Keeawayt
- Kyberturvallisuusasiantuntijat ehdottavat, että salasanoja itsessään ei enää pitäisi pitää riittävinä tilien turvaamiseen.
- Käyttäjien tulee ottaa käyttöön monitekijätodennus (MFA) aina kun mahdollista.
- MFA:ta ei kuitenkaan pidä käyttää tekosyynä heikkojen salasanojen luomiseen.
Vahvimmista salasanoista ja tiukimmista salasanakäytännöistä ei ole paljon hyötyä, kun verkkopalveluntarjoajasi vuotaa v altuustietosi palvelimiensa virheellisen määrityksen vuoksi.
Jos luulet, että tällainen mahdollisuus olisi harvinaisuus, tiedä, että monet vuoden 2021 suurimmista tietovuodoista johtuivat palveluntarjoajien teknisistä ongelmista. Itse asiassa joulukuussa 2021 kyberturvallisuusasiantuntijat auttoivat liittämään tällaisen virheellisen konfiguraation Segan omistamaan Amazon Web Services S3-säihöön, joka sisälsi kaikenlaista arkaluontoista tietoa, mukaan lukien salasanat.
"Salasanan käytön pitäisi tulla vanhentuneeksi, ja meidän pitäisi etsiä erilaisia tapoja kirjautua tileille", tietoturvatoimittaja Guruculin toimitusjohtaja Saryu Nayyar kertoi Lifewirelle sähköpostitse.
Salasanojen ongelma
Joulukuussa The Sun raportoi, että Ison-Britannian kansallinen rikosvirasto (NCA) toimitti yli 500 miljoonaa salasanaa suosittuun Have I Been Pwned (HIBP) -palveluun, jonka se oli paljastanut tutkimuksen aikana.
HIBP:n avulla käyttäjät voivat tarkistaa, ovatko heidän salasanansa vuotaneet tietomurron yhteydessä ja ovatko hakkerit alttiita väärinkäyttöön. HIBP:n perustajan Troy Huntin mukaan yli 200 miljoonaa NCA:n toimittamia salasanoja ei ollut jo olemassa tietokannassa.
Vaikka selainten tilitietojen tallennusominaisuus on erittäin kätevä… käyttäjiä suositellaan välttämään sen käyttöä.
"Se osoittaa ongelman äärimmäisen laajuuden, ongelmana ovat salasanat, arkaainen tapa todistaa vilpittömyytensä. Jos joskus on kehotettu toimimaan salasanojen poistamiseksi ja vaihtoehtojen löytämiseksi, tämän täytyy olipa se sitten", Baber Amin, digitaalisen identiteetin asiantuntijoiden COO, Veridium kertoi Lifewirelle sähköpostitse vastauksena NCA:n äskettäiseen panokseen HIPB:lle.
Amin lisäsi, että vuotaneet tunnistetiedot eivät vain vaaranna olemassa olevia tilejä, sillä hakkerit käyttävät niitä nyt tekoälypohjaisten analyyttisten työkalujen kanssa tunnistaakseen malleja siitä, miten yksilö luo salasanoja. Pohjimmiltaan vuotaneet tunnistetiedot vaarantavat myös muiden vaarantamattomien tilien turvallisuuden.
Salasanat ja paljon muuta
Salasanoja parempaa suojausmekanismia puolustava Nayyar ehdottaa, että käyttäjät, joilla on mahdollisuus määrittää tililleen monivaiheinen todennus, tekevät niin.
Ron Bradley, Shared Assessments -osaston johtaja, jäsenorganisaatio, joka auttaa kehittämään parhaita käytäntöjä kolmannen osapuolen riskinvarmistusta varten, on samaa mieltä. "Ota monivaiheinen todennus käyttöön kaikkialla mahdollista, erityisesti sovelluksissa, jotka siirtävät rahaa."
Tilin suojaaminen pelkällä salasanalla tunnetaan yksivaiheisena todennuksena. Monitekijätodennus tai MFA rakentuu tämän päälle ja suojaa tilit lisäämällä ylimääräisen vaiheen kirjautumisprosessiin pyytämällä käyttäjiltä muita tietoja. Monet palvelut, mukaan lukien useat pankit, toteuttavat MFA:n lähettämällä vahvistuskoodin käyttäjän pankkiin rekisteröityyn matkapuhelinnumeroon.
Tämä vahvistusmekanismi on kuitenkin altis hyökkäysmekanismille, joka tunnetaan nimellä SIM-swap-hyökkäys, jossa hyökkääjät ottavat hallintaansa kohteen matkapuhelinnumeron huijaamalla omistajan operaattorin määräämään numeron uudelleen hyökkääjän SIM-kortille.
T-Mobile myönsi hyökkäyksen, joka kohdistui joihinkin sen asiakkaisiin, mutta sanoi, että SIM-korttien vaihtohyökkäyksistä on tullut yleinen ja alan laajuinen ilmiö.
Sen sijaan parempi vaihtoehto MFA:n käyttöönottoon on käyttää sovelluksia, kuten Duo Security, Google Authenticator, Authy, Microsoft Authenticator ja muita vastaavia MFA-sovelluksia.
Salasanan leviäminen
Kaikki kyberturvallisuuden asiantuntijat, joiden kanssa puhuimme, varoittivat kuitenkin, että MFA:n käyttäminen ei saisi olla tekosyy sille, ettemme ryhdy riittäviin toimiin salasanojen suojaamiseksi.
"Ole osa niitä yksiprosenttisia, joilla ei ole aavistustakaan pankin salasanasta, koska se on liian pitkä ja monimutkainen", neuvoi Bradley.
Hän lisää, että käyttäjien tulisi harkita salasanojen hallintaan investoimista. Vaikka ilmaisista salasanojen hallintaohjelmista ei ole pulaa, ja se on myös sisäänrakennettu verkkoselaimeen, asiantuntijat ehdottavat, että ilmainen salasananhallinta on parempi kuin ilman sitä, mutta käyttäjien tulee olla varovaisia käyttäessään sellaista.
Ole osa niitä yksiprosenttisia, joilla ei ole aavistustakaan pankin salasanasta, koska se on liian pitkä ja monimutkainen.
AhnLabin kyberturvallisuustutkijat havaitsivat, että yrityksen verkkoon murtautumiseen käytetty VPN-tili on vuotanut etätyöntekijän tietokoneelta tutkiessaan äskettäistä erään yrityksen sisäisen verkon murtumista.
Tämä tietokone on saastunut useilla haittaohjelmilla, mukaan lukien sellainen, joka on suunniteltu erityisesti poimimaan salasanoja Chromium-pohjaisten verkkoselaimien, kuten Google Chromen ja Microsoft Edgen, salasanojen hallintaohjelmista.
"Vaikka selainten tilitietojen tallennusominaisuus on erittäin kätevä, koska on olemassa riski tilien tunnistetietojen vuotamisesta haittaohjelmatartunnan yhteydessä, käyttäjiä suositellaan välttämään sen käyttöä", varoittavat AhnLabin tutkijat.