Key takeaways
- Eksperter på nettsikkerhet foreslår at passord i seg selv ikke lenger bør anses som tilstrekkelige for å sikre kontoer.
- Brukere bør aktivere multifaktorautentisering (MFA) der det er mulig.
- MFA bør imidlertid ikke brukes som en unnskyldning for å lage svake passord.
De sterkeste passordene og de strengeste passordretningslinjene er ikke til stor nytte når din nettbaserte tjenesteleverandør lekker legitimasjonen din på grunn av feilkonfigurasjon på serverne deres.
Hvis du tror en slik eventualitet vil være en sjeldenhet, må du vite at mange av de største datalekkasjene i 2021 skyldtes tekniske feilmeldinger fra tjenesteleverandørene. Faktisk, i desember 2021, hjalp nettsikkerhetseksperter å plugge en slik feilkonfigurasjon i Amazon Web Services' S3-bøtte eid av Sega, som inneholdt all slags sensitiv informasjon, inkludert passord.
"Passordbruk bør bli foreldet, og vi bør se etter forskjellige måter å logge inn på kontoer," sa administrerende direktør for sikkerhetsleverandøren Gurucul, Saryu Nayyar, til Lifewire via e-post.
Problemet med passord
I desember rapporterte The Sun at Storbritannias National Crime Agency (NCA) leverte over 500 millioner passord til den populære tjenesten Have I Been Pwned (HIBP), som den hadde avdekket under en etterforskning.
HIBP gjør det mulig for brukere å sjekke om passordene deres har blitt lekket i et brudd og er utsatt for misbruk av hackere. I følge HIBPs grunnlegger, Troy Hunt, fantes ikke over 200 millioner av passordene levert av NCA allerede i databasen.
Selv om funksjonen for lagring av kontolegitimasjon i nettlesere er veldig praktisk… anbefales brukere å avstå fra å bruke den.
"Det peker på størrelsen på problemet, problemet er passord, en arkaisk metode for å bevise sine bonafides. Hvis det noen gang har vært en oppfordring til handling for å arbeide for å eliminere passord og finne alternativer, så må dette det være seg," sa Baber Amin, COO for digitale identitetseksperter, Veridium til Lifewire via e-post, som svar på NCAs nylige bidrag til HIPB.
Amin la til at lekket legitimasjon ikke bare kompromitterer eksisterende kontoer, ettersom hackere nå bruker dem med AI-baserte analytiske verktøy for å identifisere mønstre for hvordan en person oppretter passord. I hovedsak setter lekket legitimasjon også sikkerheten til andre ikke-kompromitterte kontoer i fare.
Passord og mer
Nayyar går inn for en bedre beskyttelsesmekanisme enn passord og foreslår at brukere som har muligheten til å sette opp multifaktorautentisering på kontoene sine, bør gjøre det.
Ron Bradley, VP for Shared Assessments, en medlemsorganisasjon som hjelper til med å utvikle beste praksis for tredjeparts risikoforsikring, er enig. "Slå på multifaktorautentisering over alt hvor det er mulig, spesielt apper som flytter penger."
Å sikre en konto med et passord alene er kjent som enkeltfaktorautentisering. Multifaktorautentisering eller MFA bygger på toppen av det og sikrer kontoer ved å legge til et ekstra trinn i påloggingsprosessen ved å be brukere om en annen informasjon. Mange tjenester, inkludert flere banker, implementerer MFA ved å sende en bekreftelseskode til en brukers mobilnummer registrert i banken.
Denne verifiseringsmekanismen er imidlertid utsatt for en angrepsmekanisme kjent som et SIM-bytteangrep, der angripere tar kontroll over et måls mobiltelefonnummer ved å lure eierens operatør til å omdisponere nummeret til angriperens SIM-kort.
Mens T-Mobile erkjente et slikt angrep som var rettet mot noen av kundene sine, sa T-Mobile at SIM-bytteangrep har blitt en vanlig og bransjeomfattende forekomst.
I stedet er et bedre alternativ for å aktivere MFA ved å bruke apper som Duo Security, Google Authenticator, Authy, Microsoft Authenticator og andre slike dedikerte MFA-apper.
Password Sprawl
Men alle cybersikkerhetsekspertene vi snakket med advarte om at bruk av MFA ikke burde være en unnskyldning for ikke å ta tilstrekkelige skritt for å sikre passordene.
"Vær en del av one-percents som ikke aner hva bankpassordet deres er fordi det er for langt og komplekst," rådet Bradley.
Han legger til at brukere bør vurdere å investere i en passordbehandler når det kommer til passord. Selv om det ikke er mangel på gratis passordbehandlere, og det er en innebygd i nettleseren din også, foreslår eksperter at en gratis passordbehandler er bedre enn å ikke ha en i det hele tatt, men brukere bør utvise forsiktighet når de bruker en.
Vær en del av one-percents som ikke aner hva bankpassordet deres er fordi det er for langt og komplekst.
Mens de undersøkte et nylig brudd på et selskaps interne nettverk, oppdaget cybersikkerhetsforskere fra AhnLab at VPN-kontoen som ble brukt til å bryte seg inn i selskapets nettverk ble lekket fra PC-en til en eksternt arbeidende ansatt.
Denne PC-en ble infisert med diverse skadelig programvare, inkludert en som er utviklet spesielt for å trekke ut passord fra passordbehandlerne innebygd i Chromium-baserte nettlesere som Google Chrome og Microsoft Edge.
"Selv om funksjonen for lagring av kontolegitimasjon i nettlesere er veldig praktisk, siden det er en risiko for lekkasje av kontolegitimasjon ved infeksjon med skadelig programvare, anbefales brukere å avstå fra å bruke den," advarer AhnLab-forskerne.