Ключови изводи
- Експертите по киберсигурност предполагат, че паролите сами по себе си вече не трябва да се считат за подходящи за защита на акаунти.
- Потребителите трябва да активират многофакторно удостоверяване (MFA), когато е възможно.
- Въпреки това MFA не трябва да се използва като извинение за създаване на слаби пароли.
Най-силните пароли и най-строгите политики за пароли не са от голяма полза, когато вашият доставчик на онлайн услуги изтече вашите идентификационни данни поради неправилна конфигурация в техните сървъри.
Ако смятате, че подобна възможност би била рядкост, знайте, че много от най-големите изтичания на данни през 2021 г. се дължат на технически грешки от страна на доставчиците на услуги. Всъщност през декември 2021 г. експертите по киберсигурност помогнаха за поставянето на такава грешна конфигурация в кофата S3 на Amazon Web Services, собственост на Sega, която съдържаше всякакъв вид чувствителна информация, включително пароли.
"Използването на парола трябва да стане остаряло и ние трябва да търсим различни начини за влизане в акаунти", каза главният изпълнителен директор на доставчика на сигурност Gurucul, Saryu Nayyar, пред Lifewire по имейл.
Проблемът с паролите
През декември The Sun съобщи, че Националната агенция за борба с престъпността на Обединеното кралство (NCA) е предоставила над 500 милиона пароли на популярната услуга Have I Been Pwned (HIBP), които е разкрила по време на разследване.
HIBP позволява на потребителите да проверяват дали техните пароли са изтекли при пробив и са склонни към злоупотреба от хакери. Според основателя на HIBP, Трой Хънт, над 200 милиона от паролите, предоставени от NCA, все още не съществуват в базата данни.
Въпреки че функцията за съхраняване на идентификационни данни на акаунта на браузърите е много удобна… на потребителите се препоръчва да се въздържат от използването й.
"Това сочи към самия размер на проблема, проблемът са паролите, архаичен метод за доказване на нечии добронамерености. Ако някога е имало призив за действие да се работи за елиминиране на пароли и намиране на алтернативи, то това трябва да "Бабер Амин, главен оперативен директор на експерти по цифрова идентичност, Veridium каза пред Lifewire по имейл, в отговор на скорошния принос на NCA към HIPB.
Amin добави, че изтеклите идентификационни данни не само компрометират съществуващи акаунти, тъй като хакерите вече ги използват с базирани на AI аналитични инструменти, за да идентифицират модели за това как дадено лице създава пароли. По същество изтеклите идентификационни данни застрашават сигурността и на други некомпрометирани акаунти.
Пароли и още
Застъпвайки се за по-добър механизъм за защита от паролите, Наяр предлага потребителите, които имат опцията да настроят многофакторно удостоверяване на своите акаунти, да го направят.
Рон Брадли, вицепрезидент на Shared Assessments, членска организация, която помага за разработването на най-добри практики за осигуряване на риска от трети страни, е съгласен. „Включете многофакторното удостоверяване навсякъде, където е възможно, особено приложенията, които прехвърлят пари.“
Защитата на акаунт само с парола е известно като еднофакторно удостоверяване. Многофакторното удостоверяване или MFA се основава на това и защитава акаунтите, като добавя допълнителна стъпка към процеса на влизане, като иска от потребителите друга информация. Много услуги, включително няколко банки, прилагат MFA чрез изпращане на код за потвърждение до мобилния номер на потребителя, регистриран в банката.
Въпреки това, този механизъм за проверка е предразположен към механизъм за атака, известен като атака за размяна на SIM карта, при която нападателите поемат контрола върху мобилния телефонен номер на целта, като подмамят оператора на собственика да преназначи номера към SIM картата на атакуващия.
Въпреки че признава такава атака, насочена към някои от клиентите му, T-Mobile каза, че атаките за размяна на SIM са се превърнали в често срещано явление в цялата индустрия.
Вместо това, по-добър вариант за активиране на MFA е чрез използване на приложения като Duo Security, Google Authenticator, Authy, Microsoft Authenticator и други подобни специализирани MFA приложения.
Разхвърляне на пароли
Въпреки това, всички експерти по киберсигурност, с които разговаряхме, предупредиха, че използването на MFA не трябва да бъде извинение за непредприемане на адекватни стъпки за защита на паролите.
"Бъдете част от еднопроцентовците, които нямат представа каква е банковата им парола, защото е твърде дълга и сложна", посъветва Брадли.
Той добавя, че потребителите трябва да обмислят инвестиране в мениджър на пароли, когато става въпрос за пароли. Въпреки че няма недостиг на безплатни мениджъри на пароли и има такъв, вграден и във вашия уеб браузър, експертите предполагат, че безплатен мениджър на пароли е по-добре, отколкото изобщо да няма такъв, но потребителите трябва да бъдат внимателни, когато го използват.
Бъдете част от еднопроцентовците, които нямат представа каква е банковата им парола, защото е твърде дълга и сложна.
Докато разследваха скорошен пробив във вътрешната мрежа на една компания, изследователи по киберсигурност от AhnLab откриха, че VPN акаунтът, използван за проникване в мрежата на компанията, е изтекъл от компютъра на отдалечен работещ служител.
Този компютър беше заразен с различен злонамерен софтуер, включително такъв, създаден специално за извличане на пароли от мениджърите на пароли, вградени в базирани на Chromium уеб браузъри, като Google Chrome и Microsoft Edge.
"Въпреки че функцията за съхраняване на идентификационни данни на акаунт в браузърите е много удобна, тъй като има риск от изтичане на идентификационни данни на акаунта при заразяване със зловреден софтуер, на потребителите се препоръчва да се въздържат от използването й", предупреждават изследователите на AhnLab.йени