Els noms d'usuari i les contrasenyes estan quedant obsolets?

Les noves regles de ciberseguretat podrien substituir la simple identificació de nom d'usuari i contrasenya en bona part de les indústries bancàries i d'assegurances del sistema financer nord-americà.

Les opcions per a les noves regulacions de seguretat inclouen l'enviament d'un número de confirmació al telèfon mòbil d'una persona, l'ús d'una empremta digital o una altra autenticació biomètrica, l'ús d'una font d'identificació independent, com una targeta de desplaçament, o nous requisits per als proveïdors de tercers que tenen accés a les bases de dades de les companyies d'assegurances. . Aquests canvis també podrien ser per a empleats, proveïdors de tercers i potencialment consumidors.

Recentment, es van informar d'intrusions cibernètiques d'alt perfil a Anthem i JP Morgan Chase, una companyia d'assegurances de salut i una institució bancària respectivament.

Les forces de l'ordre, que investiguen el cas Anthem, creuen que els pirates informàtics estrangers van utilitzar el nom d'usuari i la contrasenya d'un executiu per accedir a les dades personals de 80 milions de clients, inclosos els noms, adreces i números de la Seguretat Social. Funcionaris, informant TIME, suggereixen que el robatori "podria haver estat evitat si l'empresa hagués adoptat mètodes més durs per verificar la identitat d'aquells que intenten accedir als seus sistemes".

En la recent violació de JP Morgan Chase, els registres de 76 milions de llars i set milions d'empreses es van veure compromesos. Un altre incident ben divulgat es va produir al minorista Target, l'incompliment del qual va afectar 110 milions de titulars de targetes.

L'anunci de noves normes de ciberseguretat arriba després de l'estat de Nova York Departament de Serveis Financers (DFS) va realitzar un estudi sobre la ciberseguretat de 43 companyies d'assegurances regulades.

El DFS va concloure que "encara que es pot esperar que les asseguradores més grans tinguessin les defenses cibernètiques més robustes i sofisticades", l'estudi va concloure que no és necessàriament així. Les troballes reflecteixen l'excés de confiança entre els funcionaris de la indústria d'assegurances, amb el 95% de les empreses enquestades que creu que "tenen nivells de personal adequats per a la seguretat de la informació". A més, l'estudi DFS al·lega que només el 14% dels directors executius reben sessions informatives mensuals sobre seguretat de la informació.

Segons Benjamin Lawsky, el superintendent del DFS, hi ha "una gran vulnerabilitat potencial aquí" i que "el sistema de contrasenyes hauria d'haver estat enterrat fa molt de temps". Ell i el DFS recomanen que "els reguladors i les empreses del sector privat han de redoblar els seus esforços i actuar de manera agressiva per ajudar a salvaguardar les dades dels consumidors". A més, "les infraccions recents de la ciberseguretat haurien de servir com a crida d'atenció severa per a les asseguradores i altres institucions financeres per reforçar les seves defenses cibernètiques".

L'informe complet, trobat aquí, subratlla que "tot i que moltes grans asseguradores de salut, vida i propietat disposen de ciberdefenses sòlides, inclòs el xifratge per a transferències de dades, tallafocs i programari antivirus, moltes encara confien en mètodes de verificació relativament febles per als empleats i consumidors, i tenen controls laxos. sobre proveïdors de tercers que tenen accés als seus sistemes i a les dades personals que hi conté”.

A finals de l'any passat, una revisió de la sector bancari trobat resultats similars.

El banquer nord-americà informes que “la majoria de les infraccions de seguretat que es produeixen a la banca avui utilitzen credencials compromeses. [El 2014] només s'han robat més de 900 milions de registres de consumidors, segons Risk Based Security; El 66.3% va incloure contrasenyes i el 56.9% va incloure noms d'usuari".

Com es veuran afectats els consumidors?

La inadequació dels noms d'usuari i contrasenyes no és nova; els debats s'estenen des de fa més d'una dècada. El Consell d’examen de les institucions financeres federals, l'any 2005, va reconèixer que "els sistemes simples de nom d'usuari i contrasenya eren inadequats per a les transaccions que implicaven l'accés a la informació dels clients o els moviments de fons a altres parts". No es van recomanar ni es van fer mesures més ajustades.

Les vulnerabilitats cibernètiques bancàries i d'assegurances són una preocupació no només per a les empreses, sinó també per als particulars.

Les noves tècniques de pirateria estan sorgint a un ritme alarmant, cosa que fa que ara sigui molt més fàcil accedir als noms d'usuari i contrasenyes.

Els ciberdelinqüents poden robar identitats fàcilment mitjançant mètodes com el "potting de mel", en què els individus escriuran el seu nom d'usuari i contrasenya als llocs web que afirmen comprovar si el seu nom ha estat compromès: "distribuint missatges de pesca amb l'excusa d'oferir ajuda".

Els usuaris de Gmail el setembre de 2014 van patir aquest incident. D'acord amb la International Business Times, 5 milions de noms d'usuari i contrasenyes de Gmail es van publicar en un fòrum de moneda de bits rus; aproximadament el 60% eren comptes actius. Poc abans, també es va accedir il·legalment a 4.6 milions de comptes de Mail.ru i 1.25 milions de comptes de correu electrònic Yandex.

Els comptes de joc, a més, són susceptibles als pirates informàtics. Al gener, Mine craft comptes de noms d'usuari i contrasenyes es van filtrar en línia.

Aquests casos només il·luminen el fet ja conegut que la pirateria colpeja més a prop de casa, potencialment nostre cases. El perill real, com The Hacker News assenyala, són aquells "usuaris afectats que utilitzen la mateixa combinació de nom d'usuari i contrasenya per a molts serveis en línia, com ara llocs de compres, banca, servei de correu electrònic i qualsevol xarxa social". Moltes vegades, els noms d'usuari i les contrasenyes són coherents als serveis en línia.