Əsas Çıxarışlar
- Kibertəhlükəsizlik ekspertləri təklif edir ki, parollar özlüyündə hesabların təhlükəsizliyini təmin etmək üçün artıq adekvat hesab edilməməlidir.
- İstifadəçilər mümkün olan yerdə çox faktorlu autentifikasiyanı (MFA) aktiv etməlidirlər.
- Lakin XİN zəif parollar yaratmaq üçün bəhanə kimi istifadə edilməməlidir.
Onlayn xidmət provayderiniz serverlərindəki yanlış konfiqurasiyaya görə etimadnamənizi sızdırdıqda ən güclü parollar və ən sərt parol siyasətləri o qədər də faydalı deyil.
Əgər belə bir ehtimalın nadir hal olacağını düşünürsünüzsə, bilin ki, 2021-ci ildə ən böyük məlumat sızmalarının bir çoxu xidmət təminatçıları tərəfindən texniki nasazlıqlar səbəbindən baş verib. Əslində, 2021-ci ilin dekabrında kibertəhlükəsizlik mütəxəssisləri parollar da daxil olmaqla hər cür həssas məlumatı ehtiva edən Sega-ya məxsus Amazon Veb Xidmətlərinin S3 paketinə belə bir yanlış konfiqurasiyanın qoşulmasına kömək etdilər.
"Paroldan istifadə köhnəlməlidir və biz hesablara daxil olmaq üçün müxtəlif yollar axtarmalıyıq" deyə təhlükəsizlik satıcısı Guruculun baş direktoru Saryu Nayyar Lifewire-a e-poçt vasitəsilə bildirib.
Şifrə Problemi
Dekabr ayında The Sun xəbər vermişdi ki, Böyük Britaniyanın Milli Cinayət Agentliyi (NCA) araşdırma zamanı üzə çıxardığı məşhur Have I Been Pwned (HIBP) xidmətinə 500 milyondan çox parol təqdim edib.
HIBP istifadəçilərə parollarının pozulması nəticəsində sızdığını və hakerlər tərəfindən sui-istifadəyə meylli olub-olmadığını yoxlamağa imkan verir. HIBP-nin yaradıcısı Troy Hantın sözlərinə görə, NCA tərəfindən təmin edilən 200 milyondan çox parol verilənlər bazasında artıq mövcud deyildi.
Brauzerlərin hesab etimadnaməsini saxlama xüsusiyyəti çox rahat olsa da… istifadəçilərə ondan istifadə etməkdən çəkinmələri tövsiyə olunur.
"Bu, problemin böyüklüyünə işarə edir, problem parollardır, insanın səmimiyyətini sübut etmək üçün arxaik bir üsuldur. Əgər parolların aradan qaldırılması və alternativlərin tapılması istiqamətində işləmək üçün nə vaxtsa fəaliyyətə çağırış olubsa, o zaman bu lazımdır. "Veridium, NCA-nın HIPB-yə son töhfəsinə cavab olaraq, e-poçt vasitəsilə Lifewire-a rəqəmsal şəxsiyyət ekspertlərinin COO-su Baber Amin dedi.
Amin əlavə etdi ki, sızdırılmış etimadnamələr sadəcə mövcud hesabları təhlükə altına salmır, çünki hakerlər indi fərdin parolları necə yaratması nümunələrini müəyyən etmək üçün onlardan süni intellektə əsaslanan analitik alətlərlə istifadə edirlər. Əslində, sızdırılmış etimadnamələr təhlükə altına alınmamış digər hesabların da təhlükəsizliyini təhlükə altına qoyur.
Parollar və daha çox
Parollardan daha yaxşı qorunma mexanizmini müdafiə edən Nayyar, hesablarında çoxfaktorlu autentifikasiya qurmaq seçimi olan istifadəçilərə bunu etməyi təklif edir.
Üçüncü tərəfin risk təminatı üçün ən yaxşı təcrübələri inkişaf etdirməyə kömək edən üzvlük təşkilatı olan Shared Assessments-in vitse-prezidenti Ron Bradley razılaşır. "Mümkün olan hər yerdə çox faktorlu autentifikasiyanı aktiv edin, xüsusən də pul köçürən proqramlar."
Hesabın yalnız parol ilə qorunması tək faktorlu autentifikasiya kimi tanınır. Çox faktorlu autentifikasiya və ya MFA bunun üzərinə qurulur və istifadəçilərdən başqa bir məlumat tələb etməklə daxil olma prosesinə əlavə addım əlavə etməklə hesabların təhlükəsizliyini təmin edir. Bir çox xidmətlər, o cümlədən bir neçə bank istifadəçinin bankda qeydiyyatdan keçmiş mobil nömrəsinə doğrulama kodu göndərməklə XİN-i həyata keçirir.
Lakin bu doğrulama mexanizmi SİM dəyişdirmə hücumu kimi tanınan hücum mexanizminə meyllidir, burada təcavüzkarlar sahibin operatorunu aldadaraq hədəfin mobil telefon nömrəsinə nəzarəti ələ keçirirlər.
Bəzi müştərilərini hədəf alan belə bir hücumu etiraf etməklə yanaşı, T-Mobile SİM dəyişdirmə hücumlarının adi və sənaye səviyyəsində bir hadisəyə çevrildiyini söylədi.
Əvəzində XİN-i işə salmaq üçün daha yaxşı seçim Duo Security, Google Authenticator, Authy, Microsoft Authenticator və digər bu kimi xüsusi MFA proqramlarından istifadə etməkdir.
Parolun yayılması
Lakin danışdığımız bütün kibertəhlükəsizlik ekspertləri xəbərdarlıq etdilər ki, XİN-dən istifadə parolların təhlükəsizliyini təmin etmək üçün adekvat addımlar atmamaq üçün bəhanə olmamalıdır.
"Həddindən artıq uzun və mürəkkəb olduğu üçün bank parolunun nə olduğu barədə heç bir məlumatı olmayan bir faizlilərin bir hissəsi olun" deyə Bradley tövsiyə etdi.
O əlavə edir ki, istifadəçilər parollara gəldikdə parol menecerinə investisiya etməyi düşünməlidirlər. Pulsuz parol menecerlərinin çatışmazlığı olmasa və veb brauzerinizdə quraşdırılmış bir parol olsa da, ekspertlər pulsuz parol menecerinin ümumiyyətlə olmamasından daha yaxşı olduğunu təklif edir, lakin istifadəçilər onlardan istifadə edərkən ehtiyatlı olmalıdırlar.
Həddindən artıq uzun və mürəkkəb olduğu üçün bank parolunun nə olduğunu bilməyən bir faizlilərin bir hissəsi olun.
Bir şirkətin daxili şəbəkəsinin bu yaxınlarda pozulmasını araşdırarkən, AhnLab-dan kibertəhlükəsizlik üzrə tədqiqatçılar aşkar etdilər ki, şirkət şəbəkəsinə daxil olmaq üçün istifadə edilən VPN hesabı uzaqdan işləyən bir işçinin kompüterindən sızdırılıb.
Bu kompüter müxtəlif zərərli proqram təminatı ilə yoluxmuşdur, o cümlədən Google Chrome və Microsoft Edge kimi Chromium əsaslı veb brauzerlərdə quraşdırılmış parol menecerlərindən parolları çıxarmaq üçün hazırlanmışdır.
"Brauzerlərin hesab etimadnamələrinin saxlanması xüsusiyyəti çox rahat olsa da, zərərli proqrama yoluxma zamanı hesab etimadnamələrinin sızması riski olduğundan, istifadəçilərə ondan istifadə etməkdən çəkinmələri tövsiyə olunur" deyə AhnLab tədqiqatçıları xəbərdarlıq edir.