Հիմնական տանողներ
- Կիբերանվտանգության փորձագետները առաջարկում են, որ գաղտնաբառերն ինքնին այլևս չպետք է համարժեք համարվեն հաշիվները պաշտպանելու համար:
- Օգտատերերը պետք է միացնեն բազմագործոն նույնականացումը (MFA), որտեղ հնարավոր է:
- Սակայն ԱԳՆ-ն չպետք է օգտագործվի որպես թույլ գաղտնաբառեր ստեղծելու պատրվակ:
Ամենաուժեղ գաղտնաբառերը և գաղտնաբառերի ամենախիստ քաղաքականությունը մեծ օգուտ չեն տալիս, երբ ձեր առցանց ծառայություններ մատուցողն արտահոսում է ձեր հավատարմագրերը իրենց սերվերներում սխալ կազմաձևման պատճառով:
Եթե կարծում եք, որ նման հավանականությունը հազվադեպ կլինի, իմացեք, որ 2021-ին տվյալների ամենամեծ արտահոսքներից շատերը պայմանավորված են եղել ծառայություններ մատուցողների տեխնիկական անսարքությունների պատճառով: Փաստորեն, 2021 թվականի դեկտեմբերին կիբերանվտանգության փորձագետները օգնեցին միացնել նման սխալ կազմաձևումը Sega-ին պատկանող Amazon Web Services-ի S3 դույլին, որը պարունակում էր բոլոր տեսակի զգայուն տեղեկատվություն, ներառյալ գաղտնաբառերը::
«Գաղտնաբառի օգտագործումը պետք է հնանա, և մենք պետք է տարբեր ուղիներ փնտրենք հաշիվներ մուտք գործելու համար»,- Lifewire-ին էլփոստի միջոցով ասել է անվտանգության վաճառող Գուրուկուլի գործադիր տնօրեն Սարյու Նայարը::
Գաղտնաբառերի խնդիրը
Դեկտեմբերին The Sun-ը տեղեկացրեց, որ Մեծ Բրիտանիայի հանցավորության դեմ պայքարի ազգային գործակալությունը (NCA) ավելի քան 500 միլիոն գաղտնաբառ է տրամադրել հանրահայտ Have I Been Pwned (HIBP) ծառայությանը, որը նա բացահայտել է հետաքննության ընթացքում::
HIBP-ն օգտատերերին հնարավորություն է տալիս ստուգել՝ արդյոք իրենց գաղտնաբառերը արտահոսել են խախտման արդյունքում և հակված են չարաշահումների հաքերների կողմից: Ըստ HIBP-ի հիմնադիր Թրոյ Հանթի, NCA-ի կողմից տրամադրված ավելի քան 200 միլիոն գաղտնաբառեր արդեն գոյություն չեն ունեցել տվյալների բազայում:
Չնայած բրաուզերների հաշվի հավատարմագրերը պահելու գործառույթը շատ հարմար է… օգտատերերին խորհուրդ է տրվում ձեռնպահ մնալ դրանից:
«Դա մատնանշում է խնդրի զգալի չափը, խնդիրը գաղտնաբառերն են, սեփական բարեխիղճությունն ապացուցելու հնացած մեթոդ: Եթե երբևէ եղել է գործելու կոչ՝ աշխատելու գաղտնաբառերը վերացնելու և այլընտրանքներ գտնելու ուղղությամբ, ապա դա պետք է. լինի դա», - ասել է Վերիդիումը, թվային ինքնության փորձագետների գլխավոր տնօրեն Բաբեր Ամինը, Lifewire-ին էլփոստով, ի պատասխան NCA-ի վերջին ներդրման HIPB-ում:
Ամինը հավելեց, որ արտահոսած հավատարմագրերը ոչ միայն վտանգի են ենթարկում գոյություն ունեցող հաշիվները, քանի որ հաքերներն այժմ դրանք օգտագործում են արհեստական ինտելեկտի վրա հիմնված վերլուծական գործիքներով՝ բացահայտելու օրինաչափությունները, թե ինչպես է անհատը գաղտնաբառեր ստեղծում: Ըստ էության, արտահոսած հավատարմագրերը վտանգում են նաև այլ ոչ վտանգված հաշիվների անվտանգությունը:
Գաղտնաբառեր և ավելին
Պաշտպանելով ավելի լավ պաշտպանական մեխանիզմ, քան գաղտնաբառերը՝ Նայյարն առաջարկում է, որ այն օգտվողները, ովքեր ունեն իրենց հաշիվներում բազմագործոն նույնականացում ստեղծելու տարբերակ, պետք է դա անեն:
Ռոն Բրեդլին՝ Shared Assessments-ի փոխնախագահը, անդամակցության կազմակերպություն, որն օգնում է մշակել երրորդ կողմի ռիսկերի ապահովման լավագույն փորձը, համաձայն է: «Միացրեք բազմագործոն նույնականացումը ամենուր, որտեղ հնարավոր է, հատկապես այն հավելվածները, որոնք փող են տեղափոխում»:
Հաշիվը միայն գաղտնաբառով ապահովելը հայտնի է որպես մեկ գործոն նույնականացում: Բազմագործոն նույնականացումը կամ MFA-ն կառուցվում է դրա վրա և ապահովում է հաշիվները՝ ավելացնելով լրացուցիչ քայլ մուտքի գործընթացում՝ օգտատերերից մեկ այլ տեղեկատվություն խնդրելով: Շատ ծառայություններ, այդ թվում՝ մի քանի բանկեր, իրականացնում են MFA՝ ուղարկելով հաստատման կոդը բանկում գրանցված օգտվողի բջջային համարին:
Սակայն այս ստուգման մեխանիզմը հակված է հարձակման մեխանիզմի, որը հայտնի է որպես SIM փոխանակման գրոհ, որտեղ հարձակվողները վերահսկում են թիրախի բջջային հեռախոսահամարը՝ խաբելով սեփականատիրոջ օպերատորին, որպեսզի համարը վերահանձնի հարձակվողի SIM քարտին:
Միևնույն ժամանակ ընդունելով նման հարձակումը, որն ուղղված էր իր որոշ հաճախորդներին, T-Mobile-ն ասաց, որ SIM-ի փոխանակման հարձակումները դարձել են սովորական և ամբողջ արդյունաբերության երևույթ:
Փոխարենը MFA-ն ակտիվացնելու ավելի լավ տարբերակ է օգտագործել այնպիսի հավելվածներ, ինչպիսիք են Duo Security, Google Authenticator, Authy, Microsoft Authenticator և այլ նման հատուկ MFA հավելվածներ:
Գաղտնաբառի տարածում
Սակայն կիբերանվտանգության բոլոր փորձագետները, որոնց հետ մենք զրուցել ենք, զգուշացրել են, որ ԱԳՆ-ի օգտագործումը չպետք է պատրվակ լինի գաղտնաբառերը պաշտպանելու համար համարժեք քայլեր չձեռնարկելու համար:
«Եղեք այն մեկ տոկոսի մի մասը, ովքեր գաղափար չունեն, թե որն է իրենց բանկային գաղտնաբառը, քանի որ այն չափազանց երկար է և բարդ», - խորհուրդ է տվել Բրեդլին:
Նա ավելացնում է, որ օգտատերերը պետք է մտածեն գաղտնաբառերի կառավարչի մեջ ներդրումներ կատարելու մասին, երբ խոսքը վերաբերում է գաղտնաբառերին: Թեև գաղտնաբառերի անվճար կառավարիչների պակաս չկա, և կա մեկը, որը ներկառուցված է նաև ձեր վեբ բրաուզերում, փորձագետներն առաջարկում են, որ անվճար գաղտնաբառի կառավարիչն ավելի լավ է, քան ընդհանրապես չունենալը, բայց օգտվողները պետք է զգույշ լինեն այն օգտագործելիս:
Եղեք այն մեկ տոկոսի մի մասը, ովքեր գաղափար չունեն, թե որն է իրենց բանկային գաղտնաբառը, քանի որ այն չափազանց երկար է և բարդ:
Մեկ ընկերության ներքին ցանցի վերջին խախտումը հետաքննելիս AhnLab-ի կիբերանվտանգության հետազոտողները պարզեցին, որ VPN հաշիվը, որն օգտագործվում էր ընկերության ցանց ներխուժելու համար, արտահոսել էր հեռահար աշխատող աշխատակցի համակարգչից:
Այս ԱՀ-ը վարակված էր տարբեր չարամիտ ծրագրերով, ներառյալ մեկը, որը հատուկ նախագծված է գաղտնաբառեր հանելու համար Chromium-ի վրա հիմնված վեբ բրաուզերներում ներկառուցված գաղտնաբառերի կառավարիչներից, ինչպիսիք են Google Chrome-ը և Microsoft Edge-ը::
«Չնայած բրաուզերների հաշվի հավատարմագրերը պահելու գործառույթը շատ հարմար է, քանի որ չարամիտ ծրագրով վարակվելու դեպքում հաշվի հավատարմագրերի արտահոսքի վտանգ կա, օգտատերերին խորհուրդ է տրվում ձեռնպահ մնալ այն օգտագործելուց», զգուշացնում են AhnLab-ի հետազոտողները:
