ผู้เชี่ยวชาญกล่าวว่าถึงเวลาแล้วที่เราจะเลิกพึ่งพารหัสผ่าน

January 05, 2022
ในข่าว อินเทอร์เน็ตและความปลอดภัย

click fraud protection

ประเด็นที่สำคัญ

ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์แนะนำว่ารหัสผ่านด้วยตัวเองไม่ควรถือว่าเพียงพอสำหรับการรักษาความปลอดภัยบัญชีอีกต่อไป
ผู้ใช้ควรเปิดใช้งานการตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) หากเป็นไปได้
อย่างไรก็ตาม ไม่ควรใช้ MFA เป็นข้ออ้างในการสร้างรหัสผ่านที่ไม่รัดกุม

มีผู้ลงชื่อเข้าใช้คอมพิวเตอร์แล็ปท็อปโดยใช้การตรวจสอบสิทธิ์แบบสองปัจจัยบนสมาร์ทโฟนของตน — รูปภาพ Oscar Wong / Getty

รหัสผ่านที่รัดกุมที่สุดและนโยบายรหัสผ่านที่เข้มงวดที่สุดไม่ได้มีประโยชน์อะไรมากนักเมื่อผู้ให้บริการออนไลน์ของคุณทำข้อมูลรับรองรั่วไหลเนื่องจากการกำหนดค่าเซิร์ฟเวอร์ผิดพลาด

หากคุณคิดว่าเหตุการณ์ดังกล่าวจะเป็นสิ่งที่หายาก จงรู้ว่า ข้อมูลรั่วไหลครั้งใหญ่ที่สุดในปี 2564 เกิดจากสาเหตุทางเทคนิคของผู้ให้บริการ อันที่จริงแล้ว ในเดือนธันวาคม 2021 ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้ช่วยเสียบการกำหนดค่าที่ไม่ถูกต้องดังกล่าวในบัคเก็ต S3 ของ Amazon Web Services เป็นเจ้าของโดย Segaซึ่งมีข้อมูลที่ละเอียดอ่อนทุกประเภท รวมทั้งรหัสผ่าน

"การใช้รหัสผ่านควรล้าสมัย และเราควรมองหาวิธีต่างๆ ในการลงชื่อเข้าใช้บัญชี" ซีอีโอของ Gurucul ผู้ให้บริการด้านความปลอดภัย ศริว นายยาบอกกับ Lifewire ทางอีเมล

ปัญหาเกี่ยวกับรหัสผ่าน

ในเดือนธันวาคม, เดอะ ซัน รายงาน ที่สำนักงานอาชญากรรมแห่งชาติของสหราชอาณาจักร (NCA) ได้จัดหารหัสผ่านมากกว่า 500 ล้านรหัสให้กับประชาชนทั่วไป ฉันได้รับ Pwned (HIBP) ซึ่งได้เปิดเผยในระหว่างการสอบสวน

HIBP ช่วยให้ผู้ใช้สามารถตรวจสอบว่ารหัสผ่านของพวกเขารั่วไหลในการละเมิดหรือไม่และมีแนวโน้มที่จะถูกแฮ็กเกอร์ละเมิด ผู้ก่อตั้ง HIBP กล่าวว่า ทรอย ฮันท์, รหัสผ่านมากกว่า 200 ล้านรหัสที่จัดทำโดย NCA ยังไม่มีอยู่ในฐานข้อมูล.

"แม้ว่าคุณสมบัติการจัดเก็บข้อมูลรับรองบัญชีของเบราว์เซอร์จะสะดวกมาก... แนะนำให้ผู้ใช้งดใช้"

"มันชี้ให้เห็นถึงปัญหาขนาดมหึมา ปัญหาคือรหัสผ่าน วิธีการพิสูจน์ตัวตนที่เก่าแก่ หากเคยมีการเรียกร้องให้ดำเนินการเพื่อกำจัดรหัสผ่านและค้นหาทางเลือกอื่น ก็ต้องเป็นเช่นนั้น" เบเบอร์ อามินVeridium ซีโอโอของผู้เชี่ยวชาญด้านข้อมูลประจำตัวดิจิทัลบอกกับ Lifewire ทางอีเมลเพื่อตอบสนองต่อการสนับสนุนล่าสุดของ NCA ต่อ HIPB

อามินกล่าวเสริมว่าข้อมูลประจำตัวที่รั่วไหลไม่เพียงแต่กระทบต่อบัญชีที่มีอยู่เท่านั้น เนื่องจากตอนนี้แฮ็กเกอร์ใช้ข้อมูลเหล่านี้ร่วมกับเครื่องมือวิเคราะห์ที่ใช้ AI เพื่อระบุรูปแบบว่าบุคคลสร้างรหัสผ่านอย่างไร โดยพื้นฐานแล้ว ข้อมูลประจำตัวที่รั่วไหลอาจเป็นอันตรายต่อความปลอดภัยของบัญชีอื่นๆ ที่ไม่ถูกบุกรุกเช่นกัน

รหัสผ่านและอื่นๆ

เพื่อสนับสนุนกลไกการป้องกันที่ดีกว่ารหัสผ่าน Nayyar แนะนำว่าผู้ใช้ที่มีตัวเลือกในการตั้งค่าการตรวจสอบสิทธิ์แบบหลายปัจจัยในบัญชีของตนควรทำเช่นนั้น

รอน แบรดลีย์, VP of Shared Assessments ซึ่งเป็นองค์กรสมาชิกที่ช่วยพัฒนาแนวทางปฏิบัติที่ดีที่สุดสำหรับการประกันความเสี่ยงบุคคลที่สามตกลง "เปิดการตรวจสอบสิทธิ์แบบหลายปัจจัยได้ทุกที่ โดยเฉพาะแอปที่โอนเงิน"

การรักษาความปลอดภัยบัญชีด้วยรหัสผ่านเพียงอย่างเดียวเรียกว่าการรับรองความถูกต้องด้วยปัจจัยเดียว การตรวจสอบสิทธิ์แบบหลายปัจจัยหรือ MFA สร้างขึ้นบนนั้นและรักษาความปลอดภัยบัญชีโดยเพิ่มขั้นตอนพิเศษในกระบวนการลงชื่อเข้าใช้โดยขอข้อมูลอื่นจากผู้ใช้ บริการมากมาย รวมถึงธนาคารหลายแห่ง ใช้ MFA โดยส่งรหัสยืนยันไปยังหมายเลขโทรศัพท์มือถือของผู้ใช้ที่ลงทะเบียนกับธนาคาร

ภาพประกอบของแล็ปท็อปและสมาร์ทโฟนโดยใช้การตรวจสอบสิทธิ์แบบสองปัจจัย — รูปภาพ Mark Kolpakov / Getty

อย่างไรก็ตาม กลไกการตรวจสอบนี้มีแนวโน้มที่จะมีกลไกการโจมตีที่เรียกว่า a การโจมตีสลับซิมซึ่งผู้โจมตีเข้าควบคุมหมายเลขโทรศัพท์มือถือของเป้าหมายโดยหลอกให้ผู้ให้บริการของเจ้าของกำหนดหมายเลขใหม่ให้กับซิมการ์ดของผู้โจมตี

ในขณะที่ยอมรับการโจมตีดังกล่าวที่กำหนดเป้าหมายไปยังลูกค้าบางราย T-Mobile กล่าวว่าการโจมตี SIM swap ได้กลายเป็น เหตุการณ์ที่เกิดขึ้นทั่วไปและทั่วทั้งอุตสาหกรรม.

ตัวเลือกที่ดีกว่าสำหรับการเปิดใช้งาน MFA คือการใช้แอป เช่น Duo Security, Google Authenticator, Authy, Microsoft Authenticator และแอป MFA เฉพาะอื่นๆ แทน

รหัสผ่านแผ่กว้าง

อย่างไรก็ตาม ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ทั้งหมดที่เราพูดคุยด้วยได้เตือนว่าการใช้ MFA ไม่ควรเป็นข้ออ้างสำหรับการไม่ทำตามขั้นตอนที่เพียงพอในการรักษาความปลอดภัยรหัสผ่าน

"ร่วมเป็นส่วนหนึ่งของหนึ่งในศูนย์ที่ไม่รู้ว่ารหัสผ่านธนาคารของพวกเขาคืออะไร เพราะมันยาวและซับซ้อนเกินไป" แบรดลีย์แนะนำ

เขาเสริมว่าผู้ใช้ควรพิจารณาลงทุนในตัวจัดการรหัสผ่านเมื่อพูดถึงรหัสผ่าน แม้ว่าโปรแกรมจัดการรหัสผ่านฟรีจะไม่มีปัญหา แต่ก็มีตัวจัดการรหัสผ่านในเว็บเบราว์เซอร์ของคุณด้วยเช่นกัน ผู้เชี่ยวชาญ แนะนำว่าผู้จัดการรหัสผ่านฟรีดีกว่าไม่มีเลย แต่ผู้ใช้ควรใช้ความระมัดระวังเมื่อใช้ หนึ่ง.

"ร่วมเป็นส่วนหนึ่งของศูนย์หนึ่งเปอร์เซ็นที่ไม่รู้ว่ารหัสผ่านธนาคารของพวกเขาคืออะไร เพราะมันยาวและซับซ้อนเกินไป"

ในขณะที่ การตรวจสอบการละเมิดล่าสุด จากเครือข่ายภายในของบริษัทแห่งหนึ่ง นักวิจัยด้านความปลอดภัยทางไซเบอร์จาก AhnLab พบว่าบัญชี VPN ที่ใช้ในการเจาะเครือข่ายของบริษัทรั่วไหลออกจากพีซีของพนักงานที่ทำงานระยะไกล

พีซีเครื่องนี้ติดมัลแวร์หลายชนิด รวมถึงเครื่องที่ออกแบบมาเพื่อดึงรหัสผ่านโดยเฉพาะ จากตัวจัดการรหัสผ่านที่สร้างขึ้นในเว็บเบราว์เซอร์ที่ใช้ Chromium เช่น Google Chrome และ Microsoft ขอบ.

"แม้ว่าคุณสมบัติการจัดเก็บข้อมูลรับรองบัญชีของเบราว์เซอร์จะสะดวกมาก เนื่องจากมีความเสี่ยงที่จะรั่วไหล ข้อมูลประจำตัวของบัญชีเมื่อติดมัลแวร์ แนะนำให้ผู้ใช้งดใช้" AhnLab เตือน นักวิจัย