Стручњаци кажу да је крајње време да престанемо да се ослањамо на лозинке

January 05, 2022
УВести Интернет и безбедност

Кључне Такеаваис

Стручњаци за сајбер безбедност сугеришу да се лозинке саме по себи више не би требало сматрати адекватним за обезбеђење налога.
Корисници треба да омогуће вишефакторску аутентификацију (МФА) где год је то могуће.
Међутим, МФА не би требало да се користи као изговор за креирање слабих лозинки.

Неко се пријављује на лаптоп рачунар користећи двофакторску аутентификацију на свом паметном телефону. — Оскар Вонг / Гетти Имагес

Најјача лозинке и најстроже политике лозинки нису од велике користи када ваш провајдер услуга на мрежи процури ваше акредитиве због погрешне конфигурације на њиховим серверима.

Ако мислите да би таква могућност била реткост, знајте да су многи од њих највећа цурења података у 2021 настали због техничких проблема од стране добављача услуга. У ствари, у децембру 2021, стручњаци за сајбер безбедност помогли су да такву погрешну конфигурацију уметну у С3 корпу Амазон Веб Сервицес-а у власништву Сега, који је садржао све врсте осетљивих информација, укључујући лозинке.

„Употреба лозинке би требало да застари и требало би да тражимо различите начине да се пријавимо на налоге“, рекао је извршни директор добављача безбедности Гуруцул.

Сариу Наииар, рекао је за Лифевире путем е-поште.

Проблем са лозинкама

У децембру, известио је Сун да је британска Национална агенција за криминал (НЦА) испоручила преко 500 милиона лозинки популарним Да ли сам избачен (ХИБП), коју је открио током истраге.

ХИБП омогућава корисницима да провере да ли су њихове лозинке процуреле због провале и да ли су склоне злоупотреби од стране хакера. Према оснивачу ХИБП-а, Трои Хунт, преко 200 милиона лозинки које је обезбедио НЦА већ није постојао у бази података.

„Иако је функција прегледача за чување акредитива налога веома згодна... корисницима се препоручује да се уздрже од његове употребе."

„То указује на саму величину проблема, проблем су лозинке, архаични метод доказивања нечије верности. Ако је икада постојао позив на акцију да се ради на елиминисању лозинки и проналажењу алтернатива, онда то мора бити то“, Бабер Амин, извршни директор стручњака за дигитални идентитет, Веридиум је рекао за Лифевире путем е-поште, као одговор на недавни допринос НЦА ХИПБ-у.

Амин је додао да процурели акредитиви не угрожавају само постојеће налоге, јер их хакери сада користе са аналитичким алатима заснованим на вештачкој интелигенцији да идентификују обрасце како појединац креира лозинке. У суштини, процурели акредитиви угрожавају безбедност и других некомпромитованих налога.

Лозинке и још много тога

Залажући се за бољи механизам заштите од лозинки, Наииар предлаже да корисници који имају опцију да подесе вишефакторску аутентификацију на својим налозима то учине.

Рон Брадлеи, потпредседник заједничких процена, чланска организација која помаже у развоју најбољих пракси за осигурање ризика трећих страна, слаже се. „Укључите вишефакторску аутентификацију свуда где је то могуће, посебно апликације које померају новац.“

Обезбеђивање налога само лозинком познато је као аутентификација са једним фактором. Вишефакторска аутентикација или МФА се надограђују на то и обезбеђују налоге додавањем додатног корака у процес пријављивања тражећи од корисника још једну информацију. Многе услуге, укључујући неколико банака, имплементирају МФА тако што шаљу верификациони код на број мобилног корисника регистрованог у банци.

Илустрација лаптопа и паметног телефона који користе двофакторску аутентификацију. — Марк Колпаков / Гетти Имагес

Међутим, овај механизам верификације је склон механизму напада познатом као а Напад замене СИМ картице, где нападачи преузимају контролу над бројем мобилног телефона мете преваривши оператера власника да поново додели број СИМ картици нападача.

Иако је признао такав напад који је циљао неке од његових корисника, Т-Мобиле је рекао да су напади замене СИМ картица постали уобичајена појава у целој индустрији.

Уместо тога, боља опција за омогућавање МФА је коришћење апликација као што су Дуо Сецурити, Гоогле Аутхентицатор, Аутхи, Мицрософт Аутхентицатор и друге такве наменске МФА апликације.

Пассворд Справл

Међутим, сви стручњаци за сајбер безбедност са којима смо разговарали упозорили су да коришћење МФА не би требало да буде изговор за непредузимање адекватних корака за обезбеђење лозинки.

„Будите део оних једнопроцентних који немају појма која им је лозинка за банку јер је предугачка и сложена“, саветовао је Бредли.

Он додаје да би корисници требало да размотре улагање у менаџер лозинки када су у питању лозинке. Иако нема недостатка бесплатних менаџера лозинки, а постоји и један уграђен у ваш веб претраживач, стручњаци сугеришу да је бесплатни менаџер лозинки бољи него да га уопште немате, али корисници треба да буду опрезни када га користе једна.

„Будите део оних једнопроцентних који немају појма која им је лозинка за банку јер је предугачка и сложена.

Док истражује недавно кршење интерне мреже једне компаније, истраживачи сајбер безбедности из АхнЛаб-а открили су да је ВПН налог који се користио за пробој у мрежу компаније процурио са рачунара запосленог на даљину.

Овај рачунар је био заражен разним злонамерним софтвером, укључујући онај који је посебно дизајниран за издвајање лозинки из менаџера лозинки уграђених у веб прегледаче засноване на Цхромиум-у као што су Гоогле Цхроме и Мицрософт Ивица.

„Иако је функција прегледача за чување акредитива налога веома згодна, јер постоји ризик од цурења акредитиви налога након инфекције малвером, корисницима се препоручује да се уздрже од употребе“, упозоравају из АхнЛаб-а истраживачи.