Kluczowe dania na wynos
- Eksperci ds. cyberbezpieczeństwa sugerują, że same hasła nie powinny już być uważane za odpowiednie do zabezpieczania kont.
- Użytkownicy powinni włączyć uwierzytelnianie wieloskładnikowe (MFA) tam, gdzie to możliwe.
- Jednak MFA nie powinno być używane jako wymówka do tworzenia słabych haseł.
Najmocniejsze hasła i najbardziej rygorystyczne zasady dotyczące haseł nie są zbyt przydatne, gdy dostawca usług online ujawnia Twoje dane uwierzytelniające z powodu błędnej konfiguracji na jego serwerach.
Jeśli uważasz, że taka ewentualność byłaby rzadkością, wiedz, że wiele największych wycieków danych w 2021 r. było spowodowanych problemami technicznymi dostawców usług. W rzeczywistości w grudniu 2021 r. eksperci ds. cyberbezpieczeństwa pomogli podłączyć taką błędną konfigurację do zasobnika S3 usługi Amazon Web Services, którego właścicielem jest firma Sega, który zawierał wszelkiego rodzaju poufne informacje, w tym hasła.
„Używanie haseł powinno stać się przestarzałe i powinniśmy szukać różnych sposobów logowania się na konta” – powiedział Lifewire dyrektor generalny firmy zabezpieczającej Gurucul, Saryu Nayyar.
Problem z hasłami
W grudniu The Sun poinformowało, że brytyjska Narodowa Agencja ds. Przestępczości (NCA) dostarczyła ponad 500 milionów haseł do popularnej usługi Have I Been Pwned (HIBP), którą odkryła podczas dochodzenia.
HIBP umożliwia użytkownikom sprawdzenie, czy ich hasła nie zostały ujawnione w wyniku naruszenia i są podatne na nadużycia ze strony hakerów. Według założyciela HIBP, Troya Hunta, ponad 200 milionów haseł dostarczonych przez NCA nie istniało jeszcze w bazie danych.
Chociaż funkcja przechowywania danych logowania do konta w przeglądarkach jest bardzo wygodna… zaleca się, aby użytkownicy nie korzystali z niej.
Wskazuje to na rozmiar problemu, problemem są hasła, archaiczna metoda udowodnienia swoich prawdomówności. Jeśli kiedykolwiek pojawiło się wezwanie do działania w celu wyeliminowania haseł i znalezienia alternatyw, to musi to Niech tak będzie” – powiedział Baber Amin, dyrektor operacyjny ekspertów ds. tożsamości cyfrowej, Veridium w wiadomości e-mail do Lifewire, w odpowiedzi na niedawny wkład NCA w HIPB.
Amin dodał, że ujawnione dane uwierzytelniające nie tylko naruszają istniejące konta, ponieważ hakerzy używają ich teraz za pomocą narzędzi analitycznych opartych na sztucznej inteligencji do identyfikowania wzorców tworzenia haseł przez daną osobę. Zasadniczo, ujawnione dane uwierzytelniające zagrażają również bezpieczeństwu innych niezabezpieczonych kont.
Hasła i więcej
Opowiadając się za lepszym mechanizmem ochrony niż hasła, Nayyar sugeruje, że użytkownicy, którzy mają możliwość skonfigurowania uwierzytelniania wieloskładnikowego na swoich kontach, powinni to zrobić.
Ron Bradley, wiceprezes Shared Assessments, organizacji członkowskiej, która pomaga opracowywać najlepsze praktyki w zakresie zapewniania ryzyka przez strony trzecie, zgadza się z tym. „Włącz uwierzytelnianie wieloskładnikowe wszędzie tam, gdzie to możliwe, zwłaszcza w aplikacjach, które przenoszą pieniądze”.
Zabezpieczenie konta samym hasłem jest znane jako uwierzytelnianie jednoskładnikowe. Uwierzytelnianie wieloskładnikowe lub MFA opiera się na tym i zabezpiecza konta, dodając dodatkowy krok w procesie logowania, prosząc użytkowników o kolejne informacje. Wiele usług, w tym kilka banków, wdraża MFA, wysyłając kod weryfikacyjny na numer telefonu komórkowego użytkownika zarejestrowany w banku.
Jednak ten mechanizm weryfikacji jest podatny na mechanizm ataku znany jako atak wymiany karty SIM, w którym atakujący przejmują kontrolę nad numerem telefonu komórkowego celu, nakłaniając operatora właściciela do ponownego przypisania numeru do karty SIM atakującego.
Uznając taki atak, który był wymierzony w niektórych swoich klientów, T-Mobile powiedział, że ataki typu SIM swap stały się powszechnym zjawiskiem w całej branży.
Zamiast tego lepszą opcją włączenia usługi MFA jest użycie aplikacji takich jak Duo Security, Google Authenticator, Authy, Microsoft Authenticator i innych dedykowanych aplikacji MFA.
Rozwijanie haseł
Jednak wszyscy eksperci ds. cyberbezpieczeństwa, z którymi rozmawialiśmy, ostrzegali, że korzystanie z usługi MFA nie powinno być wymówką dla niepodejmowania odpowiednich kroków w celu zabezpieczenia haseł.
„Bądź częścią jednego procenta, który nie ma pojęcia, jakie jest hasło do banku, ponieważ jest zbyt długie i skomplikowane” – poradził Bradley.
Dodaje, że użytkownicy powinni rozważyć zainwestowanie w menedżera haseł, jeśli chodzi o hasła. Chociaż nie brakuje darmowych menedżerów haseł, a jest też jeden wbudowany w przeglądarkę internetową, eksperci sugerują, że darmowy menedżer haseł jest lepszy niż nie mieć go wcale, ale użytkownicy powinni zachować ostrożność podczas korzystania z niego.
Bądź częścią jednego procenta, który nie ma pojęcia, jakie jest hasło do banku, ponieważ jest zbyt długie i skomplikowane.
Podczas badania niedawnego naruszenia sieci wewnętrznej jednej firmy, badacze cyberbezpieczeństwa z AhnLab odkryli, że konto VPN używane do włamywania się do sieci firmowej wyciekło z komputera pracownika pracującego zdalnie.
Ten komputer został zainfekowany różnymi złośliwymi programami, w tym zaprojektowanym specjalnie do wyodrębniania haseł z menedżerów haseł wbudowanych w przeglądarki internetowe oparte na Chromium, takie jak Google Chrome i Microsoft Edge.
"Chociaż funkcja przechowywania danych uwierzytelniających konta w przeglądarkach jest bardzo wygodna, ponieważ istnieje ryzyko wycieku danych uwierzytelniających konta w przypadku infekcji złośliwym oprogramowaniem, zaleca się, aby użytkownicy nie korzystali z niej ", ostrzegają badacze AhnLab.
