Da asporto chiave
- Gli esperti di sicurezza informatica suggeriscono che le password, da sole, non dovrebbero più essere considerate adeguate per la protezione degli account.
- Gli utenti devono abilitare l'autenticazione a più fattori (MFA) ove possibile.
- Tuttavia, l'autenticazione a più fattori non dovrebbe essere usata come scusa per creare password deboli.
Le password più complesse e le politiche sulle password più rigorose non sono di grande utilità quando il tuo provider di servizi online perde le tue credenziali a causa di un'errata configurazione nei loro server.
Se pensi che un'eventualità del genere sarebbe una rarità, sappi che molte delle maggiori fughe di dati nel 2021 sono state dovute a problemi tecnici da parte dei fornitori di servizi. In effetti, nel dicembre 2021, esperti di sicurezza informatica hanno contribuito a inserire tale errore di configurazione nel bucket S3 di Amazon Web Services di proprietà di Sega, che conteneva tutti i tipi di informazioni riservate, comprese le password.
"L'uso della password dovrebbe diventare obsoleto e dovremmo cercare modi diversi per accedere agli account", ha detto a Lifewire il CEO del fornitore di sicurezza Gurucul, Saryu Nayyar.
Il problema con le password
A dicembre, The Sun ha riferito che la National Crime Agency (NCA) del Regno Unito ha fornito oltre 500 milioni di password al popolare servizio Have I Been Pwned (HIBP), che aveva scoperto durante un'indagine.
HIBP consente agli utenti di verificare se le loro password sono trapelate in una violazione e sono soggette ad abusi da parte degli hacker. Secondo il fondatore di HIBP, Troy Hunt, oltre 200 milioni di password fornite da NCA non esistevano già nel database.
Sebbene la funzione di memorizzazione delle credenziali dell'account dei browser sia molto comoda… si consiglia agli utenti di astenersi dall'utilizzarla.
"Indica l'enorme dimensione del problema, il problema sono le password, un metodo arcaico per dimostrare la propria autenticità. Se mai c'è stato un invito all'azione per lavorare per eliminare le password e trovare alternative, allora questo deve sia esso, " Baber Amin, COO degli esperti di identità digitale, Veridium ha detto a Lifewire via e-mail, in risposta al recente contributo della NCA a HIPB.
Amin ha aggiunto che le credenziali trapelate non compromettono solo gli account esistenti, poiché gli hacker ora le utilizzano con strumenti analitici basati sull'intelligenza artificiale per identificare i modelli di come un individuo crea le password. In sostanza, le credenziali trapelate mettono a rischio anche la sicurezza di altri account non compromessi.
Password e altro
Sostenendo un meccanismo di protezione migliore rispetto alle password, Nayyar suggerisce che gli utenti che hanno la possibilità di impostare l'autenticazione a più fattori sui propri account dovrebbero farlo.
Ron Bradley, VP di Shared Assessments, un'organizzazione di appartenenza che aiuta a sviluppare le migliori pratiche per la garanzia del rischio di terze parti, è d'accordo. "Attiva l'autenticazione a più fattori ovunque possibile, in particolare le app che spostano denaro."
La protezione di un account con una sola password è nota come autenticazione a fattore singolo. L'autenticazione a più fattori o MFA si basa su questo e protegge gli account aggiungendo un ulteriore passaggio nel processo di accesso chiedendo agli utenti un' altra informazione. Molti servizi, incluse diverse banche, implementano l'AMF inviando un codice di verifica al numero di cellulare di un utente registrato presso la banca.
Tuttavia, questo meccanismo di verifica è soggetto a un meccanismo di attacco noto come attacco SIM swap, in cui gli aggressori prendono il controllo del numero di cellulare di un bersaglio ingannando l'operatore telefonico del proprietario facendogli riassegnare il numero alla scheda SIM dell'attaccante.
Pur riconoscendo un tale attacco che ha preso di mira alcuni dei suoi clienti, T-Mobile ha affermato che gli attacchi di scambio SIM sono diventati un evento comune e a livello di settore.
Invece, un'opzione migliore per abilitare l'autenticazione a più fattori consiste nell'utilizzare app come Duo Security, Google Authenticator, Authy, Microsoft Authenticator e altre app MFA dedicate.
Sprawl di password
Tuttavia, tutti gli esperti di sicurezza informatica con cui abbiamo parlato hanno avvertito che l'utilizzo dell'autenticazione a più fattori non dovrebbe essere una scusa per non adottare misure adeguate per proteggere le password.
"Fai parte dell'uno percento che non ha idea di quale sia la password della propria banca perché è troppo lunga e complessa", ha consigliato Bradley.
Aggiunge che gli utenti dovrebbero considerare di investire in un gestore di password quando si tratta di password. Anche se non mancano gestori di password gratuiti e ce n'è uno integrato nel tuo browser web, gli esperti suggeriscono che un gestore di password gratuito è meglio che non averne uno, ma gli utenti dovrebbero prestare attenzione quando ne utilizzano uno.
Fai parte dell'uno percento che non ha idea di quale sia la password della propria banca perché è troppo lunga e complessa.
Durante le indagini su una recente violazione della rete interna di un'azienda, i ricercatori di sicurezza informatica di AhnLab hanno scoperto che l'account VPN utilizzato per entrare nella rete aziendale era trapelato dal PC di un dipendente che lavora a distanza.
Questo PC è stato infettato da vari malware, incluso uno progettato specificamente per estrarre le password dai gestori di password integrati nei browser Web basati su Chromium come Google Chrome e Microsoft Edge.
"Sebbene la funzione di memorizzazione delle credenziali dell'account dei browser sia molto comoda, poiché esiste il rischio di perdita delle credenziali dell'account in caso di infezione da malware, si consiglia agli utenti di astenersi dall'utilizzarla", avvertono i ricercatori di AhnLab.
