Sleutel wegneemetes
- Kuberveiligheidskenners stel voor dat wagwoorde op sigself nie meer as voldoende beskou moet word om rekeninge te beveilig nie.
- Gebruikers moet waar moontlik multifaktor-stawing (MFA) aktiveer.
- MFA moet egter nie as 'n verskoning gebruik word om swak wagwoorde te skep nie.
Die sterkste wagwoorde en die strengste wagwoordbeleide is nie van groot nut wanneer jou aanlyn diensverskaffer jou geloofsbriewe uitlek weens 'n wanopstelling in hul bedieners nie.
As jy dink so 'n gebeurtenis sal 'n rariteit wees, weet dat baie van die grootste datalekkasies in 2021 te wyte was aan tegniese probleme deur die diensverskaffers. Trouens, in Desember 2021 het kuberveiligheidskenners gehelp om so 'n wanopstelling in die Amazon Web Services se S3-emmer wat deur Sega besit word, te prop, wat allerhande sensitiewe inligting bevat het, insluitend wagwoorde.
"Wagwoordgebruik behoort verouderd te raak, en ons moet verskillende maniere soek om by rekeninge aan te meld," het HUB van sekuriteitsverkoper Gurucul, Saryu Nayyar, per e-pos aan Lifewire gesê.
Die probleem met wagwoorde
In Desember het The Sun berig dat die Verenigde Koninkryk se Nasionale Misdaadagentskap (NCA) meer as 500 miljoen wagwoorde aan die gewilde Have I Been Pwned-diens (HIBP) verskaf het, wat dit tydens 'n ondersoek ontbloot het.
HIBP stel gebruikers in staat om te kyk of hul wagwoorde in 'n breuk uitgelek is en geneig is tot misbruik deur kuberkrakers. Volgens HIBP se stigter, Troy Hunt, het meer as 200 miljoen van die wagwoorde wat deur NCA verskaf is nie reeds in die databasis bestaan nie.
Alhoewel die blaaiers se funksie vir die stoor van rekeningbewyse baie gerieflik is… word dit aanbeveel dat gebruikers dit weerhou om dit te gebruik.
"Dit dui op die blote omvang van die probleem, die probleem is wagwoorde, 'n argaïese metode om 'n mens se bonafides te bewys. As daar ooit 'n oproep tot aksie was om te werk om wagwoorde uit te skakel en alternatiewe te vind, dan moet dit of dit nou is," het Baber Amin, bedryfshoof van digitale identiteitskundiges, Veridium per e-pos aan Lifewire gesê in reaksie op die NKW se onlangse bydrae tot HIPB.
Amin het bygevoeg dat uitgelekte geloofsbriewe nie net bestaande rekeninge in gevaar stel nie, aangesien kuberkrakers dit nou met KI-gebaseerde analitiese nutsmiddels gebruik om patrone te identifiseer van hoe 'n individu wagwoorde skep. In wese stel uitgelekte geloofsbriewe ook die sekuriteit van ander nie-gekompromitteerde rekeninge in gevaar.
Wagwoorde en meer
Nayyar bepleit 'n beter beskermingsmeganisme as wagwoorde en stel voor dat gebruikers wat die opsie het om multi-faktor-stawing op hul rekeninge op te stel, dit moet doen.
Ron Bradley, VP van Shared Assessments, 'n lidmaatskaporganisasie wat help om beste praktyke vir derdeparty-risikoversekering te ontwikkel, stem saam. "Skakel multifaktor-stawing oral moontlik aan, veral programme wat geld skuif."
Om 'n rekening met 'n wagwoord alleen te beveilig, staan bekend as enkelfaktor-verifikasie. Multi-faktor-verifikasie of MFA bou boonop daarop en beveilig rekeninge deur 'n ekstra stap by die aanmeldproses by te voeg deur gebruikers vir nog 'n stukkie inligting te vra. Baie dienste, insluitend verskeie banke, implementeer MFA deur 'n verifikasiekode te stuur na 'n gebruiker se selfoonnommer wat by die bank geregistreer is.
Hierdie verifikasiemeganisme is egter geneig tot 'n aanvalmeganisme bekend as 'n SIM-ruilaanval, waar aanvallers beheer neem van 'n teiken se selfoonnommer deur die eienaar se diensverskaffer te mislei om die nommer na die aanvaller se SIM-kaart toe te wys.
Terwyl hy so 'n aanval erken wat sommige van sy kliënte geteiken het, het T-Mobile gesê dat SIM-ruilaanvalle 'n algemene en industriewye gebeurtenis geword het.
In plaas daarvan is 'n beter opsie om MFA te aktiveer deur toepassings soos Duo Security, Google Authenticator, Authy, Microsoft Authenticator en ander sulke toegewyde MFA-toepassings te gebruik.
Wagwoordverspreiding
Al die kuberveiligheidskenners met wie ons gepraat het, het egter gewaarsku dat die gebruik van MFA nie 'n verskoning moet wees om nie voldoende stappe te neem om die wagwoorde te beveilig nie.
"Wees deel van die een-persentra wat geen idee het wat hul bankwagwoord is nie, want dit is te lank en kompleks," het Bradley aangeraai.
Hy voeg by dat gebruikers dit moet oorweeg om in 'n wagwoordbestuurder te belê wanneer dit by wagwoorde kom. Alhoewel daar geen tekort aan gratis wagwoordbestuurders is nie, en daar ook een in jou webblaaier ingebou is, stel kenners voor dat 'n gratis wagwoordbestuurder beter is as om glad nie een te hê nie, maar gebruikers moet versigtig wees wanneer hulle een gebruik.
Wees deel van die eenpersoonsentrums wat geen idee het wat hul bankwagwoord is nie, want dit is te lank en kompleks.
Terwyl hulle 'n onlangse oortreding van een maatskappy se interne netwerk ondersoek het, het kuberveiligheidsnavorsers van AhnLab ontdek dat die VPN-rekening wat gebruik is om by die maatskappynetwerk in te breek, van die rekenaar van 'n afgeleë werkende werknemer gelek het.
Hierdie rekenaar is met verskeie wanware besmet, insluitend een wat spesifiek ontwerp is om wagwoorde te onttrek van die wagwoordbestuurders wat in Chromium-gebaseerde webblaaiers ingebou is, soos Google Chrome en Microsoft Edge.
"Alhoewel die kenmerk van die stoor van rekeningbewyse van blaaiers baie gerieflik is, aangesien daar 'n risiko is van lekkasie van rekeningbewyse tydens infeksie met wanware, word gebruikers aanbeveel om dit nie te gebruik nie," waarsku die AhnLab-navorsers.