Key Takeaways
- Stručnjaci za kibernetičku sigurnost sugeriraju da se lozinke same po sebi više ne bi trebale smatrati adekvatnim za osiguranje računa.
- Korisnici bi trebali omogućiti višefaktorsku autentifikaciju (MFA) gdje god je to moguće.
- Međutim, MFA ne bi trebalo da se koristi kao izgovor za kreiranje slabih lozinki.
Najjača lozinke i najstrože politike lozinki nisu od velike koristi kada vaš provajder internetskih usluga procuri vaše akreditive zbog pogrešne konfiguracije na njihovim serverima.
Ako mislite da bi takav slučaj bio rijetkost, znajte da su mnoga najveća curenja podataka u 2021. bila posljedica tehničkih problema od strane pružatelja usluga. Zapravo, u decembru 2021., stručnjaci za kibernetičku sigurnost pomogli su da takvu pogrešnu konfiguraciju umetnu u korpu S3 Amazon Web Services u vlasništvu Sega, koja je sadržavala sve vrste osjetljivih informacija, uključujući lozinke.
"Korišćenje lozinke bi trebalo da zastari i trebalo bi da tražimo različite načine da se prijavimo na naloge", rekao je izvršni direktor dobavljača bezbednosti Gurucul, Saryu Nayyar, za Lifewire putem e-pošte..
Problem sa lozinkama
U decembru, The Sun je izvijestio da je britanska Nacionalna agencija za kriminal (NCA) isporučila preko 500 miliona lozinki popularnoj usluzi Have I Been Pwned (HIBP), koju je otkrila tokom istrage.
HIBP omogućava korisnicima da provjere da li su njihove lozinke procurile zbog provale i da li su sklone zloupotrebi od strane hakera. Prema osnivaču HIBP-a, Troyu Huntu, preko 200 miliona lozinki koje je dostavio NCA nije već postojalo u bazi podataka.
Iako je funkcija pohranjivanja akreditiva računa u pretraživačima vrlo zgodna… korisnicima se preporučuje da je uzdrže od upotrebe.
"To ukazuje na samu veličinu problema, problem su lozinke, arhaična metoda dokazivanja nečijih dobronamjernosti. Ako je ikada postojao poziv na akciju da se radi na eliminaciji lozinki i pronalaženju alternativa, onda ovo mora bilo tako, " Baber Amin, izvršni direktor stručnjaka za digitalni identitet, Veridium, rekao je za Lifewire putem e-pošte, kao odgovor na nedavni doprinos NCA HIPB-u.
Amin je dodao da procurele vjerodajnice ne ugrožavaju samo postojeće račune, jer ih hakeri sada koriste sa analitičkim alatima baziranim na umjetnoj inteligenciji kako bi identificirali obrasce kako pojedinac kreira lozinke. U suštini, procurele akreditive ugrožavaju sigurnost i drugih nekompromitovanih naloga.
Lozinke i više
Zalažući se za bolji mehanizam zaštite od lozinki, Nayyar predlaže da korisnici koji imaju mogućnost postavljanja višefaktorske autentifikacije na svojim računima to učine.
Ron Bradley, potpredsjednik odjela Shared Assessments, članske organizacije koja pomaže u razvoju najboljih praksi za osiguranje rizika trećih strana, se slaže. "Uključite višefaktorsku autentifikaciju svuda gdje je to moguće, posebno aplikacije koje prenose novac."
Osiguravanje naloga samo lozinkom poznato je kao autentifikacija sa jednim faktorom. Višefaktorska autentikacija ili MFA se nadograđuju na to i osiguravaju račune dodavanjem dodatnog koraka u proces prijave tražeći od korisnika još jednu informaciju. Mnoge usluge, uključujući nekoliko banaka, implementiraju MFA slanjem verifikacionog koda na broj mobilnog korisnika koji je registrovan u banci.
Međutim, ovaj mehanizam verifikacije je sklon mehanizmu napada poznatom kao napad zamjene SIM-a, gdje napadači preuzimaju kontrolu nad brojem mobilnog telefona mete tako što prevare operatera vlasnika da ponovo dodijeli broj SIM kartici napadača.
Priznajući takav napad koji je ciljao neke od njegovih korisnika, T-Mobile je rekao da su napadi zamjene SIM-a postali uobičajena pojava u cijeloj industriji.
Umjesto toga, bolja opcija za omogućavanje MFA je korištenje aplikacija kao što su Duo Security, Google Authenticator, Authy, Microsoft Authenticator i druge takve namjenske MFA aplikacije.
Password Sprawl
Međutim, svi stručnjaci za kibernetičku sigurnost s kojima smo razgovarali upozorili su da korištenje MFA ne bi trebalo biti izgovor za nepreduzimanje adekvatnih koraka za osiguranje lozinki.
"Budite dio jednog procenta koji nemaju pojma koja im je lozinka za banku jer je predugačka i složena," savjetovao je Bradley.
On dodaje da bi korisnici trebali razmisliti o ulaganju u upravitelja lozinki kada su u pitanju lozinke. Iako nema nedostatka besplatnih menadžera lozinki, a postoji i jedan ugrađen u vaš web pretraživač, stručnjaci sugeriraju da je besplatni upravitelj lozinki bolji nego da ga uopće nemate, ali korisnici bi trebali biti oprezni kada ga koriste.
Budite dio jednoprocentnih koji nemaju pojma koja im je lozinka za banku jer je predugačka i složena.
Dok su istraživali nedavno probijanje interne mreže jedne kompanije, istraživači kibernetičke sigurnosti iz AhnLab-a otkrili su da je VPN račun koji se koristio za proboj u mrežu kompanije procurio sa računara zaposlenika koji radi na daljinu.
Ovaj računar je zaražen raznim zlonamjernim softverom, uključujući onaj dizajniran posebno za izdvajanje lozinki iz upravitelja lozinki ugrađenih u web preglednike zasnovane na Chromiumu kao što su Google Chrome i Microsoft Edge.
"Iako je funkcija pohranjivanja akreditiva računa u pretraživačima vrlo zgodna, jer postoji rizik od curenja akreditiva računa nakon zaraze zlonamjernim softverom, korisnicima se preporučuje da se suzdrže od njegove upotrebe", upozoravaju istraživači AhnLaba.
