Strokovnjaki pravijo, da je skrajni čas, da se nehamo zanašati na gesla

January 05, 2022
VNovice Internet In Varnost

Ključni odvzemi

Strokovnjaki za kibernetsko varnost predlagajo, da se gesla sama po sebi ne bi smela več obravnavati kot ustrezna za zaščito računov.
Uporabniki naj omogočijo večfaktorsko preverjanje pristnosti (MFA), kjer koli je to mogoče.
Vendar se MFA ne sme uporabljati kot izgovor za ustvarjanje šibkih gesel.

Nekdo se prijavi v prenosni računalnik z uporabo dvofaktorske avtentikacije na svojem pametnem telefonu. — Oscar Wong / Getty Images

Najmočnejše gesla in najstrožji pravilniki o geslih niso veliko uporabni, ko vaš ponudnik spletnih storitev razkrije vaše poverilnice zaradi napačne konfiguracije v svojih strežnikih.

Če mislite, da bi bila takšna možnost redkost, vedite, da je veliko največje uhajanje podatkov v letu 2021 so nastale zaradi tehničnih težav s strani ponudnikov storitev. Decembra 2021 so strokovnjaki za kibernetsko varnost pomagali vključiti takšno napačno konfiguracijo v vedro S3 Amazon Web Services v lasti Sega, ki je vseboval vse vrste občutljivih informacij, vključno z gesli.

"Uporaba gesel bi morala postati zastarela in poiskati bi morali različne načine za prijavo v račune," je dejal izvršni direktor prodajalca varnosti Gurucul.

Saryu Nayyar, je povedal Lifewire po e-pošti.

Težava z gesli

V decembru, poroča The Sun da je britanska nacionalna agencija za kriminal (NCA) dobavila več kot 500 milijonov gesel priljubljenim Ali sem bil pretresen (HIBP), ki ga je odkrila med preiskavo.

HIBP uporabnikom omogoča, da preverijo, ali so bila njihova gesla razkrita zaradi kršitve in ali so nagnjena k zlorabi s strani hekerjev. Po besedah ustanovitelja HIBP, Troy Hunt, več kot 200 milijonov gesel, ki jih je zagotovil NCA še ni obstajal v bazi podatkov.

"Čeprav je funkcija brskalnikov za shranjevanje poverilnic računa zelo priročna... uporabnikom priporočamo, da se vzdržijo njegove uporabe."

"Kaže na čisto velikost problema, problem so gesla, arhaična metoda dokazovanja lastnih dobrot. Če se je kdaj pojavil poziv k ukrepanju za odpravo gesel in iskanje nadomestnih možnosti, potem mora biti to to,« Baber Amin, COO strokovnjakov za digitalno identiteto, je Veridium povedal za Lifewire po e-pošti kot odgovor na nedavni prispevek NCA k HIPB.

Amin je dodal, da razkrite poverilnice ne ogrožajo le obstoječih računov, saj jih hekerji zdaj uporabljajo z analitičnimi orodji, ki temeljijo na umetni inteligenci, za prepoznavanje vzorcev, kako posameznik ustvarja gesla. V bistvu razkrite poverilnice ogrožajo tudi varnost drugih nekompromitiranih računov.

Gesla in več

Nayyar se zavzema za boljši zaščitni mehanizem kot gesla in predlaga, da to storijo uporabniki, ki imajo možnost nastaviti večfaktorsko preverjanje pristnosti na svojih računih.

Ron Bradley, podpredsednik skupnih ocen, članske organizacije, ki pomaga razviti najboljše prakse za zagotavljanje tveganj tretjih oseb, se strinja. "Vklopite večfaktorsko preverjanje pristnosti povsod, kjer je mogoče, zlasti aplikacije, ki premikajo denar."

Zaščita računa samo z geslom je znana kot preverjanje pristnosti z enim faktorjem. Večfaktorska avtentikacija ali MFA nadgrajuje to in zavaruje račune z dodajanjem dodatnega koraka v postopek prijave tako, da uporabnike zahteva še en podatek. Številne storitve, vključno z več bankami, izvajajo MFA tako, da pošljejo verifikacijsko kodo na mobilno številko uporabnika, registrirano pri banki.

Ilustracija prenosnika in pametnega telefona z uporabo dvofaktorske avtentikacije. — Mark Kolpakov / Getty Images

Vendar je ta mehanizem preverjanja nagnjen k mehanizmu napada, znanemu kot a Napad zamenjave SIM, kjer napadalci prevzamejo nadzor nad številko mobilnega telefona cilja tako, da zavedejo lastnikovega operaterja, da ponovno dodeli številko napadalčevi kartici SIM.

Medtem ko je T-Mobile priznal tak napad, ki je bil usmerjen na nekatere njegove stranke, je T-Mobile dejal, da so napadi zamenjave SIM postali pogost pojav v celotni industriji.

Namesto tega je boljša možnost za omogočanje MFA uporaba aplikacij, kot so Duo Security, Google Authenticator, Authy, Microsoft Authenticator in druge podobne namenske aplikacije MFA.

Širjenje gesla

Vendar so vsi strokovnjaki za kibernetsko varnost, s katerimi smo se pogovarjali, opozorili, da uporaba MFA ne bi smela biti izgovor, da ne sprejmemo ustreznih ukrepov za zaščito gesel.

"Bodite del enoodstotkov, ki nimajo pojma, kaj je njihovo bančno geslo, ker je predolgo in zapleteno," je svetoval Bradley.

Dodaja, da bi morali uporabniki razmisliti o vlaganju v upravitelja gesel, ko gre za gesla. Čeprav ne manjka brezplačnih upraviteljev gesel in je eden vgrajen tudi v vaš spletni brskalnik, strokovnjaki namigujejo, da je brezplačen upravitelj gesel boljši kot da ga sploh ne bi imel, vendar naj bodo uporabniki pri uporabi previdni eno.

"Bodite del enoodstotkov, ki nimajo pojma, kaj je njihovo bančno geslo, ker je predolgo in zapleteno."

Medtem preiskava nedavne kršitve notranjega omrežja enega podjetja so raziskovalci kibernetske varnosti iz AhnLaba odkrili, da je račun VPN, ki je bil uporabljen za vdor v omrežje podjetja, ušel iz osebnega računalnika oddaljenega zaposlenega.

Ta računalnik je bil okužen z različno zlonamerno programsko opremo, vključno s tisto, ki je bila zasnovana posebej za ekstrakcijo gesel iz upravljalnikov gesel, vgrajenih v spletne brskalnike, ki temeljijo na Chromiumu, kot sta Google Chrome in Microsoft Rob.

"Čeprav je funkcija brskalnikov za shranjevanje poverilnic računa zelo priročna, saj obstaja nevarnost uhajanja poverilnice računa ob okužbi z zlonamerno programsko opremo, uporabnikom priporočamo, da se vzdržijo njegove uporabe,« opozarjajo v AhnLabu raziskovalci.