Mga Key Takeaway
- Iminumungkahi ng mga eksperto sa cybersecurity na ang mga password mismo, ay hindi na dapat ituring na sapat para sa pag-secure ng mga account.
- Dapat i-enable ng mga user ang multi-factor authentication (MFA) hangga't maaari.
- Gayunpaman, hindi dapat gamitin ang MFA bilang dahilan sa paggawa ng mahihinang password.
Ang pinakamalakas sa mga password at ang pinakamahigpit sa mga patakaran sa password ay hindi gaanong nagagamit kapag ang iyong online service provider ay nag-leak ng iyong mga kredensyal dahil sa isang maling configuration sa kanilang mga server.
Kung sa tingin mo ay bihira ang ganitong pangyayari, alamin na marami sa pinakamalaking pag-leak ng data noong 2021 ay dahil sa mga teknikal na gotcha ng mga service provider. Sa katunayan, noong Disyembre 2021, tumulong ang mga eksperto sa cybersecurity na isaksak ang gayong maling configuration sa S3 bucket ng Amazon Web Services na pag-aari ng Sega, na naglalaman ng lahat ng uri ng sensitibong impormasyon, kabilang ang mga password.
"Dapat maging lipas na ang paggamit ng password, at dapat tayong maghanap ng iba't ibang paraan para mag-log in sa mga account," sabi ng CEO ng security vendor na si Gurucul, Saryu Nayyar, sa Lifewire sa pamamagitan ng email.
Ang Problema sa Mga Password
Noong Disyembre, iniulat ng The Sun na ang National Crime Agency (NCA) ng UK ay nagbigay ng mahigit 500 milyong password sa sikat na serbisyong Have I Been Pwned (HIBP), na natuklasan nito sa panahon ng imbestigasyon.
Ang HIBP ay nagbibigay-daan sa mga user na suriin kung ang kanilang mga password ay na-leak sa isang paglabag at madaling abusuhin ng mga hacker. Ayon sa tagapagtatag ng HIBP, si Troy Hunt, mahigit 200 milyon sa mga password na ibinigay ng NCA ay hindi pa umiiral sa database.
Bagama't ang feature ng pag-iimbak ng mga kredensyal ng account ng mga browser ay napaka-maginhawa… inirerekomenda ng mga user na iwasang gamitin ito.
"Ito ay tumuturo sa napakalaking problema, ang problema ay ang mga password, isang makalumang paraan ng pagpapatunay ng mga bonafides ng isang tao. Kung nagkaroon man ng call to action na magtrabaho tungo sa pag-alis ng mga password at paghahanap ng mga alternatibo, dapat itong gawin maging ito, " Sinabi ni Baber Amin, COO ng mga eksperto sa digital identity, Veridium sa Lifewire sa pamamagitan ng email, bilang tugon sa kamakailang kontribusyon ng NCA sa HIPB.
Idinagdag ni Amin na ang mga na-leak na kredensyal ay hindi lamang nakompromiso ang mga kasalukuyang account, dahil ginagamit na ngayon ng mga hacker ang mga ito gamit ang mga tool sa pagsusuri na nakabatay sa AI upang matukoy ang mga pattern kung paano gumagawa ng mga password ang isang indibidwal. Sa esensya, ang mga na-leak na kredensyal ay nagdudulot din ng panganib sa seguridad ng iba pang hindi nakompromisong mga account.
Mga Password at Higit Pa
Pagsusulong para sa isang mas mahusay na mekanismo ng proteksyon kaysa sa mga password, iminumungkahi ni Nayyar na ang mga user na may opsyong mag-set up ng multi-factor na pagpapatotoo sa kanilang mga account ay dapat gawin ito.
Ron Bradley, VP ng Shared Assessments, isang membership organization na tumutulong sa pagbuo ng pinakamahuhusay na kagawian para sa third-party na risk assurance, ay sumasang-ayon. "I-on ang multi-factor authentication saanman posible, lalo na ang mga app na gumagalaw ng pera."
Ang pag-secure ng isang account gamit ang isang password lamang ay kilala bilang single-factor authentication. Ang multi-factor authentication o MFA ay bubuo sa ibabaw nito at sinisiguro ang mga account sa pamamagitan ng pagdaragdag ng karagdagang hakbang sa proseso ng pag-sign in sa pamamagitan ng pagtatanong sa mga user para sa isa pang piraso ng impormasyon. Maraming serbisyo, kabilang ang ilang bangko, ang nagpapatupad ng MFA sa pamamagitan ng pagpapadala ng verification code sa mobile number ng user na nakarehistro sa bangko.
Gayunpaman, ang mekanismo ng pag-verify na ito ay madaling kapitan ng isang mekanismo ng pag-atake na kilala bilang isang pag-atake ng SIM swap, kung saan kinokontrol ng mga umaatake ang numero ng mobile phone ng isang target sa pamamagitan ng panlilinlang sa carrier ng may-ari upang muling italaga ang numero sa SIM card ng umaatake.
Habang kinikilala ang gayong pag-atake na naka-target sa ilan sa mga customer nito, sinabi ng T-Mobile na ang mga pag-atake ng SIM swap ay naging pangkaraniwan at pang-industriya na pangyayari.
Sa halip, ang isang mas mahusay na opsyon para sa pag-enable ng MFA ay sa pamamagitan ng paggamit ng mga app gaya ng Duo Security, Google Authenticator, Authy, Microsoft Authenticator, at iba pang tulad na nakatuong MFA app.
Password Sprawl
Gayunpaman, ang lahat ng mga eksperto sa cybersecurity na nakausap namin ay nagbabala na ang paggamit ng MFA ay hindi dapat maging dahilan para hindi gumawa ng mga sapat na hakbang upang ma-secure ang mga password.
"Maging bahagi ng mga one-percenter na walang ideya kung ano ang kanilang password sa bangko dahil ito ay masyadong mahaba at kumplikado, " payo ni Bradley.
Idinagdag niya na dapat isaalang-alang ng mga user ang pamumuhunan sa isang tagapamahala ng password pagdating sa mga password. Bagama't walang kakulangan ng mga libreng tagapamahala ng password, at mayroon ding naka-built in sa iyong web browser, iminumungkahi ng mga eksperto na ang isang libreng tagapamahala ng password ay mas mahusay kaysa sa wala, ngunit ang mga gumagamit ay dapat mag-ingat kapag gumagamit ng isa.
Maging bahagi ng mga one-percenter na walang ideya kung ano ang kanilang password sa bangko dahil ito ay masyadong mahaba at kumplikado.
Habang sinisiyasat ang kamakailang paglabag sa internal network ng isang kumpanya, natuklasan ng mga cybersecurity researcher mula sa AhnLab na ang VPN account na ginamit upang makapasok sa network ng kumpanya ay na-leak mula sa PC ng isang empleyadong malayong nagtatrabaho.
Ang PC na ito ay nahawaan ng iba't ibang malware, kabilang ang isang partikular na idinisenyo upang kunin ang mga password mula sa mga tagapamahala ng password na binuo sa mga web browser na nakabatay sa Chromium gaya ng Google Chrome at Microsoft Edge.
"Bagaman ang tampok na pag-iimbak ng mga kredensyal ng account ng mga browser ay napaka-maginhawa, dahil may panganib ng pagtagas ng mga kredensyal ng account sa impeksyon ng malware, inirerekomenda ng mga user na iwasang gamitin ito, " babala sa mga mananaliksik ng AhnLab.
