Негізгі ұсыныстар
- Киберқауіпсіздік сарапшылары құпия сөздерді бұдан былай есептік жазбаларды қорғау үшін сәйкес келмеуі керек деп есептейді.
- Пайдаланушылар мүмкіндігінше көп факторлы аутентификацияны (MFA) қосуы керек.
- Алайда СІМ әлсіз құпия сөздерді жасау үшін сылтау ретінде пайдаланылмауы керек.
Серверлеріндегі қате конфигурацияға байланысты желілік қызмет провайдері тіркелгі деректеріңізді таратып жіберген кезде, құпия сөздердің ең күштісі және құпия сөз саясаттарының ең қатаңы көп пайдасыз.
Егер мұндай жағдай сирек болады деп ойласаңыз, 2021 жылы деректердің ағып кетуіне байланысты ең үлкен деректер қызмет провайдерлерінің техникалық ақауларына байланысты болғанын біліңіз. Шын мәнінде, 2021 жылдың желтоқсанында киберқауіпсіздік сарапшылары құпия ақпаратты қоса алғанда, құпия ақпараттың барлық түрін қамтитын Sega компаниясына тиесілі Amazon Web Services S3 қалтасына мұндай қате конфигурацияны қосуға көмектесті.
"Құпия сөзді пайдалану ескіруі керек және біз тіркелгілерге кірудің әртүрлі жолдарын іздеуіміз керек ", - деді қауіпсіздік сатушысы Гурукулдың бас директоры Сарю Найяр Lifewire-ке электрондық пошта арқылы.
Құпиясөздер мәселесі
Желтоқсан айында The Sun Ұлыбританияның Ұлттық қылмыс агенттігінің (NCA) тергеу барысында анықтаған танымал Have I Been Pwned (HIBP) қызметіне 500 миллионнан астам құпия сөзді жеткізгенін хабарлады.
HIBP пайдаланушыларға құпия сөздерінің бұзылған жағдайда ағып кеткенін және хакерлердің теріс пайдалануына бейім екенін тексеруге мүмкіндік береді. HIBP негізін қалаушы Трой Ханттың айтуынша, NCA ұсынған 200 миллионнан астам құпия сөз дерекқорда бұрыннан болмаған.
Браузерлердегі тіркелгі тіркелгі деректерін сақтау мүмкіндігі өте ыңғайлы болғанымен… пайдаланушыларға оны пайдаланудан бас тарту ұсынылады.
Бұл мәселенің үлкен көлемін көрсетеді, мәселе - парольдер, адамның адалдығын дәлелдейтін архаикалық әдіс. Құпия сөздерді жою және балама іздеу бойынша жұмыс істеу үшін әрекетке шақыру болған болса, онда бұл қажет. Бабер Амин, цифрлық сәйкестендіру бойынша сарапшылардың COO, Veridium электрондық пошта арқылы Lifewire-ке NCA-ның HIPB-ге жақында қосқан үлесіне жауап ретінде айтты.
Амин ағып кеткен тіркелгі деректері бар тіркелгілерді бұзып қана қоймайтынын қосты, өйткені хакерлер оларды жеке адамның құпия сөздерді қалай жасайтынын анықтау үшін AI негізіндегі аналитикалық құралдармен пайдаланады. Негізінде, ағып кеткен тіркелгі деректері бұзылмаған басқа есептік жазбалардың да қауіпсіздігіне қауіп төндіреді.
Құпиясөздер және т.б
Құпия сөздерге қарағанда жақсырақ қорғау механизмін жақтай отырып, Nayyar есептік жазбаларында көп факторлы аутентификацияны орнату мүмкіндігі бар пайдаланушыларға мұны істеуді ұсынады.
Рон Брэдли, Ортақ бағалаулар жөніндегі вице-президенті, үшінші тарап тәуекелдерін қамтамасыз ету бойынша үздік тәжірибелерді дамытуға көмектесетін мүшелік ұйым. "Көп факторлы аутентификацияны барлық жерде, әсіресе ақшаны тасымалдайтын қолданбаларды қосыңыз."
Тіркелгіні құпия сөзбен ғана қорғау бір факторлы аутентификация ретінде белгілі. Көп факторлы аутентификация немесе СІМ соның үстіне құрастырылады және пайдаланушылардан басқа ақпарат бөлігін сұрау арқылы кіру процесіне қосымша қадам қосу арқылы тіркелгілерді қорғайды. Көптеген қызметтер, соның ішінде бірнеше банктер пайдаланушының банкте тіркелген ұялы телефон нөміріне растау кодын жіберу арқылы СІМ жүзеге асырады.
Алайда бұл растау механизмі SIM айырбастау шабуылы деп аталатын шабуыл механизміне бейім, мұнда шабуылдаушылар иесінің операторын алдап, шабуылдаушының SIM картасына нөмірді қайта тағайындау арқылы мақсатты ұялы телефон нөмірін басқарады.
Кейбір тұтынушыларға бағытталған осындай шабуылды мойындай отырып, T-Mobile SIM картасын ауыстыру шабуылдары кең таралған және салада жиі кездесетін оқиғаға айналғанын айтты.
Орнына Duo Security, Google Authenticator, Authy, Microsoft Authenticator және басқа арнайы СІМ қолданбалары сияқты қолданбаларды пайдалану арқылы СІМ-ді қосудың жақсы нұсқасы болып табылады.
Құпиясөзді кеңейту
Алайда біз сөйлескен киберқауіпсіздік бойынша барлық сарапшылар СІМ-ді пайдалану құпия сөздерді қорғау үшін тиісті қадамдарды жасамау үшін ақтауға болмайтынын ескертті.
"Банк құпия сөзі қандай екенін білмейтін бір пайызды құрайтындардың бөлігі болыңыз, себебі ол тым ұзын және күрделі", - деп кеңес берді Брэдли.
Ол пайдаланушылар құпия сөздерге келгенде құпия сөз реттеушісін инвестициялауды қарастыру керектігін қосады. Тегін құпия сөз басқарушыларының жетіспеушілігі болмаса және сіздің веб-шолғышыңызда біреуі де бар, сарапшылар тегін құпия сөз реттеушісі мүлде болмағаннан гөрі жақсырақ деп санайды, бірақ пайдаланушылар оны пайдалану кезінде сақтық танытуы керек.
Банк құпия сөзі тым ұзын және күрделі болғандықтан, олардың қандай екенін білмейтін бір пайыздықтардың бөлігі болыңыз.
Бір компанияның ішкі желісінің жақында бұзылуын зерттеп жатқанда, AhnLab киберқауіпсіздік зерттеушілері компания желісіне кіру үшін пайдаланылған VPN тіркелгісі қашықтан жұмыс істейтін қызметкердің компьютерінен ағып кеткенін анықтады.
Бұл компьютерге әртүрлі зиянды бағдарлама жұқтырылған, соның ішінде Google Chrome және Microsoft Edge сияқты Chromium негізіндегі веб-шолғыштарда құпия сөздерді басқарушылардан құпия сөздерді шығару үшін арнайы жасалған.
"Браузерлердегі тіркелгі тіркелгі деректерін сақтау мүмкіндігі өте ыңғайлы болғанымен, зиянды бағдарлама жұқтырған кезде тіркелгі деректерінің ағып кету қаупі бар, пайдаланушыларға оны пайдаланудан бас тарту ұсынылады", - деп ескертеді AhnLab зерттеушілері.