Adakah nama pengguna dan kata laluan menjadi usang?

Peraturan keselamatan siber baharu boleh menggantikan pengenalan nama pengguna dan kata laluan yang mudah dalam kebanyakan industri perbankan dan insurans sistem kewangan Amerika.

Pilihan untuk peraturan keselamatan baharu termasuk menghantar nombor pengesahan ke telefon bimbit individu, menggunakan cap jari atau pengesahan biometrik lain, menggunakan sumber pengenalan yang berasingan, seperti kad leret atau keperluan baharu untuk vendor pihak ketiga yang mempunyai akses kepada pangkalan data syarikat insurans . Perubahan ini mungkin untuk pekerja, vendor pihak ketiga dan juga pengguna yang berpotensi.

Baru-baru ini, pencerobohan siber berprofil tinggi telah dilaporkan di Anthem dan JP Morgan Chase, masing-masing syarikat insurans kesihatan dan institusi perbankan.

Pegawai penguatkuasa undang-undang, yang menyiasat kes Anthem, percaya bahawa penggodam asing menggunakan nama pengguna dan kata laluan seorang eksekutif untuk mengakses data peribadi 80 juta pelanggan, termasuk nama, alamat dan nombor Keselamatan Sosial. Pegawai, melaporkan kepada MASA, mencadangkan bahawa kecurian itu "boleh dielakkan jika syarikat telah menerima kaedah yang lebih sukar untuk mengesahkan identiti mereka yang cuba mengakses sistemnya."

Dalam pelanggaran baru-baru ini di JP Morgan Chase, rekod 76 juta isi rumah dan tujuh juta perniagaan telah terjejas. Satu lagi insiden yang dipublikasikan dengan baik berlaku di peruncit Sasaran, yang pelanggarannya menjejaskan 110 juta pemegang kad.

Pengumuman peraturan keselamatan siber baharu datang selepas Negeri New York Jabatan Perkhidmatan Kewangan (DFS) menjalankan kajian mengenai keselamatan siber terhadap 43 syarikat insurans terkawal.

DFS membuat kesimpulan bahawa "walaupun mungkin dijangka bahawa penanggung insurans yang lebih besar akan mempunyai pertahanan siber yang paling teguh dan canggih," kajian itu menyimpulkan bahawa itu tidak semestinya berlaku. Penemuan mencerminkan keyakinan yang berlebihan dalam kalangan pegawai industri insurans, dengan 95 peratus syarikat yang ditinjau percaya bahawa "mereka mempunyai tahap kakitangan yang mencukupi untuk keselamatan maklumat." Selain itu, kajian DFS mendakwa hanya 14 peratus ketua eksekutif menerima taklimat bulanan mengenai keselamatan maklumat.

Menurut Benjamin Lawsky, penguasa DFS, terdapat "kerentanan yang berpotensi besar di sini" dan bahawa "sistem kata laluan sepatutnya sudah lama terkubur." Beliau dan DFS mengesyorkan bahawa "pengawal selia dan syarikat sektor swasta mesti menggandakan usaha mereka dan bergerak secara agresif untuk membantu melindungi data pengguna." Di samping itu, "pelanggaran keselamatan siber baru-baru ini harus bertindak sebagai panggilan bangun yang tegas bagi syarikat insurans dan institusi kewangan lain untuk mengukuhkan pertahanan siber mereka."

Laporan penuh, ditemui disini, menekankan bahawa "sementara banyak penanggung insurans kesihatan, nyawa dan harta yang besar mempunyai pertahanan siber yang teguh, termasuk penyulitan untuk pemindahan data, tembok api dan perisian anti-virus, ramai yang masih bergantung pada kaedah pengesahan yang agak lemah untuk pekerja dan pengguna, serta mempunyai kawalan yang lemah. melalui vendor pihak ketiga yang mempunyai akses kepada sistem mereka dan data peribadi yang terkandung di sana”.

Lewat tahun lepas, semakan ke atas sektor perbankan menemui hasil yang serupa.

Jurubank Amerika laporan bahawa “kebanyakan pelanggaran keselamatan yang berlaku dalam perbankan hari ini menggunakan kelayakan yang dikompromi. [Pada 2014,] lebih daripada 900 juta rekod pengguna telah dicuri sahaja, menurut Keselamatan Berasaskan Risiko; 66.3% termasuk kata laluan dan 56.9% termasuk nama pengguna.”

Bagaimanakah pengguna akan terjejas?

Ketidakcukupan nama pengguna dan kata laluan bukanlah perkara baharu; perbahasan telah menjangkau lebih daripada satu dekad sekarang. The Majlis Peperiksaan Institusi Kewangan Persekutuan, pada tahun 2005, mengakui bahawa "sistem nama pengguna dan kata laluan yang mudah adalah tidak mencukupi untuk transaksi yang melibatkan akses kepada maklumat pelanggan atau pergerakan dana kepada pihak lain." Pengukuran yang lebih ketat tidak disyorkan atau dibuat.

Kerentanan siber perbankan dan insurans adalah kebimbangan bukan sahaja untuk syarikat itu sendiri tetapi untuk individu juga.

Teknik penggodaman baharu muncul pada kadar yang membimbangkan, menjadikannya lebih mudah sekarang untuk mengakses nama pengguna dan kata laluan.

Penjenayah siber boleh mencuri identiti dengan mudah melalui kaedah seperti "honey pot," di mana individu akan menaip nama pengguna dan kata laluan mereka ke dalam tapak web yang mendakwa untuk menyemak sama ada nama mereka telah dikompromi—"mengedarkan mesej pancingan data dengan berselindung menawarkan bantuan,"

Pengguna Gmail pada September 2014 telah mengalami kejadian sedemikian. Mengikut Business Times Antarabangsa, 5 juta nama pengguna dan kata laluan Gmail telah disiarkan ke forum syiling bit Rusia; kira-kira 60 peratus adalah akaun aktif. Tidak lama sebelum itu, 4.6 juta akaun Mail.ru dan 1.25 juta akaun e-mel Yandex turut diakses secara haram.

Akaun permainan, di samping itu, terdedah kepada penggodam. Pada bulan Januari, Nama pengguna dan kata laluan akaun kraf lombong telah dibocorkan dalam talian.

Kes sedemikian hanya menerangkan fakta yang sudah diketahui bahawa penggodaman melanda lebih dekat ke rumah-berpotensi kami rumah. Bahaya sebenar, sebagai The Hacker News menunjukkan, ialah "pengguna yang terjejas yang menggunakan gabungan nama pengguna dan kata laluan yang sama untuk banyak perkhidmatan dalam talian, seperti tapak beli-belah, perbankan, perkhidmatan e-mel dan mana-mana rangkaian sosial." Lebih kerap daripada tidak, nama pengguna dan kata laluan adalah konsisten sepanjang perkhidmatan dalam talian.