Key takeaways
- Cybersikkerhedseksperter foreslår, at adgangskoder i sig selv ikke længere bør anses for tilstrækkelige til at sikre konti.
- Brugere bør aktivere multifaktorgodkendelse (MFA), hvor det er muligt.
- MFA bør dog ikke bruges som en undskyldning for at oprette svage adgangskoder.
Den stærkeste af adgangskoder og de strengeste adgangskodepolitikker er ikke til megen nytte, når din onlinetjenesteudbyder lækker dine legitimationsoplysninger på grund af en fejlkonfiguration på deres servere.
Hvis du tror, at sådan en eventualitet ville være en sjældenhed, skal du vide, at mange af de største datalæk i 2021 skyldtes tekniske fejl fra tjenesteudbyderne. Faktisk hjalp cybersikkerhedseksperter i december 2021 med at tilslutte en sådan fejlkonfiguration i Amazon Web Services' S3-spand ejet af Sega, som indeholdt alle slags følsomme oplysninger, inklusive adgangskoder.
"Brug af adgangskode burde blive forældet, og vi bør lede efter forskellige måder at logge ind på konti," sagde CEO for sikkerhedsleverandøren Gurucul, Saryu Nayyar, til Lifewire via e-mail.
Problemet med adgangskoder
I december rapporterede The Sun, at Storbritanniens National Crime Agency (NCA) leverede over 500 millioner adgangskoder til den populære tjeneste Have I Been Pwned (HIBP), som den havde afsløret under en efterforskning.
HIBP gør det muligt for brugere at kontrollere, om deres adgangskoder er blevet lækket i et brud og er tilbøjelige til at blive misbrugt af hackere. Ifølge HIBP's grundlægger, Troy Hunt, eksisterede over 200 millioner af adgangskoderne leveret af NCA ikke allerede i databasen.
Selvom funktionen til lagring af kontolegitimationsoplysninger i browsere er meget praktisk… anbefales brugere at afstå fra at bruge den.
"Det peger på problemets store størrelse, hvor problemet er adgangskoder, en arkaisk metode til at bevise sine bonafides. Hvis der nogensinde har været en opfordring til handling for at arbejde hen imod at eliminere adgangskoder og finde alternativer, så skal dette være det, " sagde Baber Amin, COO for digitale identitetseksperter, Veridium til Lifewire via e-mail som svar på NCA's nylige bidrag til HIPB.
Amin tilføjede, at lækkede legitimationsoplysninger ikke kun kompromitterer eksisterende konti, da hackere nu bruger dem med AI-baserede analytiske værktøjer til at identificere mønstre for, hvordan en person opretter adgangskoder. I det væsentlige bringer lækkede legitimationsoplysninger også sikkerheden på andre ikke-kompromitterede konti i fare.
Adgangskoder og mere
Nayyar går ind for en bedre beskyttelsesmekanisme end adgangskoder og foreslår, at brugere, der har mulighed for at konfigurere multifaktorgodkendelse på deres konti, bør gøre det.
Ron Bradley, VP for Shared Assessments, en medlemsorganisation, der hjælper med at udvikle bedste praksis for tredjeparts risikosikring, er enig. "Slå multifaktorgodkendelse til over alt, hvor det er muligt, især apps, der flytter penge."
Sikring af en konto med en adgangskode alene er kendt som enkeltfaktorgodkendelse. Multi-faktor autentificering eller MFA bygger oven på det og sikrer konti ved at tilføje et ekstra trin i login-processen ved at bede brugerne om en anden stykke information. Mange tjenester, herunder flere banker, implementerer MFA ved at sende en bekræftelseskode til en brugers mobilnummer, der er registreret i banken.
Denne verifikationsmekanisme er imidlertid tilbøjelig til en angrebsmekanisme kendt som et SIM-swap-angreb, hvor angribere tager kontrol over et måls mobiltelefonnummer ved at narre ejerens operatør til at omfordele nummeret til angriberens SIM-kort.
Mens T-Mobile anerkendte et sådant angreb, der var rettet mod nogle af dets kunder, sagde T-Mobile, at SIM-swap-angreb er blevet en almindelig og branchedækkende begivenhed.
I stedet er en bedre mulighed for at aktivere MFA ved at bruge apps som Duo Security, Google Authenticator, Authy, Microsoft Authenticator og andre sådanne dedikerede MFA-apps.
Sprawl med adgangskode
Men alle de cybersikkerhedseksperter, vi t alte med, advarede om, at brug af MFA ikke burde være en undskyldning for ikke at tage passende skridt til at sikre adgangskoderne.
"Vær en del af de one-percenters, der ikke aner, hvad deres bankadgangskode er, fordi den er for lang og kompleks," rådede Bradley.
Han tilføjer, at brugere bør overveje at investere i en adgangskodeadministrator, når det kommer til adgangskoder. Selvom der ikke er mangel på gratis adgangskodeadministratorer, og der også er en indbygget i din webbrowser, foreslår eksperter, at en gratis adgangskodeadministrator er bedre end slet ikke at have en, men brugere bør udvise forsigtighed, når de bruger en.
Vær en del af de one-percenters, der ikke aner, hvad deres bankadgangskode er, fordi den er for lang og kompleks.
Mens de undersøgte et nyligt brud på en virksomheds interne netværk, opdagede cybersikkerhedsforskere fra AhnLab, at den VPN-konto, der blev brugt til at bryde ind i virksomhedens netværk, var lækket fra en fjernarbejdende medarbejders pc.
Denne pc var inficeret med forskellige malware, herunder en, der er designet specifikt til at udtrække adgangskoder fra adgangskodeadministratorerne, der er indbygget i Chromium-baserede webbrowsere såsom Google Chrome og Microsoft Edge..
"Selvom funktionen til lagring af kontolegitimationsoplysninger i browsere er meget praktisk, da der er risiko for lækage af kontolegitimationsoplysninger ved malwareinfektion, anbefales det, at brugere afstår fra at bruge det," advarer AhnLab-forskerne.
