Γίνονται ξεπερασμένα τα ονόματα χρήστη και οι κωδικοί πρόσβασης;

Νέοι κανόνες για την ασφάλεια στον κυβερνοχώρο θα μπορούσαν να αντικαταστήσουν την απλή αναγνώριση ονόματος χρήστη και κωδικού πρόσβασης σε μεγάλο μέρος των τραπεζικών και ασφαλιστικών βιομηχανιών του χρηματοπιστωτικού συστήματος της Αμερικής.

Οι επιλογές για νέους κανονισμούς ασφαλείας περιλαμβάνουν την αποστολή ενός αριθμού επιβεβαίωσης στο κινητό τηλέφωνο ενός ατόμου, τη χρήση δακτυλικού αποτυπώματος ή άλλου βιομετρικού ελέγχου ταυτότητας, τη χρήση ξεχωριστής πηγής αναγνώρισης, όπως μια κάρτα ολίσθησης, ή νέες απαιτήσεις για τρίτους προμηθευτές που έχουν πρόσβαση σε βάσεις δεδομένων ασφαλιστικών εταιρειών . Αυτές οι αλλαγές θα μπορούσαν να αφορούν τους υπαλλήλους, τρίτους προμηθευτές και ενδεχομένως καταναλωτές.

Πρόσφατα, υψηλού προφίλ εισβολές στον κυβερνοχώρο αναφέρθηκαν στην Anthem και την JP Morgan Chase, μια εταιρεία ασφάλισης υγείας και τραπεζικό ίδρυμα αντίστοιχα.

Οι αξιωματούχοι επιβολής του νόμου, που ερευνούν την υπόθεση Anthem, πιστεύουν ότι ξένοι χάκερ χρησιμοποίησαν το όνομα χρήστη και τον κωδικό πρόσβασης ενός στελέχους για να αποκτήσουν πρόσβαση στα προσωπικά δεδομένα 80 εκατομμυρίων πελατών, συμπεριλαμβανομένων ονομάτων, διευθύνσεων και αριθμών κοινωνικής ασφάλισης. Αξιωματούχοι, που αναφέρονται σε TIME, υποδηλώνουν ότι η κλοπή «θα μπορούσε να είχε αποφευχθεί εάν η εταιρεία είχε υιοθετήσει πιο σκληρές μεθόδους για την επαλήθευση της ταυτότητας όσων προσπαθούσαν να αποκτήσουν πρόσβαση στα συστήματά της».

Στην πρόσφατη παραβίαση της JP Morgan Chase, τα αρχεία 76 εκατομμυρίων νοικοκυριών και επτά εκατομμυρίων επιχειρήσεων παραβιάστηκαν. Ένα άλλο περιστατικό με μεγάλη δημοσιότητα συνέβη στο κατάστημα λιανικής Target, η παραβίαση του οποίου επηρέασε 110 εκατομμύρια κατόχους καρτών.

Η ανακοίνωση νέων κανόνων κυβερνοασφάλειας έρχεται μετά την Πολιτεία της Νέας Υόρκης Τμήμα Χρηματοοικονομικών Υπηρεσιών (DFS) διεξήγαγε μια μελέτη για την ασφάλεια στον κυβερνοχώρο σε 43 ρυθμιζόμενες ασφαλιστικές εταιρείες.

Η DFS κατέληξε στο συμπέρασμα ότι «αν και μπορεί να αναμένεται ότι οι μεγαλύτερες ασφαλιστικές εταιρείες θα έχουν την πιο ισχυρή και εξελιγμένη άμυνα στον κυβερνοχώρο», η μελέτη κατέληξε στο συμπέρασμα ότι αυτό δεν ισχύει απαραίτητα. Τα ευρήματα αντικατοπτρίζουν την υπερβολική εμπιστοσύνη μεταξύ των στελεχών του ασφαλιστικού κλάδου, με το 95 τοις εκατό των εταιρειών που συμμετείχαν στην έρευνα να πιστεύουν ότι «έχουν επαρκή επίπεδα στελέχωσης για την ασφάλεια των πληροφοριών». Επιπλέον, η μελέτη DFS ισχυρίζεται ότι μόνο το 14 τοις εκατό των διευθυντικών στελεχών λαμβάνουν μηνιαίες ενημερώσεις σχετικά με την ασφάλεια των πληροφοριών.

Σύμφωνα με τον Benjamin Lawsky, τον επιθεωρητή του DFS, υπάρχει «ένα τεράστιο δυνητικό ευπάθεια εδώ» και ότι «το σύστημα κωδικών πρόσβασης θα έπρεπε να είχε θαφτεί εδώ και πολύ καιρό». Ο ίδιος και το DFS συνιστούν ότι «οι ρυθμιστικές αρχές και οι εταιρείες του ιδιωτικού τομέα πρέπει να διπλασιάσουν τις προσπάθειές τους και να κινηθούν επιθετικά για να βοηθήσουν στη διαφύλαξη των δεδομένων των καταναλωτών». Επιπλέον, «οι πρόσφατες παραβιάσεις της ασφάλειας στον κυβερνοχώρο θα πρέπει να χρησιμεύσουν ως αυστηρή κλήση αφύπνισης για τους ασφαλιστές και άλλα χρηματοπιστωτικά ιδρύματα να ενισχύσουν την άμυνά τους στον κυβερνοχώρο».

Η πλήρης έκθεση, βρέθηκε εδώ, τονίζει ότι «ενώ πολλές μεγάλες ασφαλιστικές εταιρείες υγείας, ζωής και περιουσίας διαθέτουν ισχυρές άμυνες στον κυβερνοχώρο, συμπεριλαμβανομένης της κρυπτογράφησης για μεταφορά δεδομένων, τείχη προστασίας και λογισμικό προστασίας από ιούς, πολλοί εξακολουθούν να βασίζονται σε σχετικά αδύναμες μεθόδους επαλήθευσης για υπαλλήλους και καταναλωτές και έχουν χαλαρούς ελέγχους σε τρίτους προμηθευτές που έχουν πρόσβαση στα συστήματά τους και στα προσωπικά δεδομένα που περιέχονται εκεί».

Στα τέλη του περασμένου έτους, μια ανασκόπηση του τραπεζικός τομέας βρήκε παρόμοια αποτελέσματα.

Ο Αμερικανός τραπεζίτης εκθέσεις ότι «οι περισσότερες από τις παραβιάσεις ασφαλείας που συμβαίνουν σήμερα στον τραπεζικό τομέα χρησιμοποιούν διαπιστευτήρια σε κίνδυνο. [Το 2014,] περισσότερα από 900 εκατομμύρια αρχεία καταναλωτών έχουν κλαπεί μόνο, σύμφωνα με την ασφάλεια βάσει κινδύνου. Το 66.3% περιελάμβανε κωδικούς πρόσβασης και το 56.9% περιλάμβανε ονόματα χρήστη.”

Πώς θα επηρεαστούν οι καταναλωτές;

Η ανεπάρκεια των ονομάτων χρήστη και των κωδικών πρόσβασης δεν είναι νέα. Οι συζητήσεις εκτείνονται για περισσότερο από μια δεκαετία τώρα. ο Ομοσπονδιακό Εξεταστικό Συμβούλιο Χρηματοπιστωτικών Ιδρυμάτων, το 2005, αναγνώρισε ότι «τα απλά συστήματα ονομάτων χρήστη και κωδικού πρόσβασης ήταν ανεπαρκή για συναλλαγές που περιλαμβάνουν πρόσβαση σε πληροφορίες πελατών ή κινήσεις κεφαλαίων σε άλλα μέρη». Δεν συνιστώνται ούτε έγιναν αυστηρότερες μετρήσεις.

Τραπεζικές και ασφαλιστικές ευπάθειες στον κυβερνοχώρο ανησυχούν όχι μόνο τις ίδιες τις εταιρείες αλλά και τα άτομα.

Νέες τεχνικές hacking εμφανίζονται με ανησυχητικό ρυθμό, καθιστώντας πολύ πιο εύκολη τώρα την πρόσβαση στα ονόματα χρήστη και τους κωδικούς πρόσβασης.

Οι εγκληματίες του κυβερνοχώρου μπορούν εύκολα να κλέψουν ταυτότητες μέσω μεθόδων όπως το «honey potting», όπου τα άτομα πληκτρολογούν το όνομα χρήστη και τον κωδικό πρόσβασής τους σε ιστότοπους που ισχυρίζονται ότι ελέγχουν εάν το όνομά τους έχει παραβιαστεί—«διανέμοντας μηνύματα ηλεκτρονικού ψαρέματος με το πρόσχημα της προσφοράς βοήθειας».

Οι χρήστες του Gmail τον Σεπτέμβριο του 2014 υπέστησαν ένα τέτοιο περιστατικό. Σύμφωνα με την International Times Business, 5 εκατομμύρια ονόματα χρήστη και κωδικοί πρόσβασης του Gmail δημοσιεύτηκαν σε ένα ρωσικό φόρουμ bit coin. περίπου το 60 τοις εκατό ήταν ενεργοί λογαριασμοί. Λίγο πριν, 4.6 εκατομμύρια λογαριασμοί Mail.ru και 1.25 εκατομμύρια λογαριασμοί email Yandex είχαν επίσης πρόσβαση παράνομα.

Οι λογαριασμοί παιχνιδιών, επιπλέον, είναι επιρρεπείς σε χάκερ. Τον Ιανουάριο, Ονόματα χρήστη και κωδικοί πρόσβασης λογαριασμού Mine craft διέρρευσαν στο διαδίκτυο.

Τέτοιες περιπτώσεις απλώς διαφωτίζουν το ήδη γνωστό γεγονός ότι το hacking χτυπά πιο κοντά στο σπίτι — ενδεχομένως δικός μας σπίτια. Ο πραγματικός κίνδυνος, όπως Τα Νέα του Χάκερ επισημαίνει, είναι εκείνοι οι «επηρεασμένοι χρήστες που χρησιμοποιούν τον ίδιο συνδυασμό ονόματος χρήστη και κωδικού πρόσβασης για πολλές διαδικτυακές υπηρεσίες, όπως ιστότοπους αγορών, τραπεζικές υπηρεσίες, υπηρεσίες email και οποιαδήποτε κοινωνική δικτύωση». Πολλές φορές, τα ονόματα χρήστη και οι κωδικοί πρόσβασης είναι συνεπή σε όλες τις διαδικτυακές υπηρεσίες.