ซื้อกลับบ้านที่สำคัญ
- ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์แนะนำว่ารหัสผ่านด้วยตัวเองไม่ควรถือว่าเพียงพอสำหรับการรักษาความปลอดภัยบัญชีอีกต่อไป
- ผู้ใช้ควรเปิดใช้งานการตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) ทุกครั้งที่ทำได้
- อย่างไรก็ตาม ไม่ควรใช้ MFA เป็นข้ออ้างในการสร้างรหัสผ่านที่ไม่รัดกุม
รหัสผ่านที่รัดกุมที่สุดและนโยบายรหัสผ่านที่เข้มงวดที่สุดไม่ได้มีประโยชน์อะไรมากนักเมื่อผู้ให้บริการออนไลน์ของคุณทำข้อมูลรับรองของคุณรั่วไหลเนื่องจากการกำหนดค่าเซิร์ฟเวอร์ผิดพลาด
หากคุณคิดว่าเหตุการณ์ดังกล่าวจะเกิดได้ยาก ให้รู้ว่าการรั่วไหลของข้อมูลครั้งใหญ่ที่สุดในปี 2564 เกิดจากบริการทางเทคนิคของผู้ให้บริการ อันที่จริงแล้ว ในเดือนธันวาคม 2021 ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้ช่วยเสียบการกำหนดค่าที่ไม่ถูกต้องในบัคเก็ต S3 ของ Amazon Web Services ที่ Sega เป็นเจ้าของ ซึ่งมีข้อมูลที่ละเอียดอ่อนทุกประเภท รวมถึงรหัสผ่าน
"การใช้รหัสผ่านควรล้าสมัย และเราควรมองหาวิธีต่างๆ ในการลงชื่อเข้าใช้บัญชี" Saryu Nayyar ซีอีโอของ Gurucul ผู้ให้บริการด้านความปลอดภัยกล่าวกับ Lifewire ทางอีเมล
ปัญหาเกี่ยวกับรหัสผ่าน
ในเดือนธันวาคม The Sun รายงานว่าสำนักงานอาชญากรรมแห่งชาติของสหราชอาณาจักร (NCA) ได้มอบรหัสผ่านมากกว่า 500 ล้านรหัสผ่านให้กับบริการ Have I Been Pwned (HIBP) ที่ได้รับความนิยม ซึ่งถูกเปิดเผยในระหว่างการสอบสวน
HIBP ให้ผู้ใช้ตรวจสอบว่ารหัสผ่านของพวกเขารั่วไหลจากการละเมิดหรือไม่และมีแนวโน้มที่จะถูกแฮ็กเกอร์ละเมิด ทรอย ฮันต์ ผู้ก่อตั้ง HIBP กล่าวว่ารหัสผ่านกว่า 200 ล้านรหัสผ่านที่ NCA ให้มานั้นไม่มีอยู่ในฐานข้อมูลแล้ว
แม้ว่าคุณสมบัติการจัดเก็บข้อมูลรับรองบัญชีของเบราว์เซอร์จะสะดวกมาก… ขอแนะนำให้ผู้ใช้ละเว้นจากการใช้งาน
"มันชี้ให้เห็นถึงขนาดที่แท้จริงของปัญหา ปัญหาคือรหัสผ่าน ซึ่งเป็นวิธีการโบราณในการพิสูจน์ตัวตนที่แท้จริง หากเคยมีการเรียกร้องให้ดำเนินการเพื่อขจัดรหัสผ่านและค้นหาทางเลือกอื่น ก็ต้องดำเนินการนี้ ไม่ว่าจะเป็น " Baber Amin ซีโอโอของผู้เชี่ยวชาญด้านข้อมูลประจำตัวดิจิทัล Veridium บอกกับ Lifewire ทางอีเมลเพื่อตอบสนองต่อการสนับสนุนล่าสุดของ NCA ใน HIPB
Amin เสริมว่าข้อมูลประจำตัวที่รั่วไหลไม่ได้เป็นเพียงการประนีประนอมกับบัญชีที่มีอยู่ เนื่องจากตอนนี้แฮกเกอร์ใช้ข้อมูลเหล่านี้กับเครื่องมือวิเคราะห์ที่ใช้ AI เพื่อระบุรูปแบบว่าบุคคลสร้างรหัสผ่านอย่างไร โดยพื้นฐานแล้ว ข้อมูลประจำตัวที่รั่วไหลอาจเป็นอันตรายต่อความปลอดภัยของบัญชีอื่นๆ ที่ไม่ถูกบุกรุกเช่นกัน
รหัสผ่านและอื่นๆ
สนับสนุนกลไกการป้องกันที่ดีกว่ารหัสผ่าน Nayyar แนะนำว่าผู้ใช้ที่มีตัวเลือกในการตั้งค่าการตรวจสอบสิทธิ์แบบหลายปัจจัยในบัญชีของตนควรทำเช่นนั้น
รอน แบรดลีย์ VP of Shared Assessments องค์กรสมาชิกที่ช่วยพัฒนาแนวทางปฏิบัติที่ดีที่สุดสำหรับการรับประกันความเสี่ยงของบุคคลที่สามตกลง "เปิดการตรวจสอบสิทธิ์แบบหลายปัจจัยได้ทุกที่ โดยเฉพาะแอปที่โอนเงิน"
การรักษาความปลอดภัยบัญชีด้วยรหัสผ่านเพียงอย่างเดียวเรียกว่าการตรวจสอบสิทธิ์ด้วยปัจจัยเดียว การตรวจสอบสิทธิ์แบบหลายปัจจัยหรือ MFA สร้างขึ้นบนนั้นและรักษาความปลอดภัยบัญชีโดยเพิ่มขั้นตอนพิเศษในกระบวนการลงชื่อเข้าใช้โดยขอข้อมูลอื่นจากผู้ใช้ บริการมากมาย รวมถึงธนาคารหลายแห่ง ใช้ MFA โดยส่งรหัสยืนยันไปยังหมายเลขโทรศัพท์มือถือของผู้ใช้ที่ลงทะเบียนกับธนาคาร
อย่างไรก็ตาม กลไกการตรวจสอบนี้มีแนวโน้มที่จะมีกลไกการโจมตีที่เรียกว่า SIM swap attack ซึ่งผู้โจมตีจะควบคุมหมายเลขโทรศัพท์มือถือของเป้าหมายโดยหลอกให้ผู้ให้บริการของเจ้าของมอบหมายหมายเลขให้กับซิมการ์ดของผู้โจมตี
ในขณะที่ยอมรับการโจมตีดังกล่าวที่กำหนดเป้าหมายไปยังลูกค้าบางราย T-Mobile กล่าวว่าการโจมตี SIM swap ได้กลายเป็นเรื่องธรรมดาและเกิดขึ้นทั่วทั้งอุตสาหกรรม
แต่ตัวเลือกที่ดีกว่าสำหรับการเปิดใช้งาน MFA คือการใช้แอป เช่น Duo Security, Google Authenticator, Authy, Microsoft Authenticator และแอป MFA เฉพาะอื่นๆ
แผ่ขยายรหัสผ่าน
อย่างไรก็ตาม ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ทั้งหมดที่เราพูดคุยด้วยได้เตือนว่าการใช้ MFA ไม่ควรเป็นข้ออ้างสำหรับการไม่ทำตามขั้นตอนที่เพียงพอในการรักษาความปลอดภัยรหัสผ่าน
ร่วมเป็นส่วนหนึ่งของหนึ่งในศูนย์ที่ไม่รู้ว่ารหัสผ่านธนาคารของพวกเขาคืออะไร เพราะมันยาวและซับซ้อนเกินไป” แบรดลีย์แนะนำ
เขาเสริมว่าผู้ใช้ควรพิจารณาลงทุนในตัวจัดการรหัสผ่านเมื่อพูดถึงรหัสผ่าน แม้ว่าโปรแกรมจัดการรหัสผ่านฟรีจะไม่มีปัญหา แต่ก็มีเว็บเบราว์เซอร์ในตัวเช่นกัน ผู้เชี่ยวชาญแนะนำว่าตัวจัดการรหัสผ่านฟรีดีกว่าไม่มีเลย แต่ผู้ใช้ควรใช้ความระมัดระวังเมื่อใช้งาน
เป็นส่วนหนึ่งของหนึ่งในศูนย์ที่ไม่รู้ว่ารหัสผ่านธนาคารของพวกเขาคืออะไร เพราะมันยาวและซับซ้อนเกินไป
ขณะตรวจสอบการละเมิดเครือข่ายภายในของบริษัทหนึ่งเมื่อเร็วๆ นี้ นักวิจัยด้านความปลอดภัยทางไซเบอร์จาก AhnLab พบว่าบัญชี VPN ที่ใช้ในการเจาะเครือข่ายของบริษัทนั้นรั่วออกจากพีซีของพนักงานที่ทำงานระยะไกล
พีซีเครื่องนี้ติดมัลแวร์หลายชนิด รวมถึงเครื่องที่ออกแบบมาโดยเฉพาะเพื่อดึงรหัสผ่านจากตัวจัดการรหัสผ่านที่สร้างในเว็บเบราว์เซอร์ที่ใช้ Chromium เช่น Google Chrome และ Microsoft Edge
"แม้ว่าคุณสมบัติการจัดเก็บข้อมูลรับรองบัญชีของเบราว์เซอร์จะสะดวกมาก เนื่องจากมีความเสี่ยงที่ข้อมูลรับรองบัญชีจะรั่วไหลเมื่อติดมัลแวร์ ขอแนะนำให้ผู้ใช้งดใช้" นักวิจัยของ AhnLab เตือน