Ključni podaci za van
- Stručnjaci za kibernetičku sigurnost predlažu da se lozinke, same po sebi, više ne bi trebale smatrati prikladnima za zaštitu računa.
- Korisnici bi trebali omogućiti provjeru autentičnosti s više faktora (MFA) gdje god je to moguće.
- Međutim, MFA se ne bi trebao koristiti kao izgovor za stvaranje slabih lozinki.
Najjače lozinke i najstroža pravila za lozinke nisu od velike koristi kada vaš mrežni pružatelj usluga otkrije vaše vjerodajnice zbog pogrešne konfiguracije na svojim poslužiteljima.
Ako mislite da bi takav slučaj bio rijetkost, znajte da su mnoga od najvećih curenja podataka u 2021. bila posljedica tehničkih poteškoća davatelja usluga. Zapravo, u prosincu 2021. stručnjaci za kibernetičku sigurnost pomogli su ubaciti takvu pogrešnu konfiguraciju u S3 spremnik Amazon Web Services u vlasništvu Sege, koji je sadržavao sve vrste osjetljivih informacija, uključujući lozinke.
"Korištenje lozinki trebalo bi zastarjeti i trebali bismo tražiti drugačije načine za prijavu na račune," rekao je za Lifewire putem e-pošte izvršni direktor dobavljača sigurnosnih usluga Gurucula, Saryu Nayyar.
Problem sa lozinkama
U prosincu je The Sun izvijestio da je britanska Nacionalna agencija za borbu protiv kriminala (NCA) dostavila preko 500 milijuna lozinki popularnoj usluzi Have I Been Pwned (HIBP), što je otkrila tijekom istrage.
HIBP omogućuje korisnicima da provjere jesu li njihove lozinke procurile u proboj i jesu li sklone zlouporabi od strane hakera. Prema osnivaču HIBP-a, Troyu Huntu, više od 200 milijuna lozinki koje je dostavio NCA nije već postojalo u bazi podataka.
Iako je značajka pohranjivanja vjerodajnica računa u preglednicima vrlo praktična… korisnicima se preporučuje da se suzdrže od njezine upotrebe.
"To ukazuje na samu veličinu problema, problem su lozinke, arhaična metoda dokazivanja nečije vjerodostojnosti. Ako je ikada postojao poziv na akciju da se radi na uklanjanju lozinki i pronalaženju alternativa, onda ovo mora bilo to, " Baber Amin, operativni direktor stručnjaka za digitalni identitet, rekao je Veridium Lifewireu putem e-pošte, kao odgovor na nedavni doprinos NCA-a HIPB-u.
Amin je dodao da vjerodajnice koje su procurile ne ugrožavaju samo postojeće račune, jer ih hakeri sada koriste s analitičkim alatima temeljenim na umjetnoj inteligenciji kako bi identificirali obrasce kako pojedinac stvara lozinke. U biti, vjerodajnice koje su procurile također ugrožavaju sigurnost drugih nekompromitiranih računa.
Lozinke i više
Zalažući se za bolji mehanizam zaštite od lozinki, Nayyar predlaže da korisnici koji imaju opciju postavljanja višefaktorske autentifikacije na svojim računima to trebaju učiniti.
Ron Bradley, potpredsjednik Shared Assessments, članske organizacije koja pomaže u razvoju najboljih praksi za osiguranje rizika treće strane, slaže se. "Uključite autentifikaciju s više faktora gdje god je to moguće, posebno aplikacije koje prenose novac."
Zaštita računa samo lozinkom poznata je kao autentifikacija s jednim faktorom. Višefaktorska provjera autentičnosti ili MFA nadovezuje se na to i štiti račune dodavanjem dodatnog koraka u postupak prijave tražeći od korisnika još jedan podatak. Mnoge usluge, uključujući nekoliko banaka, implementiraju MFA slanjem kontrolnog koda na broj mobilnog telefona korisnika registriran u banci.
Međutim, ovaj mehanizam verifikacije sklon je mehanizmu napada poznatom kao napad zamjene SIM kartice, gdje napadači preuzimaju kontrolu nad brojem mobilnog telefona mete tako što prevare vlasnikovog operatera da ponovno dodijeli broj napadačevoj SIM kartici.
Iako je priznao takav napad koji je ciljao na neke od njegovih korisnika, T-Mobile je rekao da su napadi zamjenom SIM kartice postali uobičajena pojava u cijeloj industriji.
Umjesto toga, bolja opcija za omogućavanje MFA je korištenje aplikacija kao što su Duo Security, Google Authenticator, Authy, Microsoft Authenticator i drugih namjenskih MFA aplikacija.
Razvrgavanje lozinki
Međutim, svi stručnjaci za kibernetičku sigurnost s kojima smo razgovarali upozorili su da korištenje MFA ne bi trebalo biti izgovor za nepoduzimanje odgovarajućih koraka za osiguranje lozinki.
"Budite dio jednopostotnih koji nemaju pojma koja je njihova bankovna lozinka jer je preduga i složena," savjetovao je Bradley.
Dodaje da bi korisnici trebali razmisliti o ulaganju u upravitelj lozinki kada su u pitanju lozinke. Iako nema manjka besplatnih upravitelja zaporkama, a postoji i jedan ugrađen u vaš web-preglednik, stručnjaci sugeriraju da je besplatni upravitelj zaporkama bolji nego da ga uopće nemate, no korisnici bi trebali biti oprezni kada ga koriste.
Budite dio jednopostotnih koji nemaju pojma koja je njihova bankovna lozinka jer je preduga i složena.
Dok su istraživali nedavni upad u internu mrežu jedne tvrtke, istraživači kibernetičke sigurnosti iz AhnLaba otkrili su da je VPN račun korišten za provalu u mrežu tvrtke procurio s računala zaposlenika koji radi na daljinu.
Ovo je računalo bilo zaraženo raznim zlonamjernim softverom, uključujući onaj koji je posebno dizajniran za izvlačenje lozinki iz upravitelja zaporki ugrađenih u web preglednike temeljene na Chromiumu kao što su Google Chrome i Microsoft Edge.
"Iako je značajka pohranjivanja vjerodajnica računa u preglednicima vrlo praktična, budući da postoji rizik od curenja vjerodajnica računa nakon infekcije zlonamjernim softverom, korisnicima se preporučuje da se suzdrže od njezine upotrebe," upozoravaju istraživači AhnLaba.
