A po vjetërohen emrat e përdoruesve dhe fjalëkalimet?

Rregullat e reja të sigurisë kibernetike mund të zëvendësojnë identifikimin e thjeshtë të emrit të përdoruesit dhe fjalëkalimit në shumicën e industrive bankare dhe të sigurimeve të sistemit financiar të Amerikës.

Opsionet për rregulloret e reja të sigurisë përfshijnë dërgimin e një numri konfirmimi në celularin e një individi, përdorimin e një gjurmë gishti ose vërtetim tjetër biometrik, përdorimin e një burimi të veçantë identifikimi, si një kartë rrëshqitjeje, ose kërkesa të reja për shitësit e palëve të treta që kanë akses në bazat e të dhënave të kompanive të sigurimit . Këto ndryshime mund të jenë për punonjësit, shitësit e palëve të treta dhe potencialisht konsumatorët.

Kohët e fundit, ndërhyrje kibernetike të profilit të lartë u raportuan në Anthem dhe JP Morgan Chase, një kompani sigurimesh shëndetësore dhe një institucion bankar përkatësisht.

Zyrtarët e zbatimit të ligjit, duke hetuar rastin e Himnit, besojnë se hakerat e huaj kanë përdorur emrin e përdoruesit dhe fjalëkalimin e një ekzekutivi për të hyrë në të dhënat personale të 80 milionë klientëve, duke përfshirë emrat, adresat dhe numrat e Sigurimeve Shoqërore. Zyrtarët, duke raportuar tek TIME, sugjerojnë se vjedhja "mund të ishte shmangur nëse kompania do të kishte përqafuar metoda më të ashpra për verifikimin e identitetit të atyre që përpiqen të hyjnë në sistemet e saj".

Në shkeljen e fundit në JP Morgan Chasethe, të dhënat e 76 milionë familjeve dhe shtatë milionë bizneseve u komprometuan. Një tjetër incident i mirëpublikuar ndodhi në shitësin Target, shkelja e të cilit preku 110 milionë mbajtës të kartave.

Njoftimi i rregullave të reja të sigurisë kibernetike vjen pas shtetit të Nju Jorkut Departamenti i Shërbimeve Financiare (DFS) kreu një studim mbi sigurinë kibernetike të 43 kompanive të rregulluara të sigurimit.

DFS arriti në përfundimin se "megjithëse mund të pritet që siguruesit më të mëdhenj të kenë mbrojtjen kibernetike më të fuqishme dhe të sofistikuar", studimi arriti në përfundimin se nuk është domosdoshmërisht kështu. Gjetjet pasqyrojnë besimin e tepërt në mesin e zyrtarëve të industrisë së sigurimeve, me 95 për qind të kompanive të anketuara që besojnë se "kanë nivele adekuate të personelit për sigurinë e informacionit". Për më tepër, studimi i DFS-së pretendon se vetëm 14 përqind e shefave ekzekutivë marrin informacione mujore mbi sigurinë e informacionit.

Sipas Benjamin Lawsky, mbikëqyrësi i DFS, ekziston "një cenueshmëri e madhe e mundshme këtu" dhe se "sistemi i fjalëkalimeve duhej të ishte varrosur shumë kohë më parë". Ai dhe DFS rekomandojnë që "rregullatorët dhe kompanitë e sektorit privat duhet të dyfishojnë përpjekjet e tyre dhe të lëvizin në mënyrë agresive për të ndihmuar në mbrojtjen e të dhënave të konsumatorëve". Për më tepër, "shkeljet e fundit të sigurisë kibernetike duhet të shërbejnë si një thirrje e ashpër zgjimi për siguruesit dhe institucionet e tjera financiare për të forcuar mbrojtjen e tyre kibernetike".

Raporti i plotë, gjendet këtu, thekson se “ndërsa shumë sigurues të mëdhenj të shëndetit, jetës dhe pronës mburren me mbrojtje të fuqishme kibernetike, duke përfshirë enkriptimin për transferimin e të dhënave, muret e zjarrit dhe softuerin antivirus, shumë ende mbështeten në metoda relativisht të dobëta verifikimi për punonjësit dhe konsumatorët dhe kanë kontrolle të dobëta mbi shitësit e palëve të treta që kanë akses në sistemet e tyre dhe të dhënat personale që gjenden atje”.

Në fund të vitit të kaluar, një rishikim i sektori bankar gjeti rezultate të ngjashme.

Bankeri Amerikan Raportet se “shumica e shkeljeve të sigurisë që ndodhin sot në banka përdorin kredenciale të komprometuara. [Në vitin 2014,] më shumë se 900 milionë regjistrime të konsumatorëve janë vjedhur vetëm, sipas Sigurisë së Bazuar në Rrezikun; 66.3% përfshinin fjalëkalime dhe 56.9% përfshinin emrat e përdoruesve.”

Si do të ndikohen konsumatorët?

Papërshtatshmëria e emrave të përdoruesve dhe fjalëkalimeve nuk është e re; debatet janë shtrirë për më shumë se një dekadë tani. Të Këshilli i Provimit të Institucioneve Federale Financiare, në vitin 2005, pranoi se "sistemet e thjeshta të emrave të përdoruesit dhe fjalëkalimeve ishin të pamjaftueshme për transaksionet që përfshijnë akses në informacionin e klientit ose lëvizjen e fondeve te palët e tjera". Matje më të forta nuk u rekomanduan ose nuk u bënë.

Dobësitë kibernetike bankare dhe të sigurimeve janë një shqetësim jo vetëm për vetë kompanitë, por edhe për individët.

Teknikat e reja të hakerimit po shfaqen me një shpejtësi alarmante, duke e bërë shumë më të lehtë tani aksesin tek emrat e përdoruesve dhe fjalëkalimet.

Kriminelët kibernetikë mund të vjedhin lehtësisht identitetet përmes metodave si “honey potting”, në të cilën individët do të shkruajnë emrin e përdoruesit dhe fjalëkalimin e tyre në faqet e internetit që pretendojnë të kontrollojnë nëse emri i tyre është komprometuar – “shpërndarja e mesazheve phishing nën maskën e ofrimit të ndihmës”.

Përdoruesit e Gmail në shtator 2014 pësuan një incident të tillë. Sipas International Business Times, 5 milionë emra përdoruesish dhe fjalëkalime të Gmail u postuan në një forum rus të bit coin; afërsisht 60 për qind ishin llogari aktive. Pak më parë, 4.6 milionë llogari të Mail.ru dhe 1.25 milionë llogari të postës elektronike Yandex u aksesuan gjithashtu në mënyrë të paligjshme.

Llogaritë e lojërave, gjithashtu, janë të ndjeshme ndaj hakerëve. Ne janar, Emrat e përdoruesve dhe fjalëkalimet e llogarisë Mine craft u zbuluan në internet.

Raste të tilla thjesht ndriçojnë faktin e njohur tashmë se hakerimi godet më afër shtëpisë - potencialisht tonë shtëpitë. Rreziku real, si Lajmet e Hakerit thekson, janë ata "përdorues të prekur që përdorin të njëjtin kombinim emër përdoruesi dhe fjalëkalimi për shumë shërbime online, si faqet e blerjeve, bankat, shërbimin e postës elektronike dhe çdo rrjet social". Më shumë se jo, emrat e përdoruesve dhe fjalëkalimet janë të qëndrueshme në të gjithë shërbimet online.