Key Takeaway
- Pakar keselamatan siber mencadangkan bahawa kata laluan, dengan sendirinya, tidak lagi dianggap mencukupi untuk melindungi akaun.
- Pengguna harus mendayakan pengesahan berbilang faktor (MFA) di mana mungkin.
- Walau bagaimanapun, MFA tidak boleh digunakan sebagai alasan untuk mencipta kata laluan yang lemah.
Kata laluan yang paling kukuh dan dasar kata laluan yang paling ketat tidak banyak digunakan apabila pembekal perkhidmatan dalam talian anda membocorkan kelayakan anda kerana salah konfigurasi dalam pelayan mereka.
Jika anda berpendapat kemungkinan seperti itu jarang berlaku, ketahui bahawa banyak kebocoran data terbesar pada tahun 2021 adalah disebabkan oleh gotcha teknikal oleh penyedia perkhidmatan. Malah, pada Disember 2021, pakar keselamatan siber telah membantu memasangkan salah konfigurasi sedemikian dalam baldi S3 Perkhidmatan Web Amazon yang dimiliki oleh Sega, yang mengandungi semua jenis maklumat sensitif, termasuk kata laluan.
"Penggunaan kata laluan sepatutnya menjadi usang dan kita harus mencari cara yang berbeza untuk log masuk ke akaun, " Ketua Pegawai Eksekutif vendor keselamatan Gurucul, Saryu Nayyar, memberitahu Lifewire melalui e-mel.
Masalah Dengan Kata Laluan
Pada bulan Disember, The Sun melaporkan bahawa Agensi Jenayah Kebangsaan (NCA) UK membekalkan lebih 500 juta kata laluan kepada perkhidmatan Have I Been Pwned (HIBP) yang popular, yang telah ditemui semasa siasatan.
HIBP membolehkan pengguna menyemak sama ada kata laluan mereka telah dibocorkan dalam pelanggaran dan terdedah kepada penyalahgunaan oleh penggodam. Menurut pengasas HIBP, Troy Hunt, lebih 200 juta kata laluan yang dibekalkan oleh NCA belum wujud dalam pangkalan data.
Walaupun ciri menyimpan bukti kelayakan akaun penyemak imbas adalah sangat mudah… pengguna disyorkan untuk mengelak daripada menggunakannya.
"Ia menunjukkan kepada saiz masalah yang besar, masalahnya ialah kata laluan, kaedah kuno untuk membuktikan kejujuran seseorang. Jika ada seruan untuk bertindak untuk berusaha ke arah menghapuskan kata laluan dan mencari alternatif, maka ini perlu sama ada, " Baber Amin, COO pakar identiti digital, Veridium memberitahu Lifewire melalui e-mel, sebagai tindak balas kepada sumbangan NCA baru-baru ini kepada HIPB.
Amin menambah bahawa bukti kelayakan yang bocor bukan sahaja menjejaskan akaun sedia ada, kerana penggodam kini menggunakannya dengan alat analisis berasaskan AI untuk mengenal pasti corak cara seseorang individu mencipta kata laluan. Pada dasarnya, bukti kelayakan yang bocor menjejaskan keselamatan akaun lain yang tidak terjejas juga.
Kata Laluan dan Lagi
Memperjuangkan mekanisme perlindungan yang lebih baik daripada kata laluan, Nayyar mencadangkan pengguna yang mempunyai pilihan untuk menyediakan pengesahan berbilang faktor pada akaun mereka harus berbuat demikian.
Ron Bradley, VP of Shared Assessments, sebuah organisasi keahlian yang membantu membangunkan amalan terbaik untuk jaminan risiko pihak ketiga, bersetuju. "Hidupkan pengesahan berbilang faktor di mana-mana mungkin, terutamanya apl yang memindahkan wang."
Melindungi akaun dengan kata laluan sahaja dikenali sebagai pengesahan faktor tunggal. Pengesahan berbilang faktor atau MFA dibina di atasnya dan melindungi akaun dengan menambahkan langkah tambahan ke dalam proses log masuk dengan meminta pengguna untuk mendapatkan maklumat lain. Banyak perkhidmatan, termasuk beberapa bank, melaksanakan MFA dengan menghantar kod pengesahan ke nombor mudah alih pengguna yang berdaftar dengan bank.
Walau bagaimanapun, mekanisme pengesahan ini terdedah kepada mekanisme serangan yang dikenali sebagai serangan pertukaran SIM, di mana penyerang mengawal nombor telefon mudah alih sasaran dengan memperdaya pembawa pemilik untuk menetapkan semula nombor itu kepada kad SIM penyerang.
Sambil mengakui serangan sedemikian yang menyasarkan beberapa pelanggannya, T-Mobile berkata bahawa serangan pertukaran SIM telah menjadi perkara biasa dan berlaku di seluruh industri.
Sebaliknya, pilihan yang lebih baik untuk mendayakan MFA ialah dengan menggunakan apl seperti Duo Security, Google Authenticator, Authy, Microsoft Authenticator dan apl MFA khusus yang lain.
Kata Laluan Sprawl
Walau bagaimanapun, semua pakar keselamatan siber yang kami hubungi memberi amaran bahawa menggunakan MFA tidak seharusnya menjadi alasan untuk tidak mengambil langkah yang mencukupi untuk melindungi kata laluan.
"Jadilah sebahagian daripada satu peratus yang tidak tahu apa kata laluan bank mereka kerana ia terlalu panjang dan rumit," nasihat Bradley.
Beliau menambah bahawa pengguna harus mempertimbangkan untuk melabur dalam pengurus kata laluan apabila ia berkaitan dengan kata laluan. Walaupun tiada kekurangan pengurus kata laluan percuma, dan terdapat satu yang terbina dalam penyemak imbas web anda juga, pakar mencadangkan bahawa pengurus kata laluan percuma adalah lebih baik daripada tidak mempunyai satu sama sekali, tetapi pengguna harus berhati-hati apabila menggunakannya.
Jadilah sebahagian daripada satu peratus yang tidak tahu apa kata laluan bank mereka kerana kata laluan itu terlalu panjang dan rumit.
Semasa menyiasat pelanggaran rangkaian dalaman satu syarikat baru-baru ini, penyelidik keselamatan siber dari AhnLab mendapati bahawa akaun VPN yang digunakan untuk menceroboh rangkaian syarikat telah dibocorkan daripada PC pekerja yang bekerja jauh.
PC ini telah dijangkiti pelbagai perisian hasad, termasuk satu yang direka khusus untuk mengekstrak kata laluan daripada pengurus kata laluan yang terbina dalam penyemak imbas web berasaskan Chromium seperti Google Chrome dan Microsoft Edge.
"Walaupun ciri menyimpan bukti kelayakan akaun penyemak imbas sangat mudah, kerana terdapat risiko kebocoran bukti kelayakan akaun apabila dijangkiti perisian hasad, pengguna disyorkan untuk mengelak daripada menggunakannya, " amaran kepada penyelidik AhnLab.