მთავარი წაღებები
- კიბერუსაფრთხოების ექსპერტები ვარაუდობენ, რომ პაროლები, თავისთავად, აღარ უნდა ჩაითვალოს ადეკვატურად ანგარიშების დასაცავად.
- მომხმარებლებმა უნდა ჩართონ მრავალფაქტორიანი ავთენტიფიკაცია (MFA) სადაც ეს შესაძლებელია.
- თუმცა, MFA არ უნდა იქნას გამოყენებული სუსტი პაროლების შექმნის საბაბად.
ყველაზე ძლიერი პაროლები და ყველაზე მკაცრი პაროლის პოლიტიკა არ არის სასარგებლო, როდესაც თქვენი ონლაინ სერვისის პროვაიდერი გაჟონავს თქვენს რწმუნებათა სიგელებს მის სერვერებზე არასწორი კონფიგურაციის გამო.
თუ ფიქრობთ, რომ ასეთი შემთხვევა იშვიათობა იქნება, იცოდეთ, რომ 2021 წლის მონაცემების ყველაზე დიდი გაჟონვა სერვისის პროვაიდერების ტექნიკური პრობლემების გამო იყო. ფაქტობრივად, 2021 წლის დეკემბერში კიბერუსაფრთხოების ექსპერტებმა დაეხმარნენ ამაზონის ვებ სერვისების S3 თაიგულის შეერთებას Sega-ს საკუთრებაში, რომელიც შეიცავდა ყველა სახის სენსიტიურ ინფორმაციას, მათ შორის პაროლებს.
"პაროლის გამოყენება უნდა მოძველდეს და ჩვენ უნდა ვეძებოთ სხვადასხვა გზები ანგარიშებში შესვლისთვის", განუცხადა უსაფრთხოების გამყიდველის აღმასრულებელმა დირექტორმა გურუკულმა, სარიუ ნაიარმა Lifewire-ს ელექტრონული ფოსტით.
პრობლემა პაროლებთან
დეკემბერში The Sun-მა გაავრცელა ინფორმაცია, რომ გაერთიანებული სამეფოს დანაშაულის წინააღმდეგ ბრძოლის ეროვნულმა სააგენტომ (NCA) მიაწოდა 500 მილიონზე მეტი პაროლი პოპულარული Have I Been Pwned (HIBP) სერვისისთვის, რომელიც მან გამოძიების დროს აღმოაჩინა.
HIBP საშუალებას აძლევს მომხმარებლებს შეამოწმონ, არის თუ არა მათი პაროლები გაჟონვის შედეგად და მიდრეკილნი არიან თუ არა ჰაკერების მიერ ბოროტად გამოყენებისკენ. HIBP-ის დამფუძნებლის, ტროი ჰანტის თქმით, NCA-ს მიერ მოწოდებული 200 მილიონზე მეტი პაროლი უკვე არ არსებობდა მონაცემთა ბაზაში.
მიუხედავად იმისა, რომ ბრაუზერების ანგარიშის რწმუნებათა სიგელების შენახვის ფუნქცია ძალიან მოსახერხებელია… მომხმარებლებს ურჩევენ, თავი შეიკავონ მისი გამოყენებისგან.
ეს მიუთითებს პრობლემის დიდ ზომაზე, პრობლემა არის პაროლები, არქაული მეთოდი საკუთარი კეთილსინდისიერების დასამტკიცებლად. იქნება ეს,”- განუცხადა ვერიდიუმმა ციფრული იდენტურობის ექსპერტების დირექტორმა, ბაბერ ამინმა Lifewire-ს ელექტრონული ფოსტით, NCA-ის ბოლო წვლილის საპასუხოდ HIPB-ში.
ამინმა დაამატა, რომ გაჟონილი რწმუნებათა სიგელები არ აყენებს კომპრომისს მხოლოდ არსებულ ანგარიშებს, რადგან ჰაკერები ახლა მათ იყენებენ AI-ზე დაფუძნებული ანალიტიკური ინსტრუმენტებით, რათა დაადგინონ, თუ როგორ ქმნის ინდივიდი პაროლებს. არსებითად, გაჟონილი რწმუნებათა სიგელები საფრთხეს უქმნის სხვა არაკომპრომისირებული ანგარიშების უსაფრთხოებასაც.
პაროლები და სხვა
პაროლებზე უკეთესი დაცვის მექანიზმის მომხრე, ნაიარი გვთავაზობს, რომ მომხმარებლებს, რომლებსაც აქვთ შესაძლებლობა დააყენონ მრავალფაქტორიანი ავთენტიფიკაცია თავიანთ ანგარიშებზე, უნდა გააკეთონ ეს.
რონ ბრედლი, გაზიარებული შეფასების ვიცე-პრეზიდენტი, წევრობის ორგანიზაცია, რომელიც ეხმარება მესამე მხარის რისკის უზრუნველყოფის საუკეთესო პრაქტიკის შემუშავებას. "ჩართეთ მრავალფაქტორიანი ავთენტიფიკაცია ყველგან, სადაც ეს შესაძლებელია, განსაკუთრებით აპები, რომლებიც ფულს გადააქვთ."
ანგარიშის დაცვა მხოლოდ პაროლით ცნობილია როგორც ერთფაქტორიანი ავთენტიფიკაცია. მრავალფაქტორიანი ავთენტიფიკაცია ან MFA ეფუძნება ამას და იცავს ანგარიშებს შესვლის პროცესში დამატებითი ნაბიჯის დამატებით, მომხმარებლების სხვა ინფორმაციის მოთხოვნით. ბევრი სერვისი, მათ შორის რამდენიმე ბანკი, ახორციელებს MFA-ს დამადასტურებელი კოდის გაგზავნით ბანკში რეგისტრირებულ მომხმარებლის მობილურ ნომერზე.
თუმცა, ეს გადამოწმების მექანიზმი მიდრეკილია თავდასხმის მექანიზმისკენ, რომელიც ცნობილია როგორც SIM-ის გაცვლის შეტევა, სადაც თავდამსხმელები აკონტროლებენ სამიზნის მობილური ტელეფონის ნომერს მფლობელის ოპერატორის მოტყუებით, რათა გადასცეს ნომერი თავდამსხმელის SIM ბარათზე.
დაადასტურა ასეთი თავდასხმა, რომელიც მიზნად ისახავდა მის ზოგიერთ მომხმარებელს, T-Mobile-მა თქვა, რომ SIM-ის შეცვლაზე თავდასხმები გახდა ჩვეულებრივი და ინდუსტრიის მასშტაბით.
სანაცვლოდ, MFA-ს ჩართვის უკეთესი ვარიანტია აპების გამოყენება, როგორიცაა Duo Security, Google Authenticator, Authy, Microsoft Authenticator და სხვა მსგავსი გამოყოფილი MFA აპები.
პაროლის გავრცელება
თუმცა, კიბერუსაფრთხოების ყველა ექსპერტი, რომელთანაც ვესაუბრეთ, გვაფრთხილებდნენ, რომ საგარეო საქმეთა სამინისტროს გამოყენება არ უნდა იყოს საბაბი პაროლების დასაცავად ადეკვატური ნაბიჯების გადადგმისთვის.
"იყავით იმ ერთი პროცენტის ნაწილი, რომლებსაც წარმოდგენაც არ აქვთ, რა არის მათი საბანკო პაროლი, რადგან ის ძალიან გრძელი და რთულია", ურჩია ბრედლიმ.
ის დასძენს, რომ მომხმარებლებმა უნდა განიხილონ ინვესტიცია პაროლის მენეჯერში, როდესაც საქმე პაროლებს ეხება. მიუხედავად იმისა, რომ პაროლის უფასო მენეჯერების დეფიციტი არ არის და თქვენს ბრაუზერშიც არის ჩაშენებული, ექსპერტები ვარაუდობენ, რომ პაროლის უფასო მენეჯერი უკეთესია, ვიდრე საერთოდ არ გქონდეთ, მაგრამ მომხმარებლებმა უნდა გამოიჩინონ სიფრთხილე მისი გამოყენებისას.
იყავი იმ ერთი პროცენტის ნაწილი, რომლებსაც წარმოდგენაც არ აქვთ, რა არის მათი საბანკო პაროლი, რადგან ის ძალიან გრძელი და რთულია.
ერთ-ერთი კომპანიის შიდა ქსელის ბოლოდროინდელი დარღვევის გამოძიების დროს, კიბერუსაფრთხოების მკვლევარებმა AhnLab-დან აღმოაჩინეს, რომ VPN ანგარიში, რომელიც გამოიყენებოდა კომპანიის ქსელში შესაღწევად, გაჟონა დისტანციურად მომუშავე თანამშრომლის კომპიუტერიდან.
ეს კომპიუტერი დაინფიცირდა სხვადასხვა მავნე პროგრამით, მათ შორის ერთი, რომელიც შექმნილია პაროლების ამოსაღებად პაროლების მენეჯერებიდან, რომლებიც ჩაშენებულია Chromium-ზე დაფუძნებულ ვებ ბრაუზერებში, როგორიცაა Google Chrome და Microsoft Edge.
"მიუხედავად იმისა, რომ ბრაუზერების ანგარიშის რწმუნებათა სიგელების შენახვის ფუნქცია ძალიან მოსახერხებელია, რადგან არსებობს ანგარიშის რწმუნებათა სიგელების გაჟონვის რისკი მავნე პროგრამით დაინფიცირებისას, მომხმარებლებს ურჩევენ, თავი შეიკავონ მისი გამოყენებისგან," აფრთხილებენ AhnLab-ის მკვლევარები.
