Ovatko käyttäjätunnukset ja salasanat vanhentumassa?

Uudet kyberturvallisuussäännöt voisivat korvata yksinkertaisen käyttäjätunnuksen ja salasanan tunnistamisen suuressa osassa Amerikan rahoitusjärjestelmän pankki- ja vakuutusalaa.

Uusien turvamääräysten vaihtoehtoja ovat vahvistusnumeron lähettäminen henkilön matkapuhelimeen, sormenjäljen tai muun biometrisen todennuksen käyttäminen, erillisen tunnistuslähteen, kuten pyyhkäisykortin, käyttö tai uudet vaatimukset kolmansille osapuolille, joilla on pääsy vakuutusyhtiöiden tietokantoihin. . Nämä muutokset voivat koskea työntekijöitä, kolmansia osapuolia ja mahdollisesti myös kuluttajia.

Äskettäin korkean profiilin kybermurroista raportoitiin Anthemissa ja JP Morgan Chase, sairausvakuutusyhtiö ja pankkilaitos.

Anthem-tapausta tutkivat lainvalvontaviranomaiset uskovat, että ulkomaalaiset hakkerit käyttivät johtajan käyttäjätunnusta ja salasanaa päästäkseen käsiksi 80 miljoonan asiakkaan henkilötietoihin, mukaan lukien nimet, osoitteet ja sosiaaliturvatunnukset. Virkamiehet, raportoivat AIKA, viittaavat siihen, että varkaus "olisi voitu estää, jos yritys olisi omaksunut tiukempia menetelmiä järjestelmiinsä pääsyä yrittävien henkilöllisyyden todentamiseksi".

JP Morgan Chasethen äskettäisessä rikkomisessa vaarantui 76 miljoonan kotitalouden ja seitsemän miljoonan yrityksen tiedot. Toinen paljon julkisuutta saanut tapaus sattui jälleenmyyjä Targetissa, jonka rikkomus koski 110 miljoonaa kortinhaltijaa.

Ilmoitus uusista kyberturvallisuussäännöistä tulee New Yorkin osavaltion jälkeen Rahoituspalveluiden laitos (DFS) teki selvityksen kyberturvallisuudesta 43 säännellyssä vakuutusyhtiössä.

DFS päätteli, että "vaikka on odotettavissa, että suurilla vakuutusyhtiöillä olisi vahvimmat ja kehittyneimmät kyberpuolustusjärjestelmät", tutkimuksessa todettiin, että näin ei välttämättä ole. Havainnot heijastavat vakuutusalan viranomaisten yliluottamusta, sillä 95 prosenttia kyselyyn vastanneista yrityksistä uskoi, että "heillä on riittävä henkilöstömäärä tietoturvaan". Lisäksi DFS-tutkimuksen mukaan vain 14 prosenttia johtajista saa kuukausittain tiedotustilaisuuksia tietoturvasta.

DFS:n päällikön Benjamin Lawskyn mukaan tässä on "valtava mahdollinen haavoittuvuus" ja "salasanajärjestelmä olisi pitänyt haudata kauan sitten". Hän ja DFS suosittelevat, että "sääntelyviranomaisten ja yksityisen sektorin yritysten on sekä kaksinkertaistettava ponnistelunsa että toimittava aggressiivisesti auttaakseen suojaamaan kuluttajatietoja." Lisäksi "äskettäisten kyberturvaloukkausten pitäisi toimia ankarana herätyksenä vakuutusyhtiöille ja muille rahoituslaitoksille vahvistamaan kyberpuolustustaan".

Koko raportti löytyi tätä, korostaa, että "vaikka monet suuret sairaus-, henki- ja omaisuusvakuutuksenantajat ylpeilevät vankilla kyberpuolustuksilla, mukaan lukien tiedonsiirron salaus, palomuurit ja virustorjuntaohjelmistot, monet luottavat edelleen suhteellisen heikkoihin työntekijöiden ja kuluttajien varmennusmenetelmiin ja heillä on löyhä valvonta. kolmannen osapuolen toimittajille, joilla on pääsy järjestelmiinsä ja niiden sisältämiin henkilötietoihin."

Viime vuoden lopulla katsaus pankkisektori löysi samanlaisia ​​tuloksia.

Amerikkalainen pankkiiri raportit että "useimmat pankkialalla nykyään tapahtuvat tietoturvaloukkaukset käyttävät vaarantuneita valtuustietoja. Risk Based Securityn mukaan [Vuonna 2014] yli 900 miljoonaa kuluttajatietuetta on varastettu pelkästään; 66.3 % sisälsi salasanat ja 56.9 % käyttäjätunnukset.

Miten se vaikuttaa kuluttajiin?

Käyttäjätunnusten ja salasanojen riittämättömyys ei ole uutta; keskustelut ovat jatkuneet jo yli vuosikymmenen ajan. The Liittovaltion rahoituslaitosten tarkastusneuvosto, vuonna 2005, myönsi, että "yksinkertaiset käyttäjätunnus- ja salasanajärjestelmät eivät olleet riittäviä tapahtumiin, joihin liittyy pääsy asiakastietoihin tai varojen siirtäminen muille osapuolille". Tiukempia mittauksia ei suositeltu tai tehty.

Pankki- ja vakuutusalan kyberhaavoittuvuudet eivät ole vain yritysten itsensä, vaan myös yksityishenkilöiden huolenaihe.

Uusia hakkerointitekniikoita ilmaantuu hälyttävää vauhtia, mikä helpottaa nyt käyttäjätunnusten ja salasanojen käyttöä.

Kyberrikolliset voivat helposti varastaa henkilöllisyytensä esimerkiksi "hunajapotin" avulla, jolloin henkilöt kirjoittavat käyttäjätunnuksensa ja salasanansa verkkosivustoille väittäen tarkistavansa, onko heidän nimensä vaarantunut - "jakaa tietojenkalasteluviestejä avun tarjoamisen varjolla".

Gmailin käyttäjät joutuivat syyskuussa 2014 tällaiseen tapaukseen. Mukaan International Business Times, 5 miljoonaa Gmail-käyttäjätunnusta ja salasanaa lähetettiin venäläiseen bittikolikkofoorumiin; noin 60 prosenttia oli aktiivisia tilejä. Vähän aiemmin myös 4.6 miljoonaan Mail.ru-tiliin ja 1.25 miljoonaan Yandex-sähköpostitiliin päästiin laittomasti.

Pelitilit ovat lisäksi alttiita hakkereille. Tammikuussa, Mine craft -tilin käyttäjätunnukset ja salasanat ovat vuotaneet nettiin.

Tällaiset tapaukset vain valaisevat jo tunnettua tosiasiaa, että hakkerointi osuu lähemmäs kotia - mahdollisesti meidän koteja. Todellinen vaara, kuten Hacker News huomauttaa, ovat ne "käyttäjät, joita asia koskee, jotka käyttävät samaa käyttäjätunnuksen ja salasanan yhdistelmää monissa verkkopalveluissa, kuten ostossivustoissa, pankkipalveluissa, sähköpostipalveluissa ja kaikissa sosiaalisissa verkostoissa". Usein käyttäjätunnukset ja salasanat ovat yhdenmukaisia ​​kaikissa verkkopalveluissa.