Klíčové poznatky
- Odborníci na kybernetickou bezpečnost naznačují, že hesla sama o sobě by již neměla být považována za dostatečná pro zabezpečení účtů.
- Uživatelé by měli povolit vícefaktorové ověřování (MFA), kdykoli je to možné.
- MFA by však neměla být používána jako záminka pro vytváření slabých hesel.
Nejsilnější z hesel a nejpřísnější zásady pro hesla nejsou k ničemu, když váš poskytovatel online služeb unikne vaše přihlašovací údaje kvůli špatné konfiguraci na svých serverech.
Pokud si myslíte, že by taková eventualita byla vzácností, vězte, že mnoho z největších úniků dat v roce 2021 bylo způsobeno technickými problémy ze strany poskytovatelů služeb. Ve skutečnosti v prosinci 2021 odborníci na kybernetickou bezpečnost pomohli zastrčit takovou chybnou konfiguraci do bucketu S3 Amazon Web Services vlastněného společností Sega, který obsahoval všechny druhy citlivých informací, včetně hesel.
"Používání hesel by mělo být zastaralé a měli bychom hledat různé způsoby, jak se přihlásit k účtům," řekl Lifewire e-mailem generální ředitel bezpečnostního dodavatele Gurucul, Saryu Nayyar.
Problém s hesly
V prosinci The Sun oznámil, že britská Národní kriminální agentura (NCA) dodala přes 500 milionů hesel k oblíbené službě Have I Been Pwned (HIBP), která odhalila během vyšetřování.
HIBP umožňuje uživatelům zkontrolovat, zda jejich hesla neunikla při prolomení a nejsou náchylná ke zneužití hackery. Podle zakladatele HIBP, Troye Hunta, více než 200 milionů hesel poskytnutých NCA ještě v databázi neexistovalo.
Přestože je funkce ukládání přihlašovacích údajů k účtu v prohlížečích velmi pohodlná… uživatelům se doporučuje, aby ji nepoužívali.
"Poukazuje to na naprostou velikost problému, problémem jsou hesla, archaická metoda prokazování vlastních bonafidů. Pokud se někdy objevila výzva k akci směřující k odstranění hesel a hledání alternativ, pak to musí být budiž, " Baber Amin, COO odborníků na digitální identitu, Veridium řekl Lifewire e-mailem v reakci na nedávný příspěvek NCA pro HIPB.
Amin dodal, že uniklé přihlašovací údaje neohrožují pouze stávající účty, protože hackeři je nyní používají s analytickými nástroji založenými na umělé inteligenci k identifikaci vzorců, jak jednotlivec vytváří hesla. Uniklé přihlašovací údaje v podstatě ohrožují bezpečnost i ostatních nekompromitovaných účtů.
Hesla a další
Nayyar, který obhajuje lepší ochranný mechanismus než hesla, navrhuje, aby uživatelé, kteří mají možnost nastavit na svých účtech vícefaktorové ověřování, tak učinili.
Ron Bradley, viceprezident společnosti Shared Assessments, členské organizace, která pomáhá vyvíjet osvědčené postupy pro zajišťování rizik třetími stranami, souhlasí. "Všude, kde je to možné, zapněte vícefaktorové ověřování, zejména aplikace, které přesouvají peníze."
Zabezpečení účtu pouze heslem se nazývá jednofaktorové ověření. Vícefaktorová autentizace neboli MFA na tom staví a zabezpečuje účty přidáním dalšího kroku do procesu přihlašování tím, že žádá uživatele o další informace. Mnoho služeb, včetně několika bank, implementuje MFA odesláním ověřovacího kódu na mobilní číslo uživatele registrované v bance.
Tento ověřovací mechanismus je však náchylný k útočnému mechanismu známému jako útok s výměnou SIM karty, kdy útočníci převezmou kontrolu nad číslem mobilního telefonu cíle tím, že oklamou operátora vlastníka, aby přiřadil číslo útočníkově SIM kartě.
T-Mobile sice uznal takový útok, který se zaměřoval na některé z jeho zákazníků, ale uvedl, že útoky na výměnu SIM karet se staly běžným jevem v celém odvětví.
Namísto toho je lepší možností aktivace MFA použití aplikací, jako je Duo Security, Google Authenticator, Authy, Microsoft Authenticator a další podobné specializované aplikace MFA.
Password Spawl
Všichni odborníci na kybernetickou bezpečnost, se kterými jsme mluvili, však varovali, že používání MFA by nemělo být omluvou pro nepodniknutí adekvátních kroků k zabezpečení hesel.
"Buďte součástí jednoho procenta, kteří nemají ponětí, jaké je jejich bankovní heslo, protože je příliš dlouhé a složité," radil Bradley.
Dodává, že uživatelé by měli zvážit investici do správce hesel, pokud jde o hesla. I když není nedostatek bezplatných správců hesel a jeden je zabudován i do vašeho webového prohlížeče, odborníci naznačují, že bezplatný správce hesel je lepší, než jej nemít vůbec, ale uživatelé by měli být při jeho používání opatrní.
Staňte se součástí jednoho procenta, které netuší, jaké je jejich bankovní heslo, protože je příliš dlouhé a složité.
Při vyšetřování nedávného narušení interní sítě jedné společnosti výzkumníci kybernetické bezpečnosti z AhnLab zjistili, že účet VPN použitý k prolomení firemní sítě unikal z počítače zaměstnance pracujícího na dálku.
Tento počítač byl infikován různými malware, včetně jednoho navrženého speciálně k extrahování hesel ze správců hesel zabudovaných do webových prohlížečů založených na Chromiu, jako je Google Chrome a Microsoft Edge.
"Přestože je funkce ukládání přihlašovacích údajů k účtu v prohlížečích velmi pohodlná, protože existuje riziko úniku přihlašovacích údajů k účtu při napadení malwarem, uživatelům se doporučuje, aby ji nepoužívali," varují výzkumníci AhnLab.
