Βασικά Takeaways
- Εμπειρογνώμονες στον κυβερνοχώρο προτείνουν ότι οι κωδικοί πρόσβασης, από μόνοι τους, δεν θα πρέπει πλέον να θεωρούνται επαρκείς για την ασφάλεια των λογαριασμών.
- Οι χρήστες θα πρέπει να ενεργοποιούν τον έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) όπου είναι δυνατόν.
- Ωστόσο, το MFA δεν θα πρέπει να χρησιμοποιείται ως δικαιολογία για τη δημιουργία αδύναμων κωδικών πρόσβασης.
Οι ισχυρότεροι κωδικοί πρόσβασης και οι πιο αυστηρές πολιτικές κωδικών πρόσβασης δεν ωφελούν ιδιαίτερα όταν ο πάροχος διαδικτυακών υπηρεσιών σας διαρρέει τα διαπιστευτήριά σας λόγω εσφαλμένης διαμόρφωσης στους διακομιστές του.
Αν πιστεύετε ότι ένα τέτοιο ενδεχόμενο θα ήταν σπάνιο, να ξέρετε ότι πολλές από τις μεγαλύτερες διαρροές δεδομένων το 2021 οφείλονταν σε τεχνικά προβλήματα από τους παρόχους υπηρεσιών. Στην πραγματικότητα, τον Δεκέμβριο του 2021, ειδικοί στον τομέα της κυβερνοασφάλειας βοήθησαν να συνδεθεί μια τέτοια εσφαλμένη διαμόρφωση στον κάδο S3 των Υπηρεσιών Ιστού της Amazon που ανήκει στη Sega, ο οποίος περιείχε κάθε είδους ευαίσθητες πληροφορίες, συμπεριλαμβανομένων κωδικών πρόσβασης.
"Η χρήση κωδικού πρόσβασης θα πρέπει να καταστεί παρωχημένη και θα πρέπει να αναζητούμε διαφορετικούς τρόπους σύνδεσης σε λογαριασμούς", είπε στο Lifewire μέσω email ο Διευθύνων Σύμβουλος του προμηθευτή ασφαλείας Gurucul, Saryu Nayyar.
Το πρόβλημα με τους κωδικούς πρόσβασης
Τον Δεκέμβριο, η Sun ανέφερε ότι η Εθνική Υπηρεσία Εγκλήματος (NCA) του Ηνωμένου Βασιλείου παρείχε πάνω από 500 εκατομμύρια κωδικούς πρόσβασης στη δημοφιλή υπηρεσία Have I Been Pwned (HIBP), τους οποίους είχε αποκαλύψει κατά τη διάρκεια έρευνας.
Το HIBP επιτρέπει στους χρήστες να ελέγχουν εάν οι κωδικοί πρόσβασής τους έχουν διαρρεύσει λόγω παραβίασης και είναι επιρρεπείς σε κατάχρηση από χάκερ. Σύμφωνα με τον ιδρυτή της HIBP, Troy Hunt, πάνω από 200 εκατομμύρια από τους κωδικούς πρόσβασης που παρέχονται από την NCA δεν υπήρχαν ήδη στη βάση δεδομένων.
Αν και η δυνατότητα αποθήκευσης διαπιστευτηρίων λογαριασμού των προγραμμάτων περιήγησης είναι πολύ βολική… συνιστάται στους χρήστες να μην τη χρησιμοποιούν.
"Υποδεικνύει το τεράστιο μέγεθος του προβλήματος, το πρόβλημα είναι οι κωδικοί πρόσβασης, μια αρχαϊκή μέθοδος για να αποδείξει κανείς ότι είναι καλόπιστος. είτε αυτό, " είπε ο Baber Amin, COO των ειδικών ψηφιακής ταυτότητας, η Veridium στο Lifewire μέσω email, ως απάντηση στην πρόσφατη συνεισφορά της NCA στο HIPB.
Ο Amin πρόσθεσε ότι τα διαπιστευτήρια που διέρρευσαν δεν θέτουν σε κίνδυνο μόνο τους υπάρχοντες λογαριασμούς, καθώς οι χάκερ τα χρησιμοποιούν τώρα με αναλυτικά εργαλεία βασισμένα σε AI για να προσδιορίσουν τα μοτίβα του τρόπου με τον οποίο ένα άτομο δημιουργεί κωδικούς πρόσβασης. Ουσιαστικά, τα διαπιστευτήρια που διέρρευσαν θέτουν σε κίνδυνο την ασφάλεια και άλλων μη παραβιασμένων λογαριασμών.
Κωδικοί πρόσβασης και άλλα
Υποστηρίζοντας έναν καλύτερο μηχανισμό προστασίας από τους κωδικούς πρόσβασης, ο Nayyar προτείνει στους χρήστες που έχουν την επιλογή να ρυθμίσουν τον έλεγχο ταυτότητας πολλαπλών παραγόντων στους λογαριασμούς τους να το κάνουν.
Ο Ron Bradley, Αντιπρόεδρος του Shared Assessments, ενός οργανισμού μέλους που βοηθά στην ανάπτυξη βέλτιστων πρακτικών για τη διασφάλιση κινδύνου από τρίτους, συμφωνεί. "Ενεργοποιήστε τον έλεγχο ταυτότητας πολλαπλών παραγόντων οπουδήποτε είναι δυνατόν, ειδικά τις εφαρμογές που μετακινούν χρήματα."
Η ασφάλεια ενός λογαριασμού μόνο με κωδικό πρόσβασης είναι γνωστή ως έλεγχος ταυτότητας ενός παράγοντα. Ο έλεγχος ταυτότητας πολλαπλών παραγόντων ή το MFA βασίζεται σε αυτό και προστατεύει τους λογαριασμούς προσθέτοντας ένα επιπλέον βήμα στη διαδικασία σύνδεσης ζητώντας από τους χρήστες μια άλλη πληροφορία. Πολλές υπηρεσίες, συμπεριλαμβανομένων πολλών τραπεζών, εφαρμόζουν MFA στέλνοντας έναν κωδικό επαλήθευσης στον αριθμό κινητού τηλεφώνου ενός χρήστη που είναι εγγεγραμμένος στην τράπεζα.
Ωστόσο, αυτός ο μηχανισμός επαλήθευσης είναι επιρρεπής σε έναν μηχανισμό επίθεσης που είναι γνωστός ως επίθεση ανταλλαγής SIM, όπου οι εισβολείς αναλαμβάνουν τον έλεγχο του αριθμού κινητού τηλεφώνου ενός στόχου εξαπατώντας την εταιρεία κινητής τηλεφωνίας του ιδιοκτήτη ώστε να εκχωρήσει εκ νέου τον αριθμό στην κάρτα SIM του εισβολέα.
Αν και αναγνώρισε μια τέτοια επίθεση που στόχευε μερικούς από τους πελάτες της, η T-Mobile είπε ότι οι επιθέσεις ανταλλαγής SIM έχουν γίνει ένα σύνηθες φαινόμενο σε ολόκληρη τη βιομηχανία.
Αντίθετα, μια καλύτερη επιλογή για την ενεργοποίηση MFA είναι η χρήση εφαρμογών όπως Duo Security, Google Authenticator, Authy, Microsoft Authenticator και άλλες τέτοιες αποκλειστικές εφαρμογές MFA.
Κωδικός πρόσβασης
Ωστόσο, όλοι οι εμπειρογνώμονες στον κυβερνοχώρο με τους οποίους μιλήσαμε προειδοποίησαν ότι η χρήση MFA δεν πρέπει να αποτελεί δικαιολογία για τη μη λήψη των κατάλληλων μέτρων για την προστασία των κωδικών πρόσβασης.
"Γίνετε μέλος του ενός ποσοστού που δεν έχουν ιδέα ποιος είναι ο τραπεζικός κωδικός πρόσβασης επειδή είναι πολύ μεγάλος και περίπλοκος", συμβούλεψε ο Μπράντλεϊ.
Προσθέτει ότι οι χρήστες θα πρέπει να εξετάσουν το ενδεχόμενο να επενδύσουν σε έναν διαχειριστή κωδικών πρόσβασης όσον αφορά τους κωδικούς πρόσβασης. Αν και δεν υπάρχει έλλειψη δωρεάν διαχειριστών κωδικών πρόσβασης και υπάρχει επίσης ενσωματωμένος στο πρόγραμμα περιήγησής σας, οι ειδικοί προτείνουν ότι ένας δωρεάν διαχειριστής κωδικών πρόσβασης είναι καλύτερος από το να μην έχετε καθόλου, αλλά οι χρήστες θα πρέπει να είναι προσεκτικοί όταν το χρησιμοποιούν.
Γίνετε μέλος του ενός ποσοστού που δεν γνωρίζουν ποιος είναι ο τραπεζικός κωδικός πρόσβασης επειδή είναι πολύ μεγάλος και περίπλοκος.
Κατά τη διερεύνηση μιας πρόσφατης παραβίασης του εσωτερικού δικτύου μιας εταιρείας, ερευνητές κυβερνοασφάλειας από την AhnLab ανακάλυψαν ότι ο λογαριασμός VPN που χρησιμοποιήθηκε για την εισβολή στο εταιρικό δίκτυο διέρρευσε από τον υπολογιστή ενός απομακρυσμένου υπαλλήλου.
Αυτός ο υπολογιστής μολύνθηκε με διάφορα κακόβουλα προγράμματα, συμπεριλαμβανομένου ενός σχεδιασμένου ειδικά για την εξαγωγή κωδικών πρόσβασης από τους διαχειριστές κωδικών πρόσβασης που είναι ενσωματωμένοι σε προγράμματα περιήγησης ιστού που βασίζονται σε Chromium, όπως το Google Chrome και το Microsoft Edge.
"Παρόλο που η δυνατότητα αποθήκευσης διαπιστευτηρίων λογαριασμού των προγραμμάτων περιήγησης είναι πολύ βολική, καθώς υπάρχει κίνδυνος διαρροής των διαπιστευτηρίων λογαριασμού σε περίπτωση μόλυνσης από κακόβουλο λογισμικό, συνιστάται στους χρήστες να απέχουν από τη χρήση της", προειδοποιούν οι ερευνητές του AhnLab.
