Odborníci tvrdia, že je najvyšší čas, aby sme sa prestali spoliehať na heslá

January 05, 2022
VNovinky Internetová Bezpečnosť

Kľúčové poznatky

Odborníci na kybernetickú bezpečnosť naznačujú, že heslá by sa už nemali považovať za dostatočné na zabezpečenie účtov.
Používatelia by mali povoliť viacfaktorové overenie (MFA) všade, kde je to možné.
MFA by sa však nemala používať ako výhovorka na vytváranie slabých hesiel.

Niekto sa na svojom smartfóne prihlasuje do prenosného počítača pomocou dvojfaktorového overenia. — Oscar Wong / Getty Images

Najsilnejšie heslá a najprísnejšie zásady hesiel nie sú príliš užitočné, keď váš poskytovateľ online služieb unikne vaše poverenia v dôsledku nesprávnej konfigurácie na svojich serveroch.

Ak si myslíte, že takáto možnosť by bola vzácnosťou, vedzte, že mnohé z nich najväčšie úniky údajov v roku 2021 boli spôsobené technickými problémami zo strany poskytovateľov služieb. V skutočnosti v decembri 2021 odborníci na kybernetickú bezpečnosť pomohli zastrčiť takúto nesprávnu konfiguráciu do segmentu S3 Amazon Web Services. vo vlastníctve spoločnosti Sega, ktorý obsahoval všetky druhy citlivých informácií vrátane hesiel.

„Používanie hesla by malo byť zastarané a mali by sme hľadať iné spôsoby prihlasovania sa do účtov,“ povedal generálny riaditeľ dodávateľa zabezpečenia Gurucul,

Saryu Nayyar, povedal Lifewire prostredníctvom e-mailu.

Problém s heslami

V decembri, Informoval denník The Sun že britská Národná kriminálna agentúra (NCA) dodala populárnym viac ako 500 miliónov hesiel Už som bol Pwned (HIBP), ktorú odhalila počas vyšetrovania.

HIBP umožňuje používateľom skontrolovať, či ich heslá neunikli pri porušení a či sú náchylné na zneužitie hackermi. Podľa zakladateľa HIBP, Troy Hunt, viac ako 200 miliónov hesiel poskytnutých NCA v databáze ešte neexistoval.

„Hoci funkcia ukladania poverení účtu v prehliadačoch je veľmi pohodlná... používateľom sa odporúča, aby sa zdržali používania."

„Poukazuje to na absolútnu veľkosť problému, problémom sú heslá, archaický spôsob dokazovania svojich bonafidov. Ak niekedy existovala výzva na akciu zameranú na odstránenie hesiel a hľadanie alternatív, potom to musí byť ono,“ Baber Amin, COO odborníkov na digitálnu identitu, Veridium povedal Lifewire e-mailom v reakcii na nedávny príspevok NCA pre HIPB.

Amin dodal, že uniknuté prihlasovacie údaje neohrozujú len existujúce účty, pretože hackeri ich teraz používajú s analytickými nástrojmi založenými na AI na identifikáciu vzorov, ako jednotlivec vytvára heslá. Uniknuté prihlasovacie údaje v podstate ohrozujú bezpečnosť aj iných nekompromitovaných účtov.

Heslá a ďalšie

Nayyar, ktorý obhajuje lepší ochranný mechanizmus ako heslá, navrhuje, aby používatelia, ktorí majú možnosť nastaviť viacfaktorové overenie na svojich účtoch, tak urobili.

Ron Bradley, viceprezident spoločnosti Shared Assessments, členskej organizácie, ktorá pomáha vyvíjať osvedčené postupy pre zabezpečenie rizík tretích strán, súhlasí. „Zapnite si viacfaktorové overovanie všade, kde je to možné, najmä aplikácie, ktoré presúvajú peniaze.“

Zabezpečenie účtu iba pomocou hesla je známe ako jednofaktorové overenie. Viacfaktorové overenie alebo MFA stavia na tom a zabezpečuje účty pridaním ďalšieho kroku do procesu prihlásenia tým, že od používateľov požaduje ďalšie informácie. Mnohé služby, vrátane niekoľkých bánk, implementujú MFA odoslaním overovacieho kódu na mobilné číslo používateľa registrované v banke.

Ilustrácia prenosného počítača a smartfónu pomocou dvojfaktorovej autentifikácie. — Mark Kolpakov / Getty Images

Tento overovací mechanizmus je však náchylný na mechanizmus útoku známy ako a Útok na výmenu SIM karty, kde útočníci prevezmú kontrolu nad cieľovým mobilným telefónnym číslom tak, že oklamú operátora majiteľa, aby pridelil číslo útočníkovej SIM karte.

Hoci T-Mobile uznal takýto útok, ktorý sa zameral na niektorých svojich zákazníkov, uviedol, že útoky na výmenu SIM kariet sa stali bežný jav v celom odvetví.

Namiesto toho je lepšou možnosťou povolenia MFA použitie aplikácií, ako sú Duo Security, Google Authenticator, Authy, Microsoft Authenticator a ďalšie takéto špecializované aplikácie MFA.

Rozširovanie hesiel

Všetci odborníci na kybernetickú bezpečnosť, s ktorými sme hovorili, však varovali, že používanie MFA by nemalo byť ospravedlnením za nepodniknutie adekvátnych krokov na zabezpečenie hesiel.

„Staňte sa súčasťou jedného percenta, ktoré nemá ani poňatia, aké je ich bankové heslo, pretože je príliš dlhé a zložité,“ radil Bradley.

Dodáva, že používatelia by mali zvážiť investíciu do správcu hesiel, pokiaľ ide o heslá. Aj keď nechýbajú bezplatný správcovia hesiel a jeden je zabudovaný aj vo vašom webovom prehliadači, odborníci naznačujú, že bezplatný správca hesiel je lepší ako nemať ho vôbec, ale používatelia by mali byť pri používaní opatrní jeden.

"Buďte súčasťou jedného percenta, ktorý nemá ani poňatia, aké je ich bankové heslo, pretože je príliš dlhé a zložité."

Zatiaľ čo vyšetrovanie nedávneho porušenia z internej siete jednej spoločnosti výskumníci v oblasti kybernetickej bezpečnosti z AhnLab zistili, že účet VPN použitý na prienik do podnikovej siete unikol z počítača zamestnanca pracujúceho na diaľku.

Tento počítač bol infikovaný rôznym škodlivým softvérom vrátane jedného, ktorý bol špeciálne navrhnutý na extrahovanie hesiel zo správcov hesiel zabudovaných do webových prehliadačov založených na prehliadači Chromium, ako sú Google Chrome a Microsoft Hrana.

„Hoci funkcia ukladania poverení účtu v prehliadačoch je veľmi pohodlná, pretože existuje riziko úniku poverenia účtu pri infikovaní škodlivým softvérom sa používateľom odporúča zdržať sa ich používania,“ varuje AhnLab výskumníkov.