A legfontosabb elvitelek
- Kiberbiztonsági szakértők azt javasolják, hogy a jelszavak önmagukban már nem tekinthetők megfelelőnek a fiókok védelmére.
- A felhasználóknak lehetőség szerint engedélyezniük kell a többtényezős hitelesítést (MFA).
- Az MFA-t azonban nem szabad ürügyként használni gyenge jelszavak létrehozására.
A legerősebb jelszavak és a legszigorúbb jelszószabályok nem sok hasznot hoznak, ha az online szolgáltató kiszivárogtatja a hitelesítő adatait a szervereik hibás konfigurációja miatt.
Ha úgy gondolja, hogy egy ilyen lehetőség ritkaság lenne, tudd, hogy 2021-ben a legtöbb adatszivárgás a szolgáltatók technikai hibáinak köszönhető. Valójában 2021 decemberében a kiberbiztonsági szakértők segítettek kiküszöbölni egy ilyen hibás konfigurációt az Amazon Web Services Sega tulajdonában lévő S3 tárolójában, amely mindenféle érzékeny információt tartalmazott, beleértve a jelszavakat is.
"A jelszó használatának elavulttá kell válnia, és különböző módokat kell keresnünk a fiókokba való bejelentkezéshez" - mondta a Lifewire-nek e-mailben Saryu Nayyar, a biztonsági szolgáltató Gurucul vezérigazgatója.
A jelszavakkal kapcsolatos probléma
Decemberben a The Sun arról számolt be, hogy az Egyesült Királyság Nemzeti Bűnügyi Ügynöksége (NCA) több mint 500 millió jelszót bocsátott rendelkezésre a népszerű Have I Been Pwned (HIBP) szolgáltatáshoz, amelyet egy vizsgálat során fedezett fel.
A HIBP lehetővé teszi a felhasználók számára, hogy ellenőrizzék, hogy jelszavaik kiszivárogtak-e jogsértés miatt, és nem hajlamosak-e visszaélni a hackerek által. A HIBP alapítója, Troy Hunt szerint az NCA által biztosított jelszavak közül több mint 200 millió még nem szerepelt az adatbázisban.
Bár a böngészők hitelesítő adatainak tárolási funkciója nagyon kényelmes… a felhasználóknak azt javasoljuk, hogy tartózkodjanak a használatától.
Ez rámutat a probléma puszta méretére, a problémát a jelszavak jelentik, egy archaikus módszer a jóhiszeműség bizonyítására. Ha valaha is cselekvésre szólítottak fel a jelszavak kiküszöbölésére és alternatívák keresésére, akkor ennek Legyen az” – mondta Baber Amin, a digitális identitás-szakértők ügyvezető igazgatója, a Veridium e-mailben a Lifewire-nek válaszul az NCA legutóbbi hozzájárulására a HIPB-hez.
Amin hozzátette, hogy a kiszivárgott hitelesítő adatok nem csak a meglévő fiókokat veszélyeztetik, mivel a hackerek ma már mesterséges intelligencia-alapú elemző eszközökkel is azonosítják azokat a jelszavak létrehozási mintáit. A kiszivárgott hitelesítő adatok lényegében más, nem feltört fiókok biztonságát is veszélyeztetik.
Jelszavak és egyebek
A jelszavaknál jobb védelmi mechanizmus mellett Nayyar azt javasolja, hogy azok a felhasználók, akiknek lehetőségük van többtényezős hitelesítés beállítására a fiókjukban, ezt tegyék meg.
Ron Bradley, a Shared Assessments alelnöke, egy tagsági szervezet, amely segít a harmadik felek kockázatbiztosításának legjobb gyakorlatainak kidolgozásában. "Mindenhol csak lehetséges, kapcsolja be a többtényezős hitelesítést, különösen azoknál az alkalmazásoknál, amelyek pénzt mozgatnak."
A fiókok kizárólag jelszóval történő biztonságossá tételét egytényezős hitelesítésnek nevezik. A többtényezős hitelesítés vagy MFA erre épül, és egy további lépéssel a bejelentkezési folyamatba védi a fiókokat azáltal, hogy újabb információkat kér a felhasználóktól. Számos szolgáltatás, köztük több bank, úgy valósítja meg az MFA-t, hogy ellenőrző kódot küld a felhasználó banknál regisztrált mobilszámára.
Ez az ellenőrző mechanizmus azonban hajlamos a SIM-csere támadásként ismert támadási mechanizmusra, ahol a támadók átveszik az irányítást a célpont mobiltelefonszáma felett úgy, hogy ráveszik a tulajdonos szolgáltatóját, hogy hozzárendelje a számot a támadó SIM-kártyájához.
A T-Mobile elismerte egy ilyen támadást, amely néhány ügyfelet célozta meg, de azt mondta, hogy a SIM-csere támadások általános és az egész iparágra kiterjedő jelenséggé váltak.
Ehelyett az MFA engedélyezésének jobb módja az olyan alkalmazások használata, mint a Duo Security, a Google Authenticator, az Authy, a Microsoft Authenticator és más, dedikált MFA-alkalmazások.
Jelszó kiterjesztése
Azonban az összes kiberbiztonsági szakértő, akivel beszéltünk, arra figyelmeztetett, hogy az MFA használata nem lehet ürügy arra, hogy ne tegyen megfelelő lépéseket a jelszavak biztonsága érdekében.
"Legyen része az egyszázalékosoknak, akiknek fogalmuk sincs, mi a banki jelszava, mert túl hosszú és összetett" - tanácsolta Bradley.
Hozzáteszi, hogy a felhasználóknak fontolóra kell venniük a jelszókezelőbe való befektetést, ha jelszavakról van szó. Noha ingyenes jelszókezelőkben nincs hiány, és a webböngészőbe is be van építve egy, a szakértők szerint az ingyenes jelszókezelő jobb, mintha egyáltalán nem lenne, de a felhasználóknak óvatosan kell eljárniuk, amikor használnak.
Legyen része az egyszázalékosoknak, akiknek fogalmuk sincs, mi a banki jelszava, mert túl hosszú és összetett.
Az egyik vállalat belső hálózatának közelmúltbeli megsértésének vizsgálata során az AhnLab kiberbiztonsági kutatói felfedezték, hogy a vállalati hálózatba való behatoláshoz használt VPN-fiók egy távolról dolgozó alkalmazott számítógépéről szivárgott ki.
Ezt a számítógépet különféle rosszindulatú programok fertőzték meg, köztük egy olyan is, amelyet kifejezetten a Chromium-alapú webböngészőkbe, például a Google Chrome-ba és a Microsoft Edge-be épített jelszókezelőkből való jelszavak kinyerésére terveztek.
"Bár a böngészők hitelesítő adatainak tárolása nagyon kényelmes, mivel fennáll a fiók hitelesítő adatainak kiszivárgásának veszélye rosszindulatú programfertőzés esetén, a felhasználóknak azt javasoljuk, hogy tartózkodjanak a használatától" - figyelmeztetnek az AhnLab kutatói.
