Ключевые выводы
- Эксперты по кибербезопасности предполагают, что пароли сами по себе больше не должны считаться подходящими для защиты учетных записей.
- Пользователи должны включать многофакторную аутентификацию (MFA) везде, где это возможно.
- Однако MFA не следует использовать в качестве предлога для создания слабых паролей.
Самые надежные пароли и самые строгие политики паролей бесполезны, когда ваш онлайн-провайдер теряет ваши учетные данные из-за неправильной настройки своих серверов.
Если вы думаете, что такая возможность будет редкостью, знайте, что многие из крупнейших утечек данных в 2021 году произошли из-за технических ошибок поставщиков услуг. Фактически, в декабре 2021 года эксперты по кибербезопасности помогли устранить такую неверную конфигурацию в корзине S3 Amazon Web Services, принадлежащей Sega, которая содержала все виды конфиденциальной информации, включая пароли.
«Использование паролей должно стать устаревшим, и мы должны искать другие способы входа в учетные записи», - сказал Lifewire по электронной почте генеральный директор поставщика систем безопасности Gurucul Сарью Найяр.
Проблема с паролями
В декабре The Sun сообщила, что Национальное агентство по борьбе с преступностью Великобритании (NCA) предоставило более 500 миллионов паролей популярной службе Have I Been Pwned (HIBP), которую оно обнаружило в ходе расследования.
HIBP позволяет пользователям проверять, не были ли взломаны их пароли и могут ли они быть взломаны хакерами. По словам основателя HIBP Троя Ханта, более 200 миллионов паролей, предоставленных NCA, еще не существовали в базе данных.
Хотя функция хранения учетных данных в браузерах очень удобна… пользователям рекомендуется воздержаться от ее использования.
Это указывает на огромный масштаб проблемы, проблема заключается в паролях, архаичном методе подтверждения своей добросовестности. Если когда-либо был призыв к действиям по устранению паролей и поиску альтернатив, будь то », - сказал Бабер Амин, главный операционный директор экспертов по цифровой идентификации Veridium, по электронной почте Lifewire в ответ на недавний вклад NCA в HIPB.
Амин добавил, что утечка учетных данных не просто ставит под угрозу существующие учетные записи, поскольку хакеры теперь используют их с аналитическими инструментами на основе ИИ для выявления закономерностей того, как человек создает пароли. По сути, утечка учетных данных ставит под угрозу безопасность других нескомпрометированных учетных записей.
Пароли и прочее
Выступая за лучший механизм защиты, чем пароли, Найяр предлагает пользователям, у которых есть возможность настроить многофакторную аутентификацию в своих учетных записях, сделать это.
Рон Брэдли, вице-президент Shared Assessments, членской организации, которая помогает разрабатывать передовые методы обеспечения безопасности третьих лиц, соглашается. «Включите многофакторную аутентификацию везде, где это возможно, особенно в приложениях, которые переводят деньги».
Защита учетной записи только с помощью пароля называется однофакторной аутентификацией. Многофакторная проверка подлинности или MFA строится поверх этого и защищает учетные записи, добавляя дополнительный шаг в процесс входа, запрашивая у пользователей другую информацию. Многие сервисы, в том числе несколько банков, реализуют MFA, отправляя код подтверждения на номер мобильного телефона пользователя, зарегистрированный в банке.
Однако этот механизм проверки подвержен механизму атаки, известному как атака с подменой SIM-карты, когда злоумышленники получают контроль над номером мобильного телефона цели, обманом заставляя оператора переназначить номер на SIM-карту злоумышленника.
Признавая такую атаку, направленную против некоторых ее клиентов, T-Mobile заявила, что атаки с подменой SIM-карты стали обычным явлением в отрасли.
Вместо этого лучшим вариантом включения MFA является использование таких приложений, как Duo Security, Google Authenticator, Authy, Microsoft Authenticator и других специализированных приложений MFA.
Разрастание паролей
Однако все эксперты по кибербезопасности, с которыми мы разговаривали, предупреждали, что использование MFA не должно служить оправданием для непринятия адекватных мер по защите паролей.
«Присоединяйтесь к тем однопроцентникам, которые понятия не имеют, какой пароль у их банка, потому что он слишком длинный и сложный», - посоветовал Брэдли.
Он добавляет, что пользователям следует задуматься об инвестировании в менеджер паролей, когда дело доходит до паролей. Несмотря на то, что недостатка в бесплатных менеджерах паролей нет, и один из них также встроен в ваш веб-браузер, эксперты предполагают, что бесплатный менеджер паролей лучше, чем его отсутствие, но пользователи должны проявлять осторожность при его использовании.
Присоединяйтесь к однопроцентникам, которые понятия не имеют, какой пароль у их банка, потому что он слишком длинный и сложный.
Расследуя недавнее нарушение внутренней сети одной компании, исследователи кибербезопасности из AhnLab обнаружили, что учетная запись VPN, используемая для взлома сети компании, была украдена с ПК удаленно работающего сотрудника.
Этот компьютер был заражен различными вредоносными программами, в том числе одним, разработанным специально для извлечения паролей из менеджеров паролей, встроенных в веб-браузеры на основе Chromium, такие как Google Chrome и Microsoft Edge.
"Несмотря на то, что функция хранения учетных данных в браузерах очень удобна, так как существует риск утечки учетных данных при заражении вредоносным ПО, пользователям рекомендуется воздержаться от ее использования", - предупреждают исследователи AhnLab.