Імёны карыстальнікаў і паролі састарэлі?

Новыя правілы кібербяспекі могуць замяніць простую ідэнтыфікацыю імя карыстальніка і пароля ў большасці банкаўскіх і страхавых галін фінансавай сістэмы Амерыкі.

Варыянты новых правілаў бяспекі ўключаюць адпраўку нумара пацверджання на мабільны тэлефон чалавека, выкарыстанне адбітка пальца або іншай біяметрычнай аўтэнтыфікацыі, выкарыстанне асобнай крыніцы ідэнтыфікацыі, напрыклад карткі, або новыя патрабаванні да старонніх пастаўшчыкоў, якія маюць доступ да баз дадзеных страхавых кампаній . Гэтыя змены могуць датычыцца супрацоўнікаў, старонніх пастаўшчыкоў і, магчыма, спажыўцоў.

Нядаўна былі зарэгістраваныя гучныя кібер-ўварванні ў Anthem і JP Morgan Chase, медыцынскую страхавую кампанію і банкаўскую ўстанову адпаведна.

Супрацоўнікі праваахоўных органаў, якія расследуюць справу Anthem, мяркуюць, што замежныя хакеры выкарыстоўвалі імя карыстальніка і пароль кіраўніка для доступу да асабістых дадзеных 80 мільёнаў кліентаў, уключаючы імёны, адрасы і нумары сацыяльнага страхавання. Службовыя асобы, падпарадкаваныя в ЧАС, мяркуюць, што крадзеж «можна было б прадухіліць, калі б кампанія прыняла больш жорсткія метады праверкі асобы тых, хто спрабуе атрымаць доступ да яе сістэм».

У нядаўнім узломе ў JP Morgan Chase былі скампраметаваныя запісы 76 мільёнаў хатніх гаспадарак і сямі мільёнаў прадпрыемстваў. Яшчэ адзін шырока разрэкламаваны інцыдэнт адбыўся ў рытэйлеры Target, парушэнне якога закранула 110 мільёнаў уладальнікаў картак.

Абвяшчэнне новых правілаў кібербяспекі адбылося пасля штата Нью-Ёрк Дэпартамент фінансавых паслуг (DFS) правялі даследаванне кібербяспекі 43 рэгуляваных страхавых кампаній.

DFS прыйшоў да высновы, што «хаця можна чакаць, што буйныя страхавыя кампаніі будуць мець найбольш надзейную і складаную кіберабарону», даследаванне прыйшло да высновы, што гэта не абавязкова так. Атрыманыя дадзеныя паказваюць на залішнюю ўпэўненасць чыноўнікаў страхавой галіны: 95 працэнтаў апытаных кампаній лічаць, што "ў іх ёсць дастатковы ўзровень персаналу для забеспячэння інфармацыйнай бяспекі". Больш за тое, у даследаванні DFS сцвярджаецца, што толькі 14 працэнтаў кіраўнікоў атрымліваюць штомесячныя брыфінгі па інфармацыйнай бяспецы.

Па словах Бенджаміна Лаўскі, кіраўніка DFS, тут «вялікая патэнцыйная ўразлівасць» і што «сістэму пароляў трэба было даўно пахаваць». Ён і DFS рэкамендуюць «рэгулятарам і кампаніям прыватнага сектара падвоіць намаганні і дзейнічаць агрэсіўна, каб дапамагчы абараніць даныя спажыўцоў». Акрамя таго, «нядаўнія парушэнні кібербяспекі павінны паслужыць строгім трывожным сігналам для страхоўшчыкаў і іншых фінансавых устаноў, каб узмацніць сваю кіберабарону».

Поўны справаздачу знойдзены тут, падкрэслівае, што «хаця многія буйныя страхавальнікі здароўя, жыцця і маёмасці могуць пахваліцца надзейнай кіберабаронай, уключаючы шыфраванне для перадачы даных, міжсеткавыя экраны і антывіруснае праграмнае забеспячэнне, многія па-ранейшаму спадзяюцца на адносна слабыя метады праверкі для супрацоўнікаў і спажыўцоў і маюць слабы кантроль над староннімі пастаўшчыкамі, якія маюць доступ да іх сістэм і асабістых дадзеных, якія там змяшчаюцца».

У канцы мінулага года агляд ст банкаўскі сектар знайшлі падобныя вынікі.

Амерыканскі банкір справаздачы што «большасць парушэнняў бяспекі, якія адбываюцца сёння ў банкаўскай сферы, выкарыстоўваюць скампраметаваныя ўліковыя дадзеныя. [У 2014] больш за 900 мільёнаў спажывецкіх запісаў былі выкрадзеныя толькі ў адпаведнасці з рызыкамі бяспекі; 66.3% уключалі паролі і 56.9% уключалі імёны карыстальнікаў».

Як гэта паўплывае на спажыўцоў?

Неадэкватнасць імёнаў карыстальнікаў і пароляў не новая; спрэчкі цягнуцца ўжо больш за дзесяць гадоў. The Савет па экзаменах федэральных фінансавых устаноў, у 2005 годзе, прызнаў, што «простыя сістэмы імя карыстальніка і пароля былі недастатковымі для транзакцый, звязаных з доступам да інфармацыі аб кліенце або перамяшчэннем сродкаў іншым асобам». Больш жорсткія вымярэнні не рэкамендаваліся і не праводзіліся.

Кіберуразлівасці банкаў і страхавання выклікаюць заклапочанасць не толькі ў саміх кампаній, але і ў прыватных асоб.

Новыя метады ўзлому з'яўляюцца з пагрозлівай хуткасцю, значна палягчаючы доступ да імёнаў карыстальнікаў і пароляў.

Кіберзлачынцы могуць лёгка выкрасці ідэнтыфікацыйныя дадзеныя з дапамогай такіх метадаў, як "заліванне мёду", пры якім людзі будуць уводзіць сваё імя карыстальніка і пароль на вэб-сайтах, сцвярджаючы, што правяраюць, ці не было іх імя скампраметавана - "распаўсюд фішынгавых паведамленняў пад выглядам прапановы дапамогі",

З такім інцыдэнтам сутыкнуліся карыстальнікі Gmail яшчэ ў верасні 2014 года. У адпаведнасці з Міжнародны Бізнес таймс, 5 мільёнаў імёнаў карыстальнікаў і пароляў Gmail былі апублікаваныя на расійскім форуме біткойнаў; прыкладна 60 працэнтаў былі актыўнымі акаўнтамі. Незадоўга да гэтага таксама быў незаконны доступ да 4.6 млн акаўнтаў Mail.ru і 1.25 млн акаўнтаў электроннай пошты Яндэкса.

Гульнявыя акаўнты, акрамя таго, успрымальныя да хакераў. У студзені г. Імёны карыстальнікаў і паролі ўліковых запісаў Mine craft пратачыліся ў сетку.

Такія выпадкі проста асвятляюць ужо вядомы факт, што хакерскія хіты бліжэй да дома - патэнцыйна нашы дамоў. Рэальная небяспека, як Hacker News адзначае, што «пацярпелі карыстальнікі, якія выкарыстоўваюць адну і тую ж камбінацыю імя карыстальніка і пароля для многіх інтэрнэт-сэрвісаў, такіх як сайты пакупак, банкінг, служба электроннай пошты і любыя сацыяльныя сеткі». Часцей за ўсё імёны карыстальнікаў і паролі аднолькавыя ва ўсіх інтэрнэт-сэрвісах.