Експерти кажуть, що настав час перестати покладатися на паролі
Ключові речі на винос
- Експерти з кібербезпеки вважають, що паролі самі по собі більше не повинні вважатися адекватними для захисту облікових записів.
- Користувачі повинні ввімкнути багатофакторну аутентифікацію (MFA), де це можливо.
- Однак MFA не слід використовувати як привід для створення слабких паролів.
Оскар Вонг / Getty Images
Найнадійніший з паролів і найсуворіша політика паролів не приносять особливої користі, коли ваш постачальник онлайн-послуг витікає ваші облікові дані через неправильну конфігурацію на своїх серверах.
Якщо ви думаєте, що такий випадок був би рідкістю, знайте, що багато з них Найбільші витоки даних у 2021 році були викликані технічними проблемами постачальників послуг. Фактично, у грудні 2021 року експерти з кібербезпеки допомогли підключити таку неправильну конфігурацію в сегмент S3 Amazon Web Services. належить Sega, який містив усі види конфіденційної інформації, включаючи паролі.
"Використання паролів має стати застарілим, і ми повинні шукати різні способи входу в облікові записи", - сказав генеральний директор постачальника безпеки Гурукул.
Проблема з паролями
У грудні, Про це повідомляє The Sun що Національне агентство зі злочинності Великобританії (NCA) надало понад 500 мільйонів паролів популярним Мене обдурили (HIBP), яку вона виявила під час розслідування.
HIBP дозволяє користувачам перевірити, чи були їхні паролі витоку в результаті порушення та чи схильні вони до зловживань з боку хакерів. За словами засновника HIBP, Трой Хант, понад 200 мільйонів паролів, наданих NCA ще не існував у базі даних.
«Хоча функція зберігання облікових даних у браузерах дуже зручна... Користувачам рекомендується утриматися від його використання».
«Це вказує на самий розмір проблеми, проблема полягає в паролях, архаїчному методі доведення власної правдивості. Якщо коли-небудь був заклик до дій, спрямованих на усунення паролів і пошук альтернатив, то це має бути це", Бабер Амін, головний виконавчий директор експертів із цифрової ідентифікації, Veridium повідомив Lifewire електронною поштою у відповідь на нещодавній внесок NCA в HIPB.
Амін додав, що витік облікових даних не просто ставить під загрозу існуючі облікові записи, оскільки тепер хакери використовують їх з аналітичними інструментами на основі штучного інтелекту, щоб визначити закономірності того, як людина створює паролі. По суті, витік облікових даних також ставить під загрозу безпеку інших не зламаних облікових записів.
Паролі та інше
Виступаючи за кращий механізм захисту, ніж паролі, Найяр пропонує користувачам, які мають можливість налаштувати багатофакторну аутентифікацію для своїх облікових записів, зробити це.
Рон Бредлі, віце-президент Shared Assessments, членська організація, яка допомагає розробляти найкращі методи стороннього забезпечення ризиків, погоджується. «Увімкніть багатофакторну аутентифікацію всюди, де це можливо, особливо в додатках, які переміщують гроші».
Захист облікового запису лише за допомогою пароля відомий як однофакторна аутентифікація. Багатофакторна автентифікація або MFA надбудовується на додачу та захищає облікові записи, додаючи додатковий крок у процес входу, запитуючи користувачів на іншу інформацію. Багато сервісів, у тому числі кілька банків, реалізують MFA, надсилаючи код підтвердження на номер мобільного телефону, зареєстрований у банку.
Марк Колпаков / Getty Images
Однак цей механізм перевірки схильний до механізму атаки, відомого як a Атака заміни SIM-карти, де зловмисники беруть під контроль номер мобільного телефону об’єкта, обманом змушуючи оператора власника перепризначити номер на SIM-карту зловмисника.
Визнаючи таку атаку, яка була спрямована на деяких своїх клієнтів, T-Mobile зазначила, що атаки заміни SIM-карт стали поширене явище для всієї галузі.
Натомість кращим варіантом увімкнення MFA є використання таких програм, як Duo Security, Google Authenticator, Authy, Microsoft Authenticator та інших подібних спеціальних програм MFA.
Розповсюдження паролів
Однак усі експерти з кібербезпеки, з якими ми спілкувалися, застерігали, що використання MFA не повинно бути виправданням для неприйняття належних заходів для захисту паролів.
«Будьте частиною однопроцентних, які не знають, що таке їхній банківський пароль, тому що він занадто довгий і складний», — порадив Бредлі.
Він додає, що користувачам варто подумати про інвестування в менеджер паролів, коли справа доходить до паролів. Хоча немає дефіциту безкоштовних менеджерів паролів, які також є вбудованим у ваш веб-переглядач, експерти припускають, що безкоштовний менеджер паролів краще, ніж його взагалі не мати, але користувачам слід бути обережними під час використання один.
«Будьте частиною однопроцентних, які не знають, який їхній банківський пароль, тому що він занадто довгий і складний».
Поки розслідування нещодавнього порушення внутрішньої мережі однієї компанії дослідники кібербезпеки з AhnLab виявили, що обліковий запис VPN, який використовувався для проникнення в мережу компанії, був витік з ПК віддаленого працівника.
Цей комп’ютер був заражений різними зловмисними програмами, у тому числі розробленим спеціально для вилучення паролів з менеджерів паролів, вбудованих у веб-переглядачі на основі Chromium, такі як Google Chrome і Microsoft Край.
«Хоча функція зберігання облікових даних у браузерах дуже зручна, оскільки існує ризик витоку облікові дані облікового запису при зараженні шкідливим програмним забезпеченням, користувачам рекомендується утримуватися від його використання», – попереджають у AhnLab. дослідники.