موارد مهم
- کارشناسان امنیت سایبری پیشنهاد می کنند که گذرواژه ها به خودی خود دیگر نباید برای ایمن سازی حساب ها کافی در نظر گرفته شوند.
- کاربران باید احراز هویت چند عاملی (MFA) را تا جایی که ممکن است فعال کنند.
- اما، MFA نباید به عنوان بهانه ای برای ایجاد رمزهای عبور ضعیف استفاده شود.
قویترین رمزهای عبور و سختگیرانهترین خطمشیهای گذرواژه زمانی که ارائهدهنده خدمات آنلاین شما اعتبار شما را به دلیل پیکربندی نادرست در سرورهایش فاش میکند، چندان کاربردی ندارند.
اگر فکر می کنید چنین احتمالی نادر است، بدانید که بسیاری از بزرگترین نشت داده ها در سال 2021 به دلیل مشکلات فنی توسط ارائه دهندگان خدمات بوده است. در واقع، در دسامبر 2021، کارشناسان امنیت سایبری کمک کردند تا چنین پیکربندی نادرستی را در سطل S3 خدمات وب آمازون متعلق به سگا، که حاوی انواع اطلاعات حساس از جمله رمزهای عبور بود، وصل کنند.
"استفاده از رمز عبور باید منسوخ شود و ما باید به دنبال راه های مختلف برای ورود به حساب ها باشیم."
مشکل با رمزهای عبور
در ماه دسامبر، The Sun گزارش داد که آژانس جرائم ملی بریتانیا (NCA) بیش از 500 میلیون رمز عبور را برای سرویس محبوب Have I Been Pwned (HIBP) که در طی تحقیقات کشف کرده بود، ارائه کرده است.
HIBP به کاربران این امکان را می دهد تا بررسی کنند که آیا گذرواژه های آنها درز کرده است یا خیر و مستعد سوء استفاده توسط هکرها هستند. به گفته بنیانگذار HIBP، تروی هانت، بیش از 200 میلیون رمز عبور ارائه شده توسط NCA قبلاً در پایگاه داده وجود نداشتند.
اگرچه قابلیت ذخیره اعتبار حساب در مرورگرها بسیار راحت است… به کاربران توصیه می شود از استفاده از آن خودداری کنند.
این به بزرگی مشکل اشاره می کند، مشکل رمز عبور است، روشی قدیمی برای اثبات حقانیت. بابر امین، مدیر ارشد کارشناسان هویت دیجیتال، Veridium از طریق ایمیل به Lifewire در پاسخ به کمک اخیر NCA به HIPB گفت.
Amin اضافه کرد که اعتبارنامه های فاش شده فقط حساب های موجود را به خطر نمی اندازند، زیرا هکرها اکنون از آنها با ابزارهای تحلیلی مبتنی بر هوش مصنوعی برای شناسایی الگوهای نحوه ایجاد رمز عبور توسط یک فرد استفاده می کنند. در اصل، اعتبارنامه های لو رفته امنیت سایر حساب های غیرقابل نفوذ را نیز به خطر می اندازد.
رمزهای عبور و موارد دیگر
با حمایت از مکانیزم حفاظتی بهتر از گذرواژهها، نایار پیشنهاد میکند که کاربرانی که گزینه تنظیم احراز هویت چند عاملی را در حسابهای خود دارند، باید این کار را انجام دهند.
ران بردلی، معاون ارزیابی های مشترک، یک سازمان عضویت که به توسعه بهترین شیوه ها برای تضمین ریسک شخص ثالث کمک می کند، موافق است. «در همه جا احراز هویت چند عاملی را روشن کنید، به ویژه برنامههایی که پول جابهجا میکنند.»
ایمن کردن حساب به تنهایی با رمز عبور به عنوان احراز هویت تک عاملی شناخته می شود. احراز هویت چند عاملی یا MFA بر روی آن ایجاد میشود و با افزودن یک مرحله اضافی به فرآیند ورود با درخواست از کاربران برای اطلاعات دیگری، حسابها را ایمن میکند. بسیاری از خدمات، از جمله چندین بانک، MFA را با ارسال یک کد تأیید به شماره تلفن همراه کاربر ثبتشده در بانک اجرا میکنند.
اما، این مکانیسم تأیید مستعد مکانیسم حمله ای است که به عنوان حمله تعویض سیم کارت شناخته می شود، جایی که مهاجمان با فریب دادن شرکت مخابراتی مالک برای تخصیص مجدد شماره به سیم کارت مهاجم، کنترل شماره تلفن همراه هدف را به دست می گیرند.
در حالی که T-Mobile چنین حمله ای را تأیید کرد که برخی از مشتریان خود را هدف قرار داد، گفت که حملات تعویض سیم کارت به یک اتفاق رایج و در سطح صنعت تبدیل شده است.
در عوض، یک گزینه بهتر برای فعال کردن MFA استفاده از برنامههایی مانند Duo Security، Google Authenticator، Authy، Microsoft Authenticator، و دیگر برنامههای MFA اختصاصی از این قبیل است.
گسترش رمز عبور
با این حال، همه کارشناسان امنیت سایبری که با آنها صحبت کردیم هشدار دادند که استفاده از MFA نباید بهانه ای برای عدم انجام اقدامات کافی برای ایمن سازی گذرواژه ها باشد.
"بخشی از یک درصد باشید که نمی دانند رمز عبور بانکی آنها چیست زیرا بسیار طولانی و پیچیده است."
او اضافه می کند که کاربران باید در مورد پسوردها سرمایه گذاری در یک مدیر رمز عبور را در نظر بگیرند. در حالی که هیچ کمبودی در مدیریت رمز عبور رایگان وجود ندارد، و همچنین یکی از آنها در مرورگر وب شما تعبیه شده است، کارشناسان پیشنهاد می کنند که مدیریت رمز عبور رایگان بهتر از نداشتن آن است، اما کاربران باید در استفاده از آن احتیاط کنند.
بخشی از یک درصد باشید که به دلیل طولانی و پیچیده بودن رمز عبور بانکی خود نمی دانند چیست.
هنگام بررسی نقض اخیر شبکه داخلی یک شرکت، محققان امنیت سایبری از AhnLab متوجه شدند که حساب VPN استفاده شده برای نفوذ به شبکه شرکت از رایانه شخصی یک کارمند از راه دور به بیرون درز کرده است.
این رایانه شخصی به بدافزارهای مختلفی آلوده شده است، از جمله بدافزاری که به طور خاص برای استخراج رمزهای عبور از مدیران رمز عبور تعبیه شده در مرورگرهای وب مبتنی بر Chromium مانند Google Chrome و Microsoft Edge طراحی شده است.
"اگرچه ویژگی ذخیره اعتبار حساب در مرورگرها بسیار راحت است، زیرا خطر نشت اطلاعات اعتبار حساب در صورت آلودگی بدافزار وجود دارد، به کاربران توصیه می شود از استفاده از آن خودداری کنند."
