Kľúčové poznatky
- Odborníci na kybernetickú bezpečnosť naznačujú, že heslá by sa už nemali považovať za dostatočné na zabezpečenie účtov.
- Používatelia by mali povoliť viacfaktorové overenie (MFA) všade, kde je to možné.
- MFA by sa však nemalo používať ako výhovorka na vytváranie slabých hesiel.
Najsilnejšie heslá a najprísnejšie zásady hesiel nie sú príliš užitočné, keď váš poskytovateľ online služieb prezradí vaše poverenia v dôsledku nesprávnej konfigurácie na svojich serveroch.
Ak si myslíte, že takáto možnosť by bola vzácnosťou, vedzte, že mnohé z najväčších únikov údajov v roku 2021 boli spôsobené technickými problémami zo strany poskytovateľov služieb. V skutočnosti v decembri 2021 odborníci na kybernetickú bezpečnosť pomohli zastrčiť takúto nesprávnu konfiguráciu do skupiny S3 Amazon Web Services, ktorú vlastní Sega a ktorá obsahovala všetky druhy citlivých informácií vrátane hesiel.
"Používanie hesiel by malo byť zastarané a mali by sme hľadať iné spôsoby prihlasovania sa do účtov," povedal pre Lifewire e-mailom generálny riaditeľ dodávateľa zabezpečenia Gurucul, Saryu Nayyar.
Problém s heslami
V decembri denník The Sun informoval, že Národná kriminálna agentúra (NCA) Spojeného kráľovstva dodala viac ako 500 miliónov hesiel k populárnej službe Have I Been Pwned (HIBP), ktoré odhalila počas vyšetrovania.
HIBP umožňuje používateľom skontrolovať, či ich heslá neunikli pri porušení a či sú náchylné na zneužitie hackermi. Podľa zakladateľa HIBP, Troya Hunta, viac ako 200 miliónov hesiel poskytnutých NCA ešte v databáze neexistovalo.
Hoci funkcia ukladania poverení účtu v prehliadačoch je veľmi pohodlná… používateľom sa odporúča, aby ju nepoužívali.
Poukazuje to na absolútnu veľkosť problému, pričom problémom sú heslá, archaický spôsob dokazovania vlastných bonafidov. Ak niekedy existovala výzva na akciu zameranú na odstránenie hesiel a nájdenie alternatív, potom to musí byť nech je to tak, “Baber Amin, COO expertov na digitálnu identitu, Veridium povedal Lifewire e-mailom v reakcii na nedávny príspevok NCA pre HIPB.
Amin dodal, že uniknuté prihlasovacie údaje neohrozujú len existujúce účty, pretože hackeri ich teraz používajú s analytickými nástrojmi založenými na AI na identifikáciu vzorov, ako jednotlivec vytvára heslá. Uniknuté prihlasovacie údaje v podstate ohrozujú bezpečnosť aj iných nekompromitovaných účtov.
Heslá a ďalšie
Nayyar, ktorý obhajuje lepší ochranný mechanizmus ako heslá, navrhuje, aby tak urobili používatelia, ktorí majú možnosť nastaviť si na svojich účtoch viacfaktorové overenie.
Ron Bradley, viceprezident spoločnosti Shared Assessments, členskej organizácie, ktorá pomáha vyvíjať osvedčené postupy pre zabezpečenie rizika treťou stranou, súhlasí. „Zapnite si viacfaktorové overenie všade, kde je to možné, najmä aplikácie, ktoré presúvajú peniaze.“
Zabezpečenie účtu iba pomocou hesla je známe ako jednofaktorové overenie. Viacfaktorové overenie alebo MFA stavia na tom a zabezpečuje účty pridaním ďalšieho kroku do procesu prihlásenia tým, že od používateľov požaduje ďalšie informácie. Mnoho služieb vrátane niekoľkých bánk implementuje MFA odoslaním overovacieho kódu na mobilné číslo používateľa registrované v banke.
Tento overovací mechanizmus je však náchylný na útočný mechanizmus známy ako útok s výmenou SIM karty, pri ktorom útočníci prevezmú kontrolu nad cieľovým mobilným telefónnym číslom tak, že oklamú operátora vlastníka, aby priradil číslo útočníkovej SIM karte.
T-Mobile síce uznal takýto útok, ktorý sa zameral na niektorých svojich zákazníkov, ale uviedol, že útoky na výmenu SIM kariet sa stali bežným javom v celom odvetví.
Namiesto toho je lepšou možnosťou aktivácie MFA použitie aplikácií ako Duo Security, Google Authenticator, Authy, Microsoft Authenticator a ďalšie takéto špecializované aplikácie MFA.
Password Spawl
Všetci odborníci na kybernetickú bezpečnosť, s ktorými sme hovorili, však varovali, že používanie MFA by nemalo byť ospravedlnením za nepodniknutie adekvátnych krokov na zabezpečenie hesiel.
„Staňte sa súčasťou jedného percenta, ktoré nemá poňatia, aké je ich bankové heslo, pretože je príliš dlhé a zložité,“radil Bradley.
Dodáva, že používatelia by mali zvážiť investíciu do správcu hesiel, pokiaľ ide o heslá. Aj keď nie je nedostatok bezplatných správcov hesiel a jeden je zabudovaný aj vo vašom webovom prehliadači, odborníci naznačujú, že bezplatný správca hesiel je lepší ako ho nemať vôbec, no používatelia by mali pri jeho používaní postupovať opatrne.
Staňte sa súčasťou jedného percenta, ktoré netuší, aké je ich bankové heslo, pretože je príliš dlhé a zložité.
Pri vyšetrovaní nedávneho narušenia internej siete jednej spoločnosti výskumníci v oblasti kybernetickej bezpečnosti z AhnLab zistili, že účet VPN použitý na preniknutie do podnikovej siete unikol z počítača zamestnanca pracujúceho na diaľku.
Tento počítač bol infikovaný rôznym škodlivým softvérom vrátane jedného, ktorý bol špeciálne navrhnutý na extrahovanie hesiel zo správcov hesiel zabudovaných do webových prehliadačov založených na prehliadači Chromium, ako sú Google Chrome a Microsoft Edge.
„Hoci funkcia ukladania poverení účtu v prehliadačoch je veľmi pohodlná, pretože existuje riziko úniku poverení účtu pri infikovaní škodlivým softvérom, používateľom sa odporúča, aby ju nepoužívali,“varujú výskumníci AhnLab.
