Võtmed kaasavõtmiseks
- Küberjulgeolekueksperdid soovitavad, et paroole iseenesest ei tohiks enam pidada piisavaks kontode kaitsmiseks.
- Kasutajad peaksid võimaluse korral lubama mitmefaktorilise autentimise (MFA).
- Kuid MFA-d ei tohiks kasutada ettekäändena nõrkade paroolide loomiseks.
Tugevamatest paroolidest ja kõige rangematest paroolipoliitikatest pole palju kasu, kui teie võrguteenuse pakkuja lekitab teie mandaate nende serverite vale konfiguratsiooni tõttu.
Kui arvate, et selline juhtum oleks haruldane, siis teadke, et paljud 2021. aasta suurimad andmelekked olid tingitud teenusepakkujate tehnilistest tõrgetest. Tegelikult aitasid küberjulgeoleku eksperdid 2021. aasta detsembris sellise vale seadistuse kõrvaldada Segale kuuluvas Amazon Web Servicesi S3 ämbris, mis sisaldas igasugust tundlikku teavet, sealhulgas paroole.
"Parooli kasutamine peaks muutuma aegunuks ja me peaksime otsima erinevaid viise kontodele sisselogimiseks," ütles turbemüüja Guruculi tegevjuht Saryu Nayyar Lifewire'ile e-posti teel.
Paroolide probleem
Detsembris teatas The Sun, et Ühendkuningriigi riiklik kuritegevuse agentuur (NCA) andis populaarsele teenusele Have I Been Pwned (HIBP) üle 500 miljoni parooli, mille ta uurimise käigus avastas.
HIBP võimaldab kasutajatel kontrollida, kas nende paroolid on lekkinud ja häkkerid võivad neid kuritarvitada. HIBP asutaja Troy Hunti sõnul ei olnud enam kui 200 miljonit NCA esitatud parooli andmebaasis veel olemas.
Kuigi brauserite kontomandaatide salvestamise funktsioon on väga mugav, soovitatakse kasutajatel selle kasutamisest hoiduda.
"See viitab probleemi tohutule suurusele, probleemiks on paroolid, arhailine meetod oma heauskse tõestamiseks. Kui kunagi kutsuti üles tegutsema paroolide kõrvaldamise ja alternatiivide leidmise nimel, siis peab see Olgu see nii," ütles Veridium digitaalse identiteedi ekspertide COO Baber Amin e-posti teel Lifewire'ile vastuseks NCA hiljutisele panusele HIPB-le.
Amin lisas, et lekkinud mandaadid ei ohusta ainult olemasolevaid kontosid, kuna häkkerid kasutavad neid nüüd koos tehisintellektil põhinevate analüütiliste tööriistadega, et tuvastada mustrid, kuidas üksikisik paroole loob. Sisuliselt seavad lekkinud mandaadid ohtu ka teiste mitte-riskita kontode turvalisuse.
Paroolid ja palju muud
Paroolidest parema kaitsemehhanismi pooldamisel soovitab Nayyar kasutajatel, kellel on võimalus oma kontodel seadistada mitmefaktoriline autentimine, seda teha.
Ron Bradley, jagatud hinnangute asepresident, liikmesorganisatsioon, mis aitab välja töötada parimaid tavasid kolmandate osapoolte riskide kindlustamiseks, nõustub. "Lülita sisse mitmefaktoriline autentimine kõikjal, kus võimalik, eriti rakendustes, mis raha liigutavad."
Konto kaitsmist ainult parooliga nimetatakse ühefaktoriliseks autentimiseks. Mitmefaktoriline autentimine või MFA tugineb sellele ja kaitseb kontosid, lisades sisselogimisprotsessi täiendava sammu, küsides kasutajatelt muud teavet. Paljud teenused, sealhulgas mitmed pangad, rakendavad MFA-d, saates kasutaja pangas registreeritud mobiilinumbrile kinnituskoodi.
See kinnitusmehhanism on aga kalduvus ründemehhanismile, mida tuntakse SIM-kaardi vahetamise rünnakuna, kus ründajad võtavad kontrolli sihtmärgi mobiiltelefoninumbri üle, meelitades omaniku operaatorit numbrit ründaja SIM-kaardile ümber määrama.
Tunnistades sellist rünnakut, mis oli suunatud mõnele tema kliendile, ütles T-Mobile, et SIM-kaardi vahetamise rünnakud on muutunud tavaliseks ja kogu tööstusharu hõlmavaks nähtuseks.
Selle asemel on parem võimalus MFA lubamiseks kasutada selliseid rakendusi nagu Duo Security, Google Authenticator, Authy, Microsoft Authenticator ja muud sellised spetsiaalsed MFA-rakendused.
Parooli laialivalgumine
Kõik küberjulgeolekueksperdid, kellega rääkisime, hoiatasid, et MFA kasutamine ei tohiks olla vabandus paroolide kaitsmiseks piisavate sammude mitteastumisele.
"Osa osa neist üheprotsendilistest, kellel pole aimugi, mis on nende pangaparool, sest see on liiga pikk ja keeruline," soovitas Bradley.
Ta lisab, et kasutajad peaksid paroolide osas kaaluma paroolihaldurisse investeerimist. Kuigi tasuta paroolihalduritest pole puudust ja üks on ka teie veebibrauseris sisse ehitatud, soovitavad eksperdid, et tasuta paroolihaldur on parem kui selle puudumine, kuid kasutajad peaksid selle kasutamisel olema ettevaatlikud.
Saage osa neist üheprotsendilistest, kellel pole aimugi, mis on nende pangaparool, sest see on liiga pikk ja keeruline.
Ühe ettevõtte sisevõrgu hiljutist rikkumist uurides avastasid AhnLabi küberjulgeolekuteadlased, et ettevõtte võrku sissemurdmiseks kasutatud VPN-i konto lekkis kaugtöötava töötaja arvutist.
See arvuti oli nakatunud mitmesuguse pahavaraga, sealhulgas sellisega, mis on spetsiaalselt loodud paroolide eraldamiseks Chromiumipõhistesse veebibrauseritesse (nt Google Chrome ja Microsoft Edge) sisseehitatud paroolihalduritest.
"Kuigi brauserite kontomandaatide salvestamise funktsioon on väga mugav, kuna ründevaraga nakatumise korral on konto mandaatide lekkimise oht, soovitatakse kasutajatel selle kasutamisest hoiduda," hoiatavad AhnLabi teadlased.