Ar naudotojų vardai ir slaptažodžiai pasensta?

Naujos kibernetinio saugumo taisyklės galėtų pakeisti paprastą vartotojo vardo ir slaptažodžio identifikavimą daugelyje Amerikos finansų sistemos bankininkystės ir draudimo pramonės šakų.

Naujų saugumo taisyklių parinktys apima patvirtinimo numerio siuntimą į asmens mobilųjį telefoną, pirštų atspaudų ar kito biometrinio autentifikavimo naudojimą, atskiro identifikavimo šaltinio, pvz., perbraukimo kortelės, naudojimą arba naujus reikalavimus trečiųjų šalių pardavėjams, turintiems prieigą prie draudimo bendrovių duomenų bazių. . Šie pakeitimai gali būti skirti darbuotojams, trečiųjų šalių pardavėjams ir potencialiems vartotojams.

Neseniai buvo pranešta apie didelio atgarsio kibernetinius įsibrovimus atitinkamai sveikatos draudimo bendrovėje Anthem ir JP Morgan Chase.

Teisėsaugos pareigūnai, tirdami Himno bylą, mano, kad užsienio programišiai pasinaudojo vadovo vartotojo vardu ir slaptažodžiu, kad pasiektų 80 milijonų klientų asmeninius duomenis, įskaitant vardus, adresus ir socialinio draudimo numerius. Pareigūnai, atsiskaitę į LAIKAS, teigia, kad vagystės „buvo galima išvengti, jei įmonė būtų taikęsi griežtesnius metodus bandančių pasiekti jos sistemas tapatybei patikrinti“.

Per pastarąjį JP Morgan Chasethe pažeidimą buvo pažeisti 76 milijonai namų ūkių ir septyni milijonai įmonių. Kitas gerai nušviestas incidentas įvyko mažmenininko Target, kurio pažeidimas paveikė 110 mln. kortelių turėtojų.

Naujų kibernetinio saugumo taisyklių paskelbimas paskelbtas po Niujorko valstijos Finansinių paslaugų departamentas (DFS) atliko 43 reguliuojamų draudimo bendrovių kibernetinio saugumo tyrimą.

DFS padarė išvadą, kad „nors galima tikėtis, kad didesni draudikai turės patikimiausią ir sudėtingiausią kibernetinę apsaugą“, tyrime padaryta išvada, kad tai nebūtinai yra. Išvados rodo per didelį draudimo sektoriaus pareigūnų pasitikėjimą, nes 95 procentai apklaustų įmonių mano, kad „jos turi pakankamai darbuotojų informacijos saugumui užtikrinti“. Be to, DFS tyrime teigiama, kad tik 14 procentų vadovų kas mėnesį gauna informacinius pranešimus apie informacijos saugumą.

Pasak Benjamino Lawsky, DFS vadovo, čia yra „didžiulis potencialus pažeidžiamumas“ ir kad „slaptažodžių sistema turėjo būti palaidota jau seniai“. Jis ir DFS rekomenduoja, kad „reguliavimo institucijos ir privataus sektoriaus įmonės turėtų padvigubinti savo pastangas ir imtis agresyvių veiksmų, kad padėtų apsaugoti vartotojų duomenis“. Be to, „pastarieji kibernetinio saugumo pažeidimai turėtų būti kaip griežtas įspėjimas draudikams ir kitoms finansų institucijoms stiprinti savo kibernetinę apsaugą“.

Visas pranešimas, rastas čia, pabrėžia, kad „nors daugelis didelių sveikatos, gyvybės ir turto draudikų gali pasigirti patikima kibernetinė gynyba, įskaitant duomenų perdavimo šifravimą, ugniasienes ir antivirusinę programinę įrangą, daugelis jų vis dar pasikliauja gana silpnais darbuotojų ir vartotojų tikrinimo metodais ir turi nedidelę kontrolę. per trečiųjų šalių pardavėjus, turinčius prieigą prie savo sistemų ir jose esančių asmens duomenų“.

Praėjusių metų pabaigoje pateikta apžvalga apie bankų sektorius rado panašių rezultatų.

Amerikos bankininkas ataskaitos kad „dauguma šiandien bankininkystėje pasitaikančių saugumo pažeidimų naudoja pažeistus kredencialus. [2014 m.] vien tik buvo pavogta daugiau nei 900 mln. vartotojų įrašų, remiantis Risk Based Security; 66.3% įtraukė slaptažodžius ir 56.9% naudotojų vardus.

Kaip bus paveikti vartotojai?

Vartotojo vardų ir slaptažodžių neadekvatumas nėra naujiena; diskusijos tęsiasi jau daugiau nei dešimtmetį. The Federalinė finansų įstaigų egzaminų taryba, 2005 m., pripažino, kad „paprastos vartotojo vardų ir slaptažodžių sistemos buvo netinkamos operacijoms, susijusioms su prieiga prie klientų informacijos arba lėšų pervedimu kitoms šalims“. Griežtesni matavimai nebuvo rekomenduoti arba atlikti.

Bankininkystės ir draudimo kibernetiniai pažeidžiamumai kelia susirūpinimą ne tik pačioms įmonėms, bet ir asmenims.

Nauji įsilaužimo būdai atsiranda nerimą keliančiu greičiu, todėl dabar daug lengviau pasiekti vartotojo vardus ir slaptažodžius.

Kibernetiniai nusikaltėliai gali lengvai pavogti tapatybę naudodami tokius metodus kaip „medaus puokštė“, kai asmenys įveda savo vartotojo vardą ir slaptažodį į svetaines, tvirtindami, kad patikrina, ar jų vardas nebuvo pažeistas, – „platina sukčiavimo pranešimus, prisidengiant pagalbos siūlymu“.

„Gmail“ naudotojai 2014 m. rugsėjį patyrė tokį incidentą. Pagal Tarptautinis verslas Times ", 5 milijonai „Gmail“ naudotojų vardų ir slaptažodžių buvo paskelbti Rusijos bitų monetų forume; maždaug 60 procentų buvo aktyvios sąskaitos. Prieš pat 4.6 mln. „Mail.ru“ paskyrų ir 1.25 mln. „Yandex“ el. pašto paskyrų taip pat buvo nelegaliai prieita.

Be to, žaidimų paskyros yra jautrios įsilaužimams. Sausį, Mine craft paskyros naudotojų vardai ir slaptažodžiai buvo nutekinti internete.

Tokie atvejai tik nušviečia jau žinomą faktą, kad įsilaužimas įvyksta arčiau namų – galbūt mūsų namų. Tikrasis pavojus, kaip "Hacker" naujienos atkreipia dėmesį į tai, kad tai „paveikti vartotojai, kurie naudoja tą patį vartotojo vardo ir slaptažodžio derinį daugeliui internetinių paslaugų, pvz., apsipirkimo svetainių, bankininkystės, el. pašto paslaugų ir bet kokių socialinių tinklų“. Daugeliu atvejų vartotojų vardai ir slaptažodžiai yra vienodi visose internetinėse paslaugose.