Atslēgas līdzņemšanai
- Kiberdrošības eksperti iesaka, ka paroles pašas par sevi vairs nav uzskatāmas par piemērotām kontu aizsardzībai.
- Lietotājiem ir jāiespējo daudzfaktoru autentifikācija (MFA), kad vien iespējams.
- Tomēr MFA nevajadzētu izmantot kā attaisnojumu vāju paroļu izveidei.
Spēcīgākās paroles un stingrākās paroļu politikas nav īpaši noderīgas, ja jūsu tiešsaistes pakalpojumu sniedzējs nopludina jūsu akreditācijas datus nepareizas konfigurācijas dēļ savos serveros.
Ja uzskatāt, ka šāda iespēja būtu retums, ņemiet vērā, ka daudzas no lielākajām datu noplūdēm 2021. gadā notika pakalpojumu sniedzēju tehnisku kļūdu dēļ. Faktiski 2021. gada decembrī kiberdrošības eksperti palīdzēja novērst šādu nepareizu konfigurāciju Amazon Web Services S3 segmentā, kas pieder Sega un kurā bija visa veida sensitīva informācija, tostarp paroles.
"Paroles lietošanai vajadzētu kļūt novecojušas, un mums ir jāmeklē dažādi veidi, kā pieteikties kontos," pa e-pastu Lifewire pastāstīja drošības pārdevēja Gurucul izpilddirektors Saryu Nayyar.
Problēma ar parolēm
Decembrī The Sun ziņoja, ka Apvienotās Karalistes Nacionālā noziedzības aģentūra (NCA) piegādāja vairāk nekā 500 miljonus paroļu populārajam pakalpojumam Have I Been Pwned (HIBP), ko tā bija atklājusi izmeklēšanas laikā.
HIBP ļauj lietotājiem pārbaudīt, vai viņu paroles nav nopludinātas pārkāpuma rezultātā un vai hakeri tās nevar ļaunprātīgi izmantot. Saskaņā ar HIBP dibinātāja Troja Hanta teikto, vairāk nekā 200 miljoni NCA nodrošināto paroļu datu bāzē jau nepastāvēja.
Lai gan pārlūkprogrammu konta akreditācijas datu glabāšanas funkcija ir ļoti ērta… lietotājiem ieteicams atturēties no tās izmantošanas.
Tas norāda uz problēmas milzīgo apmēru, jo problēma ir paroles, kas ir arhaisks veids, kā pierādīt savu uzticamību. Ja kādreiz ir bijis aicinājums rīkoties, lai novērstu paroles un atrastu alternatīvas, tad tam ir jābūt vai tā būtu,” Baber Amin, digitālās identitātes ekspertu COO, Veridium pastāstīja Lifewire pa e-pastu, atbildot uz NCA neseno ieguldījumu HIPB.
Amins piebilda, ka nopludinātie akreditācijas dati ne tikai apdraud esošos kontus, jo hakeri tagad tos izmanto ar AI balstītiem analītiskiem rīkiem, lai identificētu paroļu veidošanas modeļus. Būtībā nopludināti akreditācijas dati apdraud arī citu neuzlauztu kontu drošību.
Paroles un vairāk
Iestājoties par labāku aizsardzības mehānismu nekā paroles, Naijars iesaka lietotājiem, kuriem ir iespēja savos kontos iestatīt daudzfaktoru autentifikāciju, to darīt.
Rons Bredlijs, kopīgu novērtējumu viceprezidents, dalības organizācija, kas palīdz izstrādāt trešo pušu riska nodrošināšanas paraugpraksi, piekrīt. "Ieslēdziet daudzfaktoru autentifikāciju visur, kur iespējams, īpaši lietotnēs, kas pārvieto naudu."
Konta nodrošināšana, izmantojot tikai paroli, ir pazīstama kā viena faktora autentifikācija. Vairāku faktoru autentifikācija jeb MFA tiek veidota papildus tam un nodrošina kontu drošību, pievienojot papildu darbību pierakstīšanās procesam, pieprasot lietotājiem citu informāciju. Daudzi pakalpojumi, tostarp vairākas bankas, ievieš MFA, nosūtot verifikācijas kodu uz bankā reģistrētu lietotāja mobilā tālruņa numuru.
Tomēr šis verifikācijas mehānisms ir pakļauts uzbrukuma mehānismam, kas pazīstams kā SIM apmaiņas uzbrukums, kad uzbrucēji pārņem kontroli pār mērķa mobilā tālruņa numuru, piemānoties īpašnieka mobilo sakaru operatoram, lai tas atkārtoti piešķirtu numuru uzbrucēja SIM kartei.
Atzīstot šādu uzbrukumu, kas bija vērsts uz dažiem tā klientiem, T-Mobile paziņoja, ka SIM apmaiņas uzbrukumi ir kļuvuši par izplatītu un visas nozares mēroga gadījumu.
Tā vietā labāka iespēja MFA iespējot ir lietot tādas lietotnes kā Duo Security, Google Authenticator, Authy, Microsoft Authenticator un citas līdzīgas MFA lietotnes.
Paroles izkliedēšana
Tomēr visi kiberdrošības eksperti, ar kuriem runājām, brīdināja, ka MFA izmantošana nedrīkst būt attaisnojums, lai neveiktu atbilstošus pasākumus, lai aizsargātu paroles.
"Esiet daļa no vienprocentiem, kuriem nav ne jausmas, kāda ir viņu bankas parole, jo tā ir pārāk gara un sarežģīta," ieteica Bredlijs.
Viņš piebilst, ka lietotājiem vajadzētu apsvērt iespēju ieguldīt paroļu pārvaldniekā, kad runa ir par parolēm. Lai gan netrūkst bezmaksas paroļu pārvaldnieku, un tādi ir iebūvēti arī jūsu tīmekļa pārlūkprogrammā, eksperti norāda, ka bezmaksas paroļu pārvaldnieks ir labāks par to, ka tā nav vispār, taču lietotājiem ir jāievēro piesardzība, to lietojot.
Esiet daļa no tiem, kas nezina, kāda ir viņu bankas parole, jo tā ir pārāk gara un sarežģīta.
Izmeklējot nesenu viena uzņēmuma iekšējā tīkla pārkāpumu, AhnLab kiberdrošības pētnieki atklāja, ka VPN konts, ar kuru tika uzlauzts uzņēmuma tīklā, tika nopludināts no attālināti strādājoša darbinieka datora.
Šis dators bija inficēts ar dažādu ļaunprātīgu programmatūru, tostarp tādu, kas īpaši izstrādāta, lai iegūtu paroles no paroļu pārvaldniekiem, kas iebūvēti Chromium tīmekļa pārlūkprogrammās, piemēram, Google Chrome un Microsoft Edge.
"Lai gan pārlūkprogrammu konta akreditācijas datu glabāšanas funkcija ir ļoti ērta, jo pastāv konta akreditācijas datu noplūdes risks, inficējoties ar ļaunprātīgu programmatūru, lietotājiem ieteicams atturēties no tās izmantošanas," brīdina AhnLab pētnieki.
