Microsoft upozorava: Lozinke nisu važne
Direktor za zaštitu identiteta u Microsoftu upozorava na neefikasnost lozinki, a u novije vreme i na standardnu višefaktorsku autentifikaciju ili MFA. Ranije ove godine, Alex Weinert je upozorio da „Vaša lozinka nije bitna“, obrazloživši razloge zbog kojih čak i jake lozinke nisu nužno efikasne.
Jaka lozinka ne funkcioniše, kao ni tipična višefaktorska autentifikacija
“Što se tiče sastava i dužine, vaša lozinka (uglavnom) nije bitna“, rekao je Alex Weinert. Trebao bi znati: tim s kojim radi u Microsoftu svakodnevno brani od stotina miliona napada zasnovanih na lozinkama.
– „Imajte na umu da je vašem napasniku stalo da krade lozinke … To je ključna razlika između hipotetičke i praktične sigurnosti.“ Drugim rečima, negativci će učiniti sve što je potrebno da vam ukradu lozinku, a jaka lozinka nije prepreka kada kriminalci imaju na raspolaganju puno vremena i puno alata.
U tabeli je dao listu razloga zbog kojih su hakeri često uspešni. Na primer:
Probijanje lozinke, tj. Negativci već imaju vašu lozinku.
Rizik: Kršenja se dešavaju stalno. Budući da već imaju vašu lozinku i jer je lozinke teško smisliti i ponovo ih koristiti (62% korisnika priznaje ponovnu upotrebu), hakeri mogu upasti u više vaših naloga. Dnevno se ispituje više od 20 miliona naloga u sistemima Microsoft ID.
– „Password Spray“ ili nagađanje
– Fišing. tj. lažni imejlovi – ponekad vrlo autentičnog izgleda – navodno od renomirane kompanije u koju imate poverenja.
Rešenje za gore navedeno (pouka namenjena više tehnološkim kompanijama nego korisnicima): oslanjajte se više na biometrijske podatke kao što su otisak prsta (ili „kognitivni otisak prsta” – kombinovao bi različita ponašanja kao što su obrasci pritiska tastera, upotreba miša, struktura rečenice i upotreba jezika), glas ili identifikacija lica, prema izveštaju Sinopsis iz Mountain Viewa u Kaliforniji, koja je između ostalog uključena u sigurnost softvera. „Ti mehanizmi prepoznavanja se čuvaju samo na korisnikovom uređaju. Lozinke su „zajedničke tajne“ koje se nalaze i na uređaju i na serveru koji, kao što svi znamo, može biti hakovan “, rekao je Sinopsis. Ali Sinopsis dodaje i ovo: Ako lozinke učinite dugačkim i složenim, koristite kombinaciju slova, simbola i interpunkcije, povremeno menjajte lozinku i ne koristite istu lozinku za više naloga, „vi ćete biti neobični“, tj. bićete sigurniji od velike većine ljudi.
Višefaktorska autentifikacija zasnovana na telefonu takođe nije sigurna:
MFA bazirana na telefonima, aka publicly switched telephone networks ili PSTN, nije sigurna, according to Weinert. (Šta je tipična MFA? To je kada vam, na primer, banka pošalje verifikacioni kod putem tekstualne poruke.) „Verujem da su najmanje sigurne od metoda MFA koje su danas dostupne“, napisao je Veinert na blogu (putem ZDNet-a). „Kada su razvijeni SMS (slanje SMS-ova) i glasovni protokoli, dizajnirani su bez šifriranja … To znači da signale može presresti svako ko može dobiti pristup komutacionoj mreži ili unutar radio dometa uređaja,“ napisao je Weinert. Rešenje: koristite autentifikaciju zasnovanu na aplikaciji. Na primer, Microsoft Authenticator ili Google Authenticator. Aplikacija je sigurnija jer se ne oslanja na vašeg mobilnog operatera. Kodovi se nalaze u samoj aplikaciji i brzo ističu.
Izvor: Forbes