extragerea parolelor de la managerii de parole încorporați în browserele web bazate pe Chromium, cum ar fi Google Chrome și Microsoft Margine.

„Deși caracteristica de stocare a acreditărilor contului a browserelor este foarte convenabilă, deoarece există riscul scurgerii acreditările contului la infecția cu malware, utilizatorilor li se recomandă să se abțină de la a-l folosi", avertizează AhnLab cercetători.