Folje kryesore
- Ekspertët e sigurisë kibernetike sugjerojnë që fjalëkalimet, në vetvete, nuk duhet të konsiderohen më të përshtatshme për sigurimin e llogarive.
- Përdoruesit duhet të aktivizojnë vërtetimin me shumë faktorë (MFA) kudo që të jetë e mundur.
- Megjithatë, MPJ nuk duhet të përdoret si justifikim për krijimin e fjalëkalimeve të dobëta.
Fjalëkalimet më të forta dhe politikat më të rrepta të fjalëkalimeve nuk janë shumë të dobishme kur ofruesi juaj i shërbimit në internet zbulon kredencialet tuaja për shkak të një konfigurimi të gabuar në serverët e tyre.
Nëse mendoni se një event i tillë do të ishte një gjë e rrallë, dijeni se shumë nga rrjedhjet më të mëdha të të dhënave në 2021 ishin për shkak të gabimeve teknike nga ofruesit e shërbimeve. Në fakt, në dhjetor 2021, ekspertët e sigurisë kibernetike ndihmuan në futjen e një konfigurimi të tillë të gabuar në kovën S3 të Shërbimeve Ueb të Amazon në pronësi të Sega, e cila përmbante të gjitha llojet e informacioneve të ndjeshme, përfshirë fjalëkalimet.
"Përdorimi i fjalëkalimit duhet të bëhet i vjetëruar dhe ne duhet të kërkojmë mënyra të ndryshme për t'u identifikuar në llogari," i tha Lifewire përmes emailit CEO i shitësit të sigurisë Gurucul, Saryu Nayyar.
Problemi me fjalëkalimet
Në dhjetor, The Sun raportoi se Agjencia Kombëtare e Krimeve të Mbretërisë së Bashkuar (NCA) furnizoi mbi 500 milionë fjalëkalime për shërbimin popullor Have I Been Pwned (HIBP), të cilin e kishte zbuluar gjatë një hetimi.
HIBP u mundëson përdoruesve të kontrollojnë nëse fjalëkalimet e tyre janë zbuluar në një shkelje dhe janë të prirur për abuzim nga hakerat. Sipas themeluesit të HIBP, Troy Hunt, mbi 200 milionë nga fjalëkalimet e ofruara nga NCA nuk ekzistonin tashmë në bazën e të dhënave.
Megjithëse funksioni i ruajtjes së kredencialeve të llogarisë së shfletuesve është shumë i përshtatshëm… përdoruesve u rekomandohet të përmbahen nga përdorimi i tij.
"Ai tregon për përmasat e mëdha të problemit, problemi janë fjalëkalimet, një metodë arkaike për të provuar mirëqenien e dikujt. Nëse ka pasur ndonjëherë një thirrje për veprim për të punuar drejt eliminimit të fjalëkalimeve dhe gjetjes së alternativave, atëherë kjo duhet të qoftë kjo, " tha Baber Amin, COO i ekspertëve të identitetit dixhital, Veridium për Lifewire përmes emailit, në përgjigje të kontributit të fundit të NCA në HIPB.
Amin shtoi se kredencialet e zbuluara nuk rrezikojnë vetëm llogaritë ekzistuese, pasi hakerët tani i përdorin ato me mjete analitike të bazuara në AI për të identifikuar modelet se si një individ krijon fjalëkalime. Në thelb, kredencialet e zbuluara rrezikojnë sigurinë e llogarive të tjera të pakompromentuara gjithashtu.
Fjalëkalimet dhe më shumë
Duke avokuar për një mekanizëm më të mirë mbrojtjeje sesa fjalëkalimet, Nayyar sugjeron që përdoruesit që kanë mundësinë të konfigurojnë vërtetimin me shumë faktorë në llogaritë e tyre duhet ta bëjnë këtë.
Ron Bradley, VP i Shared Assessments, një organizatë anëtarësimi që ndihmon në zhvillimin e praktikave më të mira për sigurimin e rrezikut nga palët e treta, është dakord. "Aktivizoni vërtetimin me shumë faktorë kudo që të jetë e mundur, veçanërisht aplikacionet që lëvizin para."
Sigurimi i një llogarie vetëm me një fjalëkalim njihet si vërtetim me një faktor. Autentifikimi me shumë faktorë ose MFA ndërtohet mbi këtë dhe siguron llogaritë duke shtuar një hap shtesë në procesin e identifikimit duke u kërkuar përdoruesve një pjesë tjetër të informacionit. Shumë shërbime, duke përfshirë disa banka, zbatojnë MPJ duke dërguar një kod verifikimi në numrin celular të një përdoruesi të regjistruar në bankë.
Megjithatë, ky mekanizëm verifikimi është i prirur ndaj një mekanizmi sulmi të njohur si një sulm i ndërrimit të kartës SIM, ku sulmuesit marrin kontrollin e numrit të telefonit celular të një objektivi duke mashtruar operatorin e pronarit për të ricaktuar numrin në kartën SIM të sulmuesit.
Ndërsa pranoi një sulm të tillë që synonte disa nga klientët e saj, T-Mobile tha se sulmet e shkëmbimit të kartave SIM janë bërë një dukuri e zakonshme dhe në mbarë industrinë.
Në vend të kësaj, një opsion më i mirë për aktivizimin e MFA është duke përdorur aplikacione të tilla si Duo Security, Google Authenticator, Authy, Microsoft Authenticator dhe aplikacione të tjera të tilla të dedikuara MFA.
Zgjerimi i fjalëkalimit
Megjithatë, të gjithë ekspertët e sigurisë kibernetike me të cilët folëm paralajmëruan se përdorimi i MPJ-së nuk duhet të jetë një justifikim për të mos ndërmarrë hapa adekuat për të siguruar fjalëkalimet.
"Bëhu pjesë e një përqindëshit që nuk e kanë idenë se cili është fjalëkalimi i tyre bankar sepse është shumë i gjatë dhe kompleks," këshilloi Bradley.
Ai shton se përdoruesit duhet të konsiderojnë investimin në një menaxher fjalëkalimesh kur bëhet fjalë për fjalëkalimet. Ndërsa nuk ka mungesë të menaxherëve të fjalëkalimeve falas, dhe ka një të tillë të integruar gjithashtu në shfletuesin tuaj të internetit, ekspertët sugjerojnë që një menaxher falas i fjalëkalimeve është më mirë sesa të mos e keni fare, por përdoruesit duhet të kenë kujdes kur përdorin një të tillë.
Bëhu pjesë e një-përqindëshit që nuk e kanë idenë se cili është fjalëkalimi i tyre bankar sepse është shumë i gjatë dhe kompleks.
Ndërsa hetonin një shkelje të fundit të rrjetit të brendshëm të një kompanie, studiuesit e sigurisë kibernetike nga AhnLab zbuluan se llogaria VPN e përdorur për të depërtuar në rrjetin e kompanisë kishte rrjedhur nga kompjuteri i një punonjësi që punonte në distancë.
Ky kompjuter ishte i infektuar me malware të ndryshëm, duke përfshirë një të krijuar posaçërisht për të nxjerrë fjalëkalime nga menaxherët e fjalëkalimeve të integruara në shfletuesit e internetit të bazuara në Chromium, si Google Chrome dhe Microsoft Edge.
"Megjithëse funksioni i ruajtjes së kredencialeve të llogarisë së shfletuesve është shumë i përshtatshëm, pasi ekziston rreziku i rrjedhjes së kredencialeve të llogarisë pas infektimit me malware, përdoruesve u rekomandohet të përmbahen nga përdorimi i tij," paralajmërojnë studiuesit e AhnLab.
