מזונות חשובים
- מומחי אבטחת סייבר מציעים שסיסמאות, כשלעצמן, אינן צריכות עוד להיחשב מתאימות לאבטחת חשבונות.
- על המשתמשים לאפשר אימות רב-גורמי (MFA) בכל מקום אפשרי.
- עם זאת, אין להשתמש ב-MFA כתירוץ ליצירת סיסמאות חלשות.
הסיסמאות החזקות ביותר ומדיניות הסיסמאות המחמירה ביותר אינם מועילים במיוחד כאשר ספק השירות המקוון שלך מדליף את האישורים שלך עקב תצורה שגויה בשרתים שלו.
אם אתה חושב שאירוע כזה יהיה דבר נדיר, דע שרבות מהדליפות הנתונים הגדולות ביותר בשנת 2021 נבעו מבעיות טכניות של ספקי השירותים. למעשה, בדצמבר 2021, מומחי אבטחת סייבר עזרו לחבר תצורה שגויה כזו בדלי S3 של Amazon Web Services בבעלות Sega, שהכיל כל מיני מידע רגיש, כולל סיסמאות.
"השימוש בסיסמה צריך להיות מיושן, ועלינו לחפש דרכים שונות להיכנס לחשבונות", אמר מנכ"ל ספק האבטחה Gurucul, Saryu Nayyar, ל-Lifewire באמצעות דוא"ל.
הבעיה עם סיסמאות
בדצמבר, The Sun דיווח כי סוכנות הפשע הלאומית של בריטניה (NCA) סיפקה למעלה מ-500 מיליון סיסמאות לשירות הפופולרי Have I Been Pwned (HIBP), שאותו חשפה במהלך חקירה.
HIBP מאפשר למשתמשים לבדוק אם הסיסמאות שלהם הודלפו בפריצה והם מועדים להתעללות מצד האקרים. לדברי מייסד HIBP, טרוי האנט, למעלה מ-200 מיליון מהסיסמאות שסופקו על ידי NCA לא היו קיימות כבר במסד הנתונים.
למרות שתכונת אחסון אישורי החשבון בדפדפנים נוחה מאוד… מומלץ למשתמשים להימנע משימוש בה.
"זה מצביע על גודלה העצום של הבעיה, שהבעיה היא סיסמאות, שיטה ארכאית להוכחת הנאמנות של האדם. אם אי פעם הייתה קריאה לפעולה לפעול לביטול סיסמאות ומציאת חלופות, אז זה חייב יהיה זה", אמר בבר אמין, COO של מומחי זהות דיגיטלית, Veridium ל-Lifewire בדוא"ל, בתגובה לתרומה האחרונה של ה-NCA ל-HIPB.
אמין הוסיף כי אישורים שהודלפו לא רק מתפשרים על חשבונות קיימים, מכיוון שהאקרים משתמשים בהם כעת עם כלים אנליטיים מבוססי בינה מלאכותית כדי לזהות דפוסים של איך אדם יוצר סיסמאות. למעשה, אישורים שהודלפו מסכנים גם את האבטחה של חשבונות אחרים שאינם נפגעים.
סיסמאות ועוד
תומך במנגנון הגנה טוב יותר מאשר סיסמאות, Nayyar מציע למשתמשים שיש להם אפשרות להגדיר אימות רב-גורמי בחשבונות שלהם לעשות זאת.
רון בראדלי, סמנכ"ל Shared Assessments, ארגון חברות שעוזר בפיתוח שיטות עבודה מומלצות להבטחת סיכונים של צד שלישי, מסכים. "הפעל אימות רב-גורמי בכל מקום אפשרי, במיוחד אפליקציות שמעבירות כסף."
אבטחת חשבון באמצעות סיסמה בלבד ידועה כאימות חד-גורם. אימות רב-גורמי או MFA מתבסס על כך ומאבטח חשבונות על ידי הוספת שלב נוסף לתהליך הכניסה על ידי בקשה למשתמשים למידע נוסף. שירותים רבים, כולל מספר בנקים, מיישמים MFA על ידי שליחת קוד אימות למספר הנייד של משתמש הרשום בבנק.
עם זאת, מנגנון אימות זה נוטה למנגנון תקיפה המכונה מתקפת חילופי SIM, כאשר התוקפים משתלטים על מספר הטלפון הנייד של המטרה על ידי הטעיית הספק של הבעלים להקצות מחדש את המספר לכרטיס ה-SIM של התוקף.
בעוד שהכירה במתקפה שכזו שכוונתה לחלק מלקוחותיה, אמרה T-Mobile כי התקפות החלפת SIM הפכו לתופעה שכיחה בכל התעשייה.
במקום זאת, אפשרות טובה יותר להפעלת MFA היא באמצעות אפליקציות כגון Duo Security, Google Authenticator, Authy, Microsoft Authenticator ואפליקציות MFA ייעודיות אחרות כאלה.
Password Sprawl
עם זאת, כל מומחי אבטחת הסייבר איתם דיברנו הזהירו ששימוש ב-MFA לא צריך להיות תירוץ לאי נקיטת צעדים נאותים לאבטחת הסיסמאות.
"היה חלק מהמרכזים היחידים שאין להם מושג מהי סיסמת הבנק שלהם כי היא ארוכה ומורכבת מדי", יעץ ברדלי.
הוא מוסיף שמשתמשים צריכים לשקול להשקיע במנהל סיסמאות בכל הנוגע לסיסמאות. אמנם אין מחסור במנהלי סיסמאות חינמיים, ויש אחד מובנה גם בדפדפן האינטרנט שלך, אבל מומחים מציעים שמנהל סיסמאות חינמי עדיף על שאין לו בכלל, אבל על המשתמשים לנקוט משנה זהירות בעת השימוש באחד.
היה חלק מהמרכזים היחידים שאין להם מושג מהי סיסמת הבנק שלהם כי היא ארוכה ומורכבת מדי.
תוך כדי חקירת פריצה לאחרונה של רשת פנימית של חברה אחת, חוקרי אבטחת סייבר מ-AhnLab גילו שחשבון ה-VPN ששימש לפריצה לרשת החברה דלף מהמחשב של עובד שעובד מרחוק.
מחשב זה היה נגוע בתוכנות זדוניות שונות, כולל אחת שתוכננה במיוחד כדי לחלץ סיסמאות ממנהלי הסיסמאות המובנים בדפדפני אינטרנט מבוססי Chromium כגון Google Chrome ו-Microsoft Edge.
"למרות שתכונת אחסון אישורי החשבון בדפדפנים נוחה מאוד, מכיוון שיש סיכון לדליפה של אישורי חשבון בעת הדבקה בתוכנה זדונית, מומלץ למשתמשים להימנע משימוש בה", מזהירים את חוקרי AhnLab.
