Vai lietotājvārdi un paroles kļūst novecojušas?

Jauni kiberdrošības noteikumi varētu aizstāt vienkāršu lietotājvārda un paroles identifikāciju lielākajā daļā Amerikas finanšu sistēmas banku un apdrošināšanas nozaru.

Jauno drošības noteikumu iespējas ietver apstiprinājuma numura nosūtīšanu uz personas mobilo tālruni, pirkstu nospiedumu vai citu biometrisko autentifikāciju, atsevišķa identifikācijas avota, piemēram, velkošās kartes, izmantošanu vai jaunas prasības trešo pušu pārdevējiem, kuriem ir piekļuve apdrošināšanas sabiedrību datubāzēm. . Šīs izmaiņas varētu attiekties arī uz darbiniekiem, trešo pušu pārdevējiem un, iespējams, patērētājiem.

Nesen tika ziņots par augsta līmeņa kiberielaušanos attiecīgi veselības apdrošināšanas sabiedrībā un banku iestādē Anthem un JP Morgan Chase.

Tiesībsargājošās iestādes, izmeklējot Himnas lietu, uzskata, ka ārvalstu hakeri izmantojuši izpildvaras lietotājvārdu un paroli, lai piekļūtu 80 miljonu klientu personas datiem, tostarp vārdiem, adresēm un sociālās apdrošināšanas numuriem. Amatpersonas, ziņojot LAIKS, liecina, ka zādzību "varētu novērst, ja uzņēmums būtu izmantojis stingrākas metodes to personu identitātes pārbaudei, kuri mēģina piekļūt tā sistēmām."

Nesenajā JP Morgan Chasethe pārkāpumā tika apdraudēti 76 miljoni mājsaimniecību un septiņi miljoni uzņēmumu. Vēl viens plaši izplatīts incidents notika pie mazumtirgotāja Target, kura pārkāpums skāra 110 miljonus karšu īpašnieku.

Paziņojums par jauniem kiberdrošības noteikumiem nāk pēc Ņujorkas štata Finanšu pakalpojumu departaments (DFS) veica pētījumu par 43 regulētu apdrošināšanas sabiedrību kiberdrošību.

DFS secināja, ka "lai gan var sagaidīt, ka lielākajiem apdrošinātājiem būs visspēcīgākā un izsmalcinātākā kiberaizsardzība", pētījumā secināts, ka tas ne vienmēr tā ir. Rezultāti atspoguļo apdrošināšanas nozares amatpersonu pārmērīgo uzticēšanos, jo 95% aptaujāto uzņēmumu uzskata, ka "viņiem ir atbilstošs darbinieku skaits informācijas drošībai". Turklāt DFS pētījums apgalvo, ka tikai 14 procenti vadītāju saņem ikmēneša instruktāžas par informācijas drošību.

Pēc Bendžamina Lavska, DFS vadītāja, teiktā, “šeit ir “milzīga potenciāla ievainojamība” un ka “paroļu sistēmai jau sen vajadzēja būt apglabātai”. Viņš un DFS iesaka "regulatoriem un privātā sektora uzņēmumiem gan divkāršot savus centienus, gan agresīvi rīkoties, lai palīdzētu aizsargāt patērētāju datus." Turklāt "nesenajiem kiberdrošības pārkāpumiem vajadzētu būt kā stingra modinātāja aicinājumam apdrošinātājiem un citām finanšu iestādēm stiprināt savu kiberaizsardzību."

Pilns ziņojums, atrasts šeit, uzsver, ka "lai gan daudzi lieli veselības, dzīvības un īpašuma apdrošinātāji lepojas ar spēcīgu kiberaizsardzību, tostarp datu pārsūtīšanas šifrēšanu, ugunsmūri un pretvīrusu programmatūru, daudzi joprojām paļaujas uz salīdzinoši vājām verifikācijas metodēm darbiniekiem un patērētājiem, un tiem ir vāja kontrole. pār trešo pušu piegādātājiem, kuriem ir piekļuve savām sistēmām un tajās esošajiem personas datiem”.

Pagājušā gada beigās, pārskats par banku sektors atrada līdzīgus rezultātus.

Amerikāņu baņķieris ziņojumi ka “lielākā daļa drošības pārkāpumu, kas mūsdienās notiek banku jomā, izmanto apdraudētus akreditācijas datus. [2014. gadā] saskaņā ar Risk Based Security datiem vien ir nozagti vairāk nekā 900 miljoni patērētāju ierakstu; 66.3% iekļāva paroles un 56.9% ietvēra lietotājvārdus.

Kā tiks ietekmēti patērētāji?

Lietotājvārdu un paroļu neatbilstība nav nekas jauns; debates ir ieilgušas vairāk nekā desmit gadus. The Federālā finanšu iestāžu eksaminācijas padome2005. gadā atzina, ka "vienkāršas lietotājvārdu un paroļu sistēmas nebija piemērotas darījumiem, kas saistīti ar piekļuvi klientu informācijai vai naudas līdzekļu pārvietošanu citām pusēm." Stingrāki mērījumi netika ieteikti vai veikti.

Banku un apdrošināšanas kiberneaizsargātība rada bažas ne tikai pašiem uzņēmumiem, bet arī privātpersonām.

Jauni uzlaušanas paņēmieni parādās satraucošā ātrumā, padarot piekļuvi lietotājvārdiem un parolēm daudz vienkāršāk.

Kibernoziedznieki var viegli nozagt identitāti, izmantojot tādas metodes kā “medus potting”, kurās personas ieraksta savu lietotājvārdu un paroli vietnēs, apgalvojot, ka pārbauda, ​​vai viņu vārds nav apdraudēts, — “izplatot pikšķerēšanas ziņojumus, aizsedzot palīdzības piedāvāšanu”.

Gmail lietotāji 2014. gada septembrī cieta no šāda incidenta. Saskaņā ar International Business Times, 5 miljoni Gmail lietotājvārdu un paroļu tika ievietoti Krievijas bitu monētu forumā; aptuveni 60 procenti bija aktīvi konti. Neilgi pirms tam nelikumīgi tika piekļūts arī 4.6 miljoniem Mail.ru kontu un 1.25 miljoniem Yandex e-pasta kontu.

Turklāt spēļu konti ir pakļauti hakeriem. Janvārī, Mine craft kontu lietotājvārdi un paroles tika nopludināti tiešsaistē.

Šādi gadījumi tikai izgaismo jau zināmo faktu, ka uzlaušana, iespējams, notiek tuvāk mājām mūsu mājas. Reālās briesmas, kā Hacker News norāda, ka tie ir “ietekmētie lietotāji, kuri izmanto vienu un to pašu lietotājvārda un paroles kombināciju daudziem tiešsaistes pakalpojumiem, piemēram, iepirkšanās vietnēm, banku pakalpojumiem, e-pasta pakalpojumiem un jebkādiem sociālajiem tīkliem”. Visbiežāk lietotājvārdi un paroles ir konsekventi tiešsaistes pakalpojumos.