Recomandări cheie
- Experții în securitate cibernetică sugerează că parolele, în sine, nu ar mai trebui considerate adecvate pentru securizarea conturilor.
- Utilizatorii ar trebui să activeze autentificarea cu mai mulți factori (MFA) ori de câte ori este posibil.
- Cu toate acestea, MFA nu ar trebui folosit ca scuză pentru a crea parole slabe.
Cea mai puternică dintre parole și cele mai stricte politici de parolă nu sunt de mare folos atunci când furnizorul dvs. de servicii online vă scurge acreditările din cauza unei configurări greșite a serverelor lor.
Dacă credeți că o astfel de eventualitate ar fi o raritate, știți că multe dintre cele mai mari scurgeri de date din 2021 s-au datorat problemelor tehnice ale furnizorilor de servicii. De fapt, în decembrie 2021, experții în securitate cibernetică au ajutat la introducerea unei astfel de erori de configurare în compartimentul S3 al Amazon Web Services deținut de Sega, care conținea tot felul de informații sensibile, inclusiv parole.
„Utilizarea parolei ar trebui să devină învechită și ar trebui să căutăm diferite modalități de a ne conecta la conturi”, a declarat CEO-ul furnizorului de securitate Gurucul, Saryu Nayyar, prin e-mail pentru Lifewire.
Problema cu parolele
În decembrie, The Sun a raportat că National Crime Agency (NCA) din Marea Britanie a furnizat peste 500 de milioane de parole popularului serviciu Have I Been Pwned (HIBP), pe care l-a descoperit în timpul unei investigații.
HIBP le permite utilizatorilor să verifice dacă parolele lor au fost scurse într-o încălcare și sunt predispuse la abuzuri de către hackeri. Potrivit fondatorului HIBP, Troy Hunt, peste 200 de milioane de parole furnizate de NCA nu existau deja în baza de date.
Deși funcția de stocare a acreditărilor contului a browserelor este foarte convenabilă… utilizatorilor li se recomandă să nu o folosească.
Atrage atenția asupra dimensiunii mari a problemei, problema fiind parolele, o metodă arhaică de a-și demonstra autenticitatea. Dacă a existat vreodată un apel la acțiune pentru a lucra pentru eliminarea parolelor și găsirea de alternative, atunci aceasta trebuie să fie el”, a declarat Baber Amin, COO al experților în identitate digitală, Veridium a declarat pentru Lifewire prin e-mail, ca răspuns la contribuția recentă a NCA la HIPB.
Amin a adăugat că acreditările scurse nu doar compromit conturile existente, deoarece hackerii le folosesc acum cu instrumente de analiză bazate pe inteligență artificială pentru a identifica tiparele modului în care o persoană creează parole. În esență, acreditările scurse pun în pericol și securitatea altor conturi necompromise.
parole și altele
Procurând un mecanism de protecție mai bun decât parolele, Nayyar sugerează ca utilizatorii care au opțiunea de a configura autentificarea cu mai mulți factori în conturile lor ar trebui să facă acest lucru.
Ron Bradley, vicepreședintele evaluărilor partajate, o organizație de membru care ajută la dezvoltarea celor mai bune practici pentru asigurarea riscurilor de la terți, este de acord. „Activați autentificarea cu mai mulți factori oriunde este posibil, în special aplicațiile care mută bani.”
Securizarea unui cont numai cu o parolă este cunoscută sub numele de autentificare cu un singur factor. Autentificarea cu mai mulți factori sau MFA se bazează pe aceasta și securizează conturile adăugând un pas suplimentar în procesul de conectare, solicitând utilizatorilor o altă informație. Multe servicii, inclusiv mai multe bănci, implementează MFA prin trimiterea unui cod de verificare la numărul de telefon mobil al unui utilizator înregistrat la bancă.
Cu toate acestea, acest mecanism de verificare este predispus la un mecanism de atac cunoscut sub numele de atac de schimb SIM, în care atacatorii preiau controlul asupra numărului de telefon mobil al unei ținte, păcălind operatorul proprietarului, astfel încât să reatribuie numărul cartelei SIM a atacatorului.
În timp ce a recunoscut un astfel de atac care i-a vizat pe unii dintre clienții săi, T-Mobile a spus că atacurile de schimb SIM au devenit o apariție comună la nivelul întregii industrie.
În schimb, o opțiune mai bună pentru activarea MFA este utilizarea unor aplicații precum Duo Security, Google Authenticator, Authy, Microsoft Authenticator și alte astfel de aplicații MFA dedicate.
Extinderea parolei
Totuși, toți experții în securitate cibernetică cu care am vorbit au avertizat că utilizarea MFA nu ar trebui să fie o scuză pentru a nu lua măsuri adecvate pentru a securiza parolele.
„Faceți parte din cei unu la sută care nu au idee care este parola băncii lor, deoarece este prea lungă și complexă”, a sfătuit Bradley.
El adaugă că utilizatorii ar trebui să ia în considerare investiția într-un manager de parole atunci când vine vorba de parole. Deși nu lipsesc managerii de parole gratuite și există unul încorporat și în browserul dvs. web, experții sugerează că un manager de parole gratuit este mai bine decât să nu aibă deloc unul, dar utilizatorii ar trebui să fie precauți atunci când îl folosesc.
Faceți parte din cei unu-la sută care nu au idee care este parola băncii lor, deoarece este prea lungă și complexă.
În timp ce investigau o încălcare recentă a rețelei interne a unei companii, cercetătorii în securitate cibernetică de la AhnLab au descoperit că contul VPN folosit pentru a pătrunde în rețeaua companiei a fost scurs de pe computerul unui angajat care lucrează la distanță.
Acest PC a fost infectat cu diferite programe malware, inclusiv unul conceput special pentru a extrage parole din managerii de parole încorporați în browserele web bazate pe Chromium, cum ar fi Google Chrome și Microsoft Edge.
„Deși funcția de stocare a acreditărilor de cont a browserelor este foarte convenabilă, deoarece există riscul de scurgere a acreditărilor de cont în cazul infectării cu malware, utilizatorilor li se recomandă să se abțină de la o utilizare”, avertizează cercetătorii AhnLab.
