Tärkeimmät oppimispisteet
- Kyberturvallisuusasiantuntijat ehdottavat, että salasanoja yksinään ei enää pitäisi pitää riittävänä tilien turvaamiseen.
- Käyttäjien tulee ottaa käyttöön monitekijätodennus (MFA) aina kun mahdollista.
- MFA:ta ei kuitenkaan pidä käyttää tekosyynä heikkojen salasanojen luomiselle.
Ongelma salasanojen kanssa
Joulukuussa The Sun raportoi, että Ison-Britannian kansallinen rikosvirasto (NCA) toimitti yli 500 miljoonaa salasanaa suosittuun Have I Been Pwned (HIBP) -palveluun, jonka se löysi tutkimuksen aikana. HIBP:n avulla käyttäjät voivat tarkistaa, ovatko heidän salasanansa vuotaneet tietomurron sattuessa ja ovatko hakkerit alttiita väärinkäytölle. HIBP:n perustajan Troy Huntin mukaan yli 200 miljoonaa NCA:n antamista salasanoista ei vielä ollut tietokannassa. «Vaikka selaimen tilitietojen tallennusominaisuus on erittäin hyödyllinen, käyttäjiä kehotetaan olemaan käyttämättä sitä.» «Se osoittaa ongelman laajuuden, ongelmana ovat salasanat, arkaainen tapa todistaa hyvässä uskossa. Jos koskaan on ollut toimintakehotus salasanojen poistamiseksi ja vaihtoehtojen löytämiseksi, sen täytyy olla tämä.» «, Baber Amin, digitaalisen identiteetin asiantuntijoiden COO, kertoi Veridiumille sähköpostitse Lifewirelle vastauksena NCA:n äskettäiseen panokseen HIPB:lle. Amin lisäsi, että vuotaneet tunnistetiedot eivät vain vaaranna olemassa olevia tilejä, koska hakkerit käyttävät niitä nyt tekoälypohjaisten analytiikkatyökalujen kanssa tunnistaakseen malleja siitä, miten henkilö luo salasanoja. Pohjimmiltaan vuotaneet tunnistetiedot vaarantavat myös muiden tinkimättömien tilien turvallisuuden.
Salasanat ja paljon muuta
Nayyar kannattaa salasanoja parempaa suojausmekanismia ja ehdottaa, että käyttäjien, jotka pystyvät määrittämään tililleen monitekijätodennuksen, tulisi tehdä niin. Ron Bradley, VP, Shared Assessments, jäsenorganisaatio, joka auttaa kehittämään parhaita käytäntöjä kolmannen osapuolen riskinvarmistusta varten, on samaa mieltä. «Ota monivaiheinen todennus käyttöön aina kun mahdollista, erityisesti rahaa siirtävissä sovelluksissa.» Tilin suojaaminen pelkällä salasanalla tunnetaan yksivaiheisena todennuksena. Monitekijätodennus tai MFA perustuu tähän ja suojaa tilit lisäämällä ylimääräisen vaiheen kirjautumisprosessiin pyytämällä käyttäjiltä vielä yhden tiedon. Monet palvelut, mukaan lukien useat pankit, toteuttavat MFA:n lähettämällä varmistuskoodin käyttäjän pankkiin rekisteröityyn matkapuhelinnumeroon.
Salasanan jakelu
Kaikki keskustelemamme kyberturvallisuusasiantuntijat kuitenkin varoittivat, että MFA:n käyttäminen ei saa olla tekosyy sille, että salasanojen suojaamiseksi ei ryhdytä riittäviin toimiin. «Ole osa sitä prosenttia, jolla ei ole aavistustakaan, mikä heidän pankin salasanansa on, koska se on liian pitkä ja liian monimutkainen», Bradley neuvoi. Hän lisää, että salasanojen osalta käyttäjien kannattaa harkita sijoittamista salasananhallintaohjelmaan. Vaikka ilmaisista salasanojen hallintaohjelmista ei ole pulaa, ja se on myös sisäänrakennettu suoraan selaimeesi, asiantuntijat ehdottavat, että ilmainen salasananhallinta on parempi kuin ilman, mutta käyttäjien tulee olla varovaisia käyttäessään sitä. «Ole osa sitä prosenttiyksikköä, jolla ei ole aavistustakaan, mikä heidän pankkinsa salasana on, koska se on liian pitkä ja monimutkainen.» AhnLabin kyberturvallisuustutkijat selvittivät äskettäin yrityksen sisäisen verkon murtautumista selvittäessään, että VPN-tili, jolla yrityksen verkkoon murtauduttiin, oli vuotanut etätyöntekijän tietokoneelta. Tämä tietokone on saastunut useilla haittaohjelmilla, mukaan lukien yksi, joka on erityisesti suunniteltu poimimaan salasanoja Chromium-pohjaisten verkkoselaimien, kuten Google Chromen ja Microsoft Edgen, sisäänrakennetuista salasanojen hallintaohjelmista. «Vaikka selaimen tilin tunnistetietojen tallennusominaisuus on erittäin hyödyllinen, koska on olemassa riski tilin tunnistetietojen vuotamisesta haittaohjelmatartunnan yhteydessä, käyttäjiä kehotetaan olemaan käyttämättä sitä», AhnLabin tutkijat varoittavat.