Пароли

Нов доклад на Specops установява, че от един милиард компрометираните пароли почти 1/4 отговарят на стандартните изисквания за сложност. И въпреки това престъпниците са успели да ги пробият. От тях 230 милиона са отговаряли на всички изисквания, включително повече от осем знака, една главна буква, специален символ и число.

Има и още много доказателства за уязвимостта на паролите. Според Data Breach Investigations Report 2024 (DBIR) на Verizon откраднатите креденшъли са основният фактор, водещ до нарушения на сигурността на организациите.

Затова не е изненада, че през последните години се появяват все повече алтернативни методи за удостоверяване на автентичността на потребителите.

Ето 7 от тях:

1. Биометрично удостоверяване

Биометричното удостоверяване използва физическите аспекти на дадено лице, за да потвърди самоличността му – пръстови отпечатъци, лицево разпознаване, сканиране на ириса и др. Този метод има очевидни предимства.

Пръстовите отпечатъци например са уникални за даден човек, така че не могат лесно да бъдат имитирани или възпроизведени. Освен това технологията е лесна за използване, като се избягва необходимостта от въвеждане на данни, които лесно могат да бъдат забравени.

Но и този метод не е неуязвим. Deepfake технологията може да се използва за създаване на фалшиви версии на лицето или други биометрични данни. А ако една подобна система бъде компрометирана, не можете просто да възстановите биометричните данни, както бихте направили с парола.

2. Поведенческа биометрия

Подобно на биометричната автентификация, поведенческата биометрия разчита на характеристики, които са уникални за дадено лице. Само че този път това е начинът, по който взаимодействате с въпросното приложение или уебсайт – например как движите мишката или пишете на клавиатурата.

Ползите са очевидни – потребителят не трябва да прави нищо специално, което прави този метод изключително удобен. Освен това се намалява опасността от споделяне на удостоверения, тъй като не можете лесно да споделите ритъма си на писане.

Но той може да се окаже скъп за интеграция и има потенциални опасения относно поверителността на данните в случай на пробив.

3. Blockchain за сигурно съхранение на пароли

Blockchain технологията може да осигури изключително сигурен метод за защита на данните. Тя осигурява защитен метод за разпространение на данни в децентрализирана мрежа. Въпреки това остават въпроси относно възможните разходи за съхраняване на пароли в Blockchain мрежи като Bitcoin или Ethereum.

4. Zero-knowledge proof (ZKP) технология

ZKP доказва истинността на математическо твърдение, без да разкрива допълнителна информация, „която може да е била полезна при намирането му“, отбелязва NIST. Това е криптографски метод, който доказва, че знаете паролата си, без да е необходимо действително да въвеждате данните си. С други думи, можете да докажете кой сте, без да се налага да споделяте лична информация.

Но и този метод има своите предизвикателства. Те включват ресурсните изисквания за обработка на заявките и потенциални проблеми, свързани със сложността.

5. Passphrases

Друга алтернатива на традиционните пароли е използването на Passphrases. За разлика от стандартните пароли, те се състоят от няколко свързани думи. Това създава по-дълъг, но по-лесно запомнящ се метод за удостоверяване.

Например, парола като „PurpleBananaSunsetDancer!“ се запомня по-лесно от произволен низ от букви и цифри, като същевременно осигурява силна защита благодарение на дължината си.

Passphrases са особено ефективни срещу Brute force атаки, тъй като дължината им увеличава експоненциално броя на възможните комбинации. Те обаче продължават да разчитат на входни данни, генерирани от потребителя. Това означава, че могат да бъдат уязвими, ако се използват общи фрази или предсказуеми модели на думи.

6. Passkey

Passkey е устойчива на фишинг алтернатива на паролите, която набира популярност през последните няколко години. Тя използва криптография с публични ключове за удостоверяване на потребителите. Обикновено ключът е свързан с устройство, например телефон или компютър, и може да бъде отключен с помощта на биометрични данни или ПИН код.

Passkey е устойчива на credential stuffing и фишинг атаки. Частният ключ, използван за удостоверяване, се съхранява на сигурно място в устройствата на потребителите и никога не се споделя с уебсайтове и не се предава по интернет. В резултат на това няма креденшъли, които могат да бъдат откраднати при фишинг атаки или пробиви в данните.

Технологията вече се поддържа широко от всички основни платформи, включително Google, Apple и Microsoft.

7. Security keys

Security keys са физически устройства, обикновено USB, NFC или Bluetooth, които най-често се използват за MFA. След като въведат парола, потребителите активират ключа за сигурност или въвеждат ПИН код, за да потвърдят самоличността си.

Security keys са устойчиви на атаки, тъй като изискват не само достъп до физическото устройство, но и до биометричните данни и ПИН.

Най-доброто от двата свята

Много от тези подходи са на разположение от известно време. Въпреки това паролите остават в основата на онлайн сигурността.

Това е така, защото:

• концепцията е утвърдена от десетилетия и е лесна за разбиране от всички;
• можете лесно да промените паролата си, ако се налага;
• паролите са или верни, или грешни – нищо повече, нищо по-малко;

Оптималният подход не е да избирате между пароли и някоя друга форма на автентификация. Вместо това трябва да се възползвате от предимствата на новите технологии, като същевременно запазите удобствата на сегашните.

Докладът 2023 Threat Horizons на Google Cloud установява, че 86% от пробивите в киберсигурността  включват откраднати идентификационни данни. Впоследствие голяма част от тях се продават в dark web и се превръщат в инструмент за още и още киберпрестъпления. 

Тази статистика още веднъж напомня за ролята, която играят паролите, за високите нива на киберсигурност на потребители и организации. Те трябва да са възможно най-сигурни и трудни за пробиване.  

Ето на какви условия трябва да отговарят, според американските National Institute of Standards and Technology (NIST) и Cybersecurity & Infrastructure Security Agency (CISA):

Уверете се, че всичките ви пароли са достатъчно силни

Според NIST една парола е силна, когато е достатъчно дълга – минимум 15 символа. 64 символа е разумната максимална дължина. Тази поредица трябва да е случайна, със смесица от главни и малки букви, цифри и символи. Също така паролата не трябва да включва части от вашето име или името на услугата, която отключва. 

Експертите от NIST твърдят, че последните анализи на разбити бази данни с пароли показват, че наличието на по-дълга парола е много по-важно от опитите тя да бъде сложна.

Използвайте мениджър на пароли

Средностатистическият потребител има десетки пароли. Никой обаче не може да запомни дори шепа дълги, случайни и уникални такива. Нито пък се налага! Просто инсталирайте мениджър на пароли на всяко устройство. 

Тези софтуери незабавно създават наистина случайни пароли, запазват ги в криптирана база данни и синхронизират всичко на няколко устройства. 

И най-важното – те знаят кои домейни са свързани със запазения набор от идентификационни данни и няма да ги въведат в такъв, който не е оторизиран. 

Никога не използвайте повторно парола

Естествен човешки инстинкт е да имате любим набор от идентификационни данни, които да използвате многократно в различни сайтове. Това улеснява запомнянето, но също така гарантира, че нарушаването на сигурността в един сайт ще даде на нападателите достъп и до други ваши профили. 

Имайте предвид, че просто добавяне на възклицателен знак или число в края на старата парола не се счита за създаване на нова.  

Променете паролите по подразбиране

Един от най-обичайните начини за проникване в домашна или бизнес мрежа е през уязвимости в интерфейса за управление на някое устройство. Това може да бъде Wi-Fi рутер с неговата парола по подразбиране, която често е проста. IP-базираните камери и умните звънци за врати, които се инсталират като част от системата за домашна сигурност, също са възможни входни точки. 

Ако имате подобни свързани устройства в дома си, задължително заменете паролите по подразбиране с по-сигурни. 

Използвайте многофакторно удостоверяване, когато е възможно

Без значение колко силни са паролите ви и колко внимателно се опитвате да ги защитите от компрометиране, това се случва.  

Затова най-ефективната защита е да се гарантира, че никой не може да влезе в акаунтите ви от ново устройство, освен ако не може да предостави втора форма на идентификация. Затова използвайте многофакторно удостоверяване навсякъде, където това е възможно. Особено в услуги с висока стойност като електронна поща, социални медии и банкови сметки. 

Не променяйте паролите си, освен ако не се налага

Експертите са обединени, че постоянната смяна на паролите не е необходима. Всъщност организациите, които изискват от потребителите да променят паролата си без причина, правят мрежите си по-малко сигурни. Тази принуда кара хората в един момент да започнат да избират слаби, лесни за отгатване пароли. Ако сте си свършили добре работата по избора на силна и уникална парола, не е необходимо да я променяте при нормални обстоятелства. 

Забравете съчинените от служителите ви пароли. Използвайте специализирани софтуери, с които да генерирате произволни низове от букви, цифри и специални символи. Това е основното заключение от годишното проучване 2020 Under the Hoodie Report: Lessons Learned from a Year of Penetration Tests на Rapid7.

В него, компанията е анализирала наученото от над 200 проведени пен теста и споделя опита си.

Данните на Rapid7 показват, че каквато и да е съчинена от човек парола, има драстично по-голям шанс да бъде разбита. Например, ако използвате част от името на компанията, за която работите, има 33.7% шанс тази парола да бъде компрометирана:

„SQL инжекции, buffer overflowing – всичко това е много интересно. Практиката ни показва, че почти във всеки успешен пробив участва разбиването на някаква форма на парола. Затова, и вероятно най-важният научен урок е, че бизнесите трябва да обърнат специално внимание за начините, по които се генерират“, съхраняват и управляват пароли, пише в проучването.

В края на септември е предвиден и уебинар по темата, за който може да се регистрирате тук.

 

Паролите са в основата на кибер сигурността днес. Тази основа обаче е далече от сигурна, твърдят от SpyCloud в своя Annual Credential Exposure Report, публикуван в края на февруари 2019 г.

Изнесените данни то него са меко казано стряскащи. Статистиката показва, че SpyCloud е усял да събере над 3.5 млрд. пароли от повече от 2 800 публично достъпни бази с източени потребителски данни. Над 90% от тях са били успешно декриптирани – което означава, че в момента компанията разполага с 2.5 млрд. уникални пароли в текстови формат. Според публикуваната информация разбиването на паролите е било… лесно.

Причината: дори и криптирането на паролите може да се окаже недостатъчна защита при източване на лични данни, тъй като кибер престъпниците разполагат с достатъчно софистицирани софтуерни инструменти за декриптирането им.

Без да коментираме, че сложността на самите пароли далеч не е това, което трябва да бъде – защото пароли като “12345”, “password”, “iloveyou” и “qwerty” продължават да оглавяват списъците с най-често използваните.

С други думи, какво трябва да направите, за да се предпазите:

• Налагайте политики. Освен за сложност на самите пароли, и за честотата на смяната им и употребата им (например, не използвайте една и съща парола за различни услуги и сайтове
• Обучавайте служителите си. Научете ги защо е важно да защитават паролите си, да ги сменят регулярно и да спазват хигиена при съхраняването им
• Използвайте дву-факторна автентикация 
• Криптирайте. Използвайте възможно най-сложните алгоритми за криптиране, за да затрудните максимално разбиването на пароли, които евентуално са били източени от системите ви

 

Екип на германския институт Hasso-Plattner Institute(HPI) е открил огромен масив с 25 млрд. записа на имейл адреси и пароли, публикуван в интернет. Масивът е с размер 845 гигабайта и вероятно е най-големият по рода си: поне като обем на данните.

Разделен е на четири отделни файла: Collection#2, Collection#3, Collection#4, Collection#5, Както имената подсказват, той е наследник на Collection#1, който се появи две седмици по-рано. Неговият размер беше далеч по-малък – едва 87 гигабайта и съдържаше 773 млн. имейл адреса.

Прогнозата на HPI е, че от петте колекции с данни за достъп могат да се създадат общо 2.2 млрд. уникални комбинации от имейл адреси и пароли. Все още обаче не е ясно каква част от изтеклите данни са публикувани и преди в интернет, и каква – не. Вероятно някои от данните се дублират многократно или пък са публикувани в мрежата преди години, а сега просто са събрани на едно място.

Дори и това да е така, събраните данни със сигурност представляват един от най-големите масиви с крадени данни за достъп в историята.

Всяка база данни с крадени имейли и пароли е ценна за хакерите, които използват credential stuffing. Това е автоматизирана атака, при която хакерът се опитва да пробие даден акаунт, тествайки произволни комбинации от имейл адрес и парола, докато накрая познае вярната. Колкото повече записи съдържа базата данни, толкова по-голяма е ефективността й при credential stuffing атака.

[box type=“success“ align=“alignleft“ class=““ width=““]

Съвети за потребителите

• Използвайте този инструмент на HPI, за да проверите дали имейл адресът ви се намира в базата данни;
• Използвайте различни пароли за всеки отделен акаунт, който си правите;
• Използвайте двуфакторна автентикация там, където е възможно;
• Използвайте силни, трудни за отгатване пароли;
  [/box]

Замисляли ли сте се колко важни са паролите за вашата дигитална същност? Тези комбинации от символи, букви и числа защитават всички онлайн услуги и устройства, които използвате. Те заключват дигиталния ви портфейл, защитават цялата ви онлайн комуникация, осигуряват неприкосновеност на профилите ви в социалните мрежи и т.н.

Въпреки че са толкова важни, паролите съвсем не са перфектния ключ. Те могат да бъдат разбити – точно като ключалка – и да доведат до кражба на вашите лични данни, важна информация и финансови средства. Много потребители правят разбиването им максимално лесно, избирайки слаби пароли или разчитайки само на една парола за достъп до всички онлайн услуги.

Компанията за информационна сигурност ESET дава пет съвета за разумно използване на пароли, които са лесни за спазване и могат да се превърнат в едно добро новогодишно обещание през 2019 г.

Използвайте фрази

Стандартните пароли са едновременно трудни за запомняне и лесни за отгатване. Ако вместо тях използвате фрази (няколко думи, събрани в една голяма комбинация), това прави паролата лесна за запомняне и трудна за отгатване. Колкото повече думи съдържа вашата фраза, толкова по-добре.

От ESET препоръчват да изберете фраза с поне 7 думи. „Броят на възможните комбинации нараства експоненциално с всяка следваща дума, а това намалява значително вероятността паролата ви да бъде отгатната“, коментират от компанията.

Избягвайте смислени комбинации от думи

Не правете грешката да избирате смислени фрази: например имена на филми, песни, любими цитати и т.н. Такива фрази са по-лесни за отгатване. Вместо това изберете комбинация от случайни думи, която лесно можете да запомните, но няма смисъл за никой друг.

Пример за такава фраза е drain hearings power homes. Със сегашните технологии ще отнеме стотици хиляди години, за да бъде разбита тази парола, според сайта Use A Passphrase.

Можете да направите паролата още по-трудна за разбиване като добавите числа или специални символи. Например: dr@1nhear1ngspowеrhome$

Забравете за многократното използване на една и съща парола

Никога не използвайте една и съща парола за две или повече онлайн услуги. „Ако по някаква причина някой разбере коя парола използвате, той вече разполага с един ключ, който отключва две или повече врати към дигиталната ви идентичност“, коментират от ESET.

Може би си мислите: „Но как някой ще разбере в кои акаунти използвам тази парола?“ По-лесно е, отколкото си мислите. Нарича се credential stuffing: автоматизиран процес, с който хакерите тестват дали някоя хакната вече парола няма да отключи вашия акаунт. И ако този акаунт се отключва със същата парола, която вече е била хакната, това ви оставя без никаква защита.

Разбира се, ако не трябва да използвате една парола повече от веднъж, това означава, че ще трябва да помните ужасно много пароли. От ESET препоръчват използването на мениджър за управление на пароли, който помни всички дигитални ключове вместо вас.

Използвайте двуфакторна автентикация

Двуфакторната автентикация е второ ниво на защита на вашия акаунт след паролата (тя е първото ниво). Дори и някой да знае паролата ви, двуфакторната автентикация го спира да получи достъп до вашата дигитална самоличност.

Много онлайн услуги като Facebook и Google предлагат двуфакторна автентикация, но тя се активира само по желание на потребителя. Можете да избирате между двуфакторна автентикация със SMS (получавате код за автентикация като текстово съобщение на телефона си), с допълнително приложение (приложението генерира кода) или с физически носител (т.нар. тоукън, който обикновено прилича на флашка).

„Малкото допълнително усилие, което правите, за да се впишете в акаунта си с двуфакторна автентикация, се отплаща. Най-малкото защото няма как да станете жертва на престъпник, който знае вашата парола“, посочват от ESET.

Използвайте по-малко пароли

Звучи като противоречие с казаното дотук, но не е така. Важно е да използвате различни пароли за различните онлайн услуги. Но ако сте се регистрирали в онлайн услуги, които вече не използвате, следва да ги деактивирате. Тук говорим за електронна поща, форуми, сайтове за онлайн игри и каквото друго ви хрумне.

Защо ви е да го правите?

„Проблемът е, че всяка такава услуга носи риск. Доставчикът на услугата може да претърпи пробив и паролата ви да се озове в грешните ръце“, коментират от ESET.

Помислете и за закриване на акаунтите, които са обвързани със социалните ви мрежи. Много онлайн услуги(включително и мобилни приложения) дават възможност да ги достъпвате чрез профила си във Facebook или Google.

В повечето случаи деактивирането на онлайн услуга става бързо и с няколко клика. Достатъчно е да влезете в профила си и да посетите настройките за поверителност.