A yw enwau defnyddwyr a chyfrineiriau yn dod yn anarferedig?
A yw enwau defnyddwyr a chyfrineiriau yn dod yn anarferedig?
Gallai rheolau seiberddiogelwch newydd ddisodli'r adnabyddiaeth syml o enw defnyddiwr a chyfrinair mewn llawer o ddiwydiannau bancio ac yswiriant system ariannol America.
Mae opsiynau ar gyfer rheoliadau diogelwch newydd yn cynnwys anfon rhif cadarnhau i ffôn symudol unigolyn, defnyddio olion bysedd neu ddilysiad biometrig arall, defnyddio ffynhonnell adnabod ar wahân, fel cerdyn sweip, neu ofynion newydd ar gyfer gwerthwyr trydydd parti sydd â mynediad i gronfeydd data cwmni yswiriant. . Gallai'r newidiadau hyn fod ar gyfer gweithwyr, gwerthwyr trydydd parti, ac o bosibl defnyddwyr hefyd.
Yn ddiweddar, adroddwyd am seiber-ymyriadau proffil uchel yn Anthem a JP Morgan Chase, cwmni yswiriant iechyd a sefydliad bancio yn y drefn honno.
Mae swyddogion gorfodi'r gyfraith, sy'n ymchwilio i achos Anthem, yn credu bod hacwyr tramor wedi defnyddio enw defnyddiwr a chyfrinair gweithrediaeth i gael mynediad at ddata personol 80 miliwn o gwsmeriaid, gan gynnwys enwau, cyfeiriadau, a rhifau Nawdd Cymdeithasol. Swyddogion, yn adrodd i AMSER, yn awgrymu y gellid bod wedi osgoi’r lladrad “pe bai’r cwmni wedi cofleidio dulliau llymach o wirio hunaniaeth y rhai sy’n ceisio cyrchu ei systemau.”
Yn y toriad diweddar yn JP Morgan Chasethe cafodd cofnodion 76 miliwn o gartrefi a saith miliwn o fusnesau eu peryglu. Digwyddodd digwyddiad arall a gafodd lawer o gyhoeddusrwydd yn y manwerthwr Target, yr effeithiodd ei dorri ar 110 miliwn o ddeiliaid cardiau.
Daw'r cyhoeddiad am reolau seiberddiogelwch newydd ar ôl Talaith Efrog Newydd Adran Gwasanaethau Ariannol (DFS) astudiaeth ar seiberddiogelwch 43 o gwmnïau yswiriant rheoledig.
Daeth y DFS i’r casgliad “er y gellir disgwyl y byddai gan yr yswirwyr mwy o faint yr amddiffyniadau seiber mwyaf cadarn a soffistigedig,” daeth yr astudiaeth i’r casgliad nad yw hynny’n wir o reidrwydd. Mae’r canfyddiadau’n adlewyrchu gor-hyder ymhlith swyddogion y diwydiant yswiriant, gyda 95 y cant o’r cwmnïau a arolygwyd yn credu “bod ganddyn nhw lefelau staffio digonol ar gyfer diogelwch gwybodaeth.” At hynny, mae astudiaeth y DFS yn honni mai dim ond 14 y cant o brif weithredwyr sy'n cael sesiynau briffio misol ar ddiogelwch gwybodaeth.
Yn ôl Benjamin Lawsky, uwch-arolygydd yr DFS, mae “gwendid posib enfawr yma” ac y “dylai’r system cyfrinair fod wedi’i chladdu amser maith yn ôl.” Mae ef a’r DFS yn argymell “bod yn rhaid i reoleiddwyr a chwmnïau’r sector preifat ddyblu eu hymdrechion a symud yn ymosodol i helpu i ddiogelu data defnyddwyr.” Yn ogystal, “dylai toriadau diweddar i seiberddiogelwch fod yn alwad chwyrn i yswirwyr a sefydliadau ariannol eraill gryfhau eu hamddiffynfeydd seiber.”
Yr adroddiad llawn, canfuwyd yma, yn pwysleisio “er bod llawer o yswirwyr iechyd, bywyd ac eiddo mawr yn meddu ar amddiffynfeydd seiber cadarn, gan gynnwys amgryptio ar gyfer trosglwyddo data, waliau tân, a meddalwedd gwrth-firws, mae llawer yn dal i ddibynnu ar ddulliau gwirio cymharol wan ar gyfer gweithwyr a defnyddwyr, ac mae ganddynt reolaethau llac. dros werthwyr trydydd parti sydd â mynediad i'w systemau a'r data personol a gynhwysir yno”.
Diwedd y llynedd, cafwyd adolygiad o'r sector bancio dod o hyd i ganlyniadau tebyg.
Banciwr America adroddiadau bod “y rhan fwyaf o'r toriadau diogelwch sy'n digwydd mewn bancio heddiw yn defnyddio tystlythyrau dan fygythiad. [Yn 2014,] mae mwy na 900 miliwn o gofnodion defnyddwyr wedi'u dwyn yn unig, yn ôl Diogelwch Seiliedig ar Risg; Roedd 66.3% yn cynnwys cyfrineiriau a 56.9% yn cynnwys enwau defnyddwyr.”
Sut bydd defnyddwyr yn cael eu heffeithio?
Nid yw annigonolrwydd enwau defnyddwyr a chyfrineiriau yn newydd; mae dadleuon wedi ymestyn ers dros ddegawd bellach. Mae'r Cyngor Archwilio Sefydliadau Ariannol Ffederal, yn 2005, yn cydnabod bod “systemau enw defnyddiwr a chyfrinair syml yn annigonol ar gyfer trafodion yn ymwneud â mynediad at wybodaeth cwsmeriaid neu symud arian i bartïon eraill.” Ni chafodd mesuriadau llymach eu hargymell na'u gwneud.
Mae gwendidau seiber bancio ac yswiriant yn bryder nid yn unig i'r cwmnïau eu hunain ond i unigolion hefyd.
Mae technegau hacio newydd yn dod i'r amlwg ar raddfa frawychus, gan ei gwneud yn llawer haws nawr i gael mynediad at enwau defnyddwyr a chyfrineiriau.
Gall seiberdroseddwyr ddwyn hunaniaeth yn hawdd trwy ddulliau fel “potio mêl,” lle bydd unigolion yn teipio eu henw defnyddiwr a’u cyfrinair i wefannau gan honni eu bod yn gwirio a yw eu henw wedi’i beryglu— “dosbarthu negeseuon gwe-rwydo dan gochl cynnig cymorth,”
Dioddefodd defnyddwyr Gmail yn ôl ym mis Medi 2014 ddigwyddiad o'r fath. Yn ôl y Amseroedd Busnes Rhyngwladol, Postiwyd 5 miliwn o enwau defnyddwyr a chyfrineiriau Gmail ar fforwm darnau arian Rwsiaidd; roedd tua 60 y cant yn gyfrifon gweithredol. Yn fuan cyn hynny, cyrchwyd 4.6 miliwn o gyfrifon Mail.ru a 1.25 miliwn o gyfrifon e-bost Yandex yn anghyfreithlon hefyd.
Mae cyfrifon gêm, yn ogystal, yn agored i hacwyr. Ym mis Ionawr, Enwau defnyddwyr a chyfrineiriau cyfrif crefft mwynglawdd eu gollwng ar-lein.
Nid yw achosion o'r fath ond yn tynnu sylw at y ffaith hysbys bod hacio'n taro'n agosach at adref - o bosibl ein cartrefi. Y perygl gwirioneddol, fel Y Newyddion Hacio yn nodi, yw’r “defnyddwyr yr effeithir arnynt sy’n defnyddio’r un cyfuniad o enw defnyddiwr a chyfrinair ar gyfer llawer o wasanaethau ar-lein, fel gwefannau siopa, bancio, gwasanaeth e-bost, ac unrhyw rwydweithio cymdeithasol.” Mwy o weithiau na pheidio, mae enwau defnyddwyr a chyfrineiriau yn gyson ar draws gwasanaethau ar-lein.
