الوجبات الجاهزة الرئيسية
- يقترح خبراء الأمن السيبراني أن كلمات المرور ، في حد ذاتها ، لا ينبغي اعتبارها كافية لتأمين الحسابات.
- يجب على المستخدمين تمكين المصادقة متعددة العوامل (MFA) حيثما أمكن ذلك.
- ومع ذلك ، لا ينبغي استخدام أسلوب العائالت المتعددة MFA كذريعة لإنشاء كلمات مرور ضعيفة.
أقوى كلمات المرور وأكثر سياسات كلمات المرور صرامة ليست ذات فائدة كبيرة عندما يقوم مزود الخدمة عبر الإنترنت بتسريب بيانات الاعتماد الخاصة بك بسبب التهيئة الخاطئة في خوادمهم.
إذا كنت تعتقد أن مثل هذا الاحتمال سيكون نادرًا ، فاعلم أن العديد من أكبر تسريبات البيانات في عام 2021 كانت بسبب مشاكل فنية من قبل مزودي الخدمة. في الواقع ، في كانون الأول (ديسمبر) 2021 ، ساعد خبراء الأمن السيبراني في إدخال مثل هذا التكوين الخاطئ في حاوية S3 الخاصة بـ Amazon Web Services المملوكة لشركة Sega ، والتي تحتوي على جميع أنواع المعلومات الحساسة ، بما في ذلك كلمات المرور.
"استخدام كلمة المرور يجب أن يصبح قديمًا ، ويجب أن نبحث عن طرق مختلفة لتسجيل الدخول إلى الحسابات" ، هذا ما قاله الرئيس التنفيذي لشركة Gurucul ، Saryu Nayyar ، لشركة Lifewire عبر البريد الإلكتروني.
المشكلة مع كلمات المرور
في ديسمبر ، ذكرت صحيفة The Sun أن وكالة الجريمة الوطنية في المملكة المتحدة (NCA) قدمت أكثر من 500 مليون كلمة مرور لخدمة Have I Been Pwned (HIBP) الشهيرة ، والتي كشفت عنها أثناء التحقيق.
HIBP يمكّن المستخدمين من التحقق مما إذا كانت كلمات المرور الخاصة بهم قد تم تسريبها في خرق وعرضة لإساءة الاستخدام من قبل المتسللين. وفقًا لمؤسس HIBP ، Troy Hunt ، فإن أكثر من 200 مليون كلمة مرور قدمتها NCA لم تكن موجودة بالفعل في قاعدة البيانات.
على الرغم من أن ميزة تخزين بيانات اعتماد الحساب للمتصفحات مريحة للغاية … ينصح المستخدمون بالامتناع عن استخدامها.
"يشير إلى الحجم الهائل للمشكلة ، والمشكلة هي كلمات المرور ، وهي طريقة قديمة لإثبات حسنات المرء. إذا كان هناك أي دعوة للعمل على التخلص من كلمات المرور وإيجاد بدائل ، فيجب أن سواء كان الأمر كذلك ، "بابر أمين ، مدير العمليات لخبراء الهوية الرقمية ، صرح Veridium لـ Lifewire عبر البريد الإلكتروني ، ردًا على مساهمة NCA الأخيرة في HIPB.
أضاف أمين أن بيانات الاعتماد المسربة لا تعرض الحسابات الحالية فقط للخطر ، حيث يستخدمها المتسللون الآن مع الأدوات التحليلية القائمة على الذكاء الاصطناعي لتحديد أنماط كيفية إنشاء الفرد لكلمات المرور. في الأساس ، تهدد بيانات الاعتماد المسربة أمان الحسابات الأخرى غير المخترقة أيضًا.
كلمات المرور والمزيد
الدعوة إلى آلية حماية أفضل من كلمات المرور ، يقترح نيار أن المستخدمين الذين لديهم خيار إعداد مصادقة متعددة العوامل على حساباتهم يجب أن يفعلوا ذلك.
يوافق رون برادلي ، نائب الرئيس للتقييمات المشتركة ، وهي منظمة عضوية تساعد في تطوير أفضل الممارسات لضمان مخاطر الطرف الثالث. "قم بتشغيل المصادقة متعددة العوامل في كل مكان ممكن ، وخاصة التطبيقات التي تنقل الأموال."
يُعرف تأمين حساب بكلمة مرور بمفردها بالمصادقة أحادية العامل. تعتمد المصادقة متعددة العوامل أو MFA على ذلك وتؤمن الحسابات عن طريق إضافة خطوة إضافية في عملية تسجيل الدخول عن طريق مطالبة المستخدمين بجزء آخر من المعلومات. تطبق العديد من الخدمات ، بما في ذلك العديد من البنوك ، أسلوب العائالت المتعددة MFA عن طريق إرسال رمز التحقق إلى رقم الهاتف المحمول للمستخدم المسجل لدى البنك.
ومع ذلك ، فإن آلية التحقق هذه عرضة لآلية هجوم تُعرف باسم هجوم مبادلة بطاقة SIM ، حيث يتحكم المهاجمون في رقم الهاتف المحمول للهدف من خلال خداع شركة الاتصالات الخاصة بالمالك لإعادة تعيين الرقم إلى بطاقة SIM الخاصة بالمهاجم.
مع الاعتراف بمثل هذا الهجوم الذي استهدف بعض عملائها ، قالت T-Mobile إن هجمات مبادلة بطاقة SIM أصبحت أمرًا شائعًا على مستوى الصناعة.
بدلاً من ذلك ، فإن الخيار الأفضل لتمكين MFA هو استخدام تطبيقات مثل Duo Security و Google Authenticator و Authy و Microsoft Authenticator وغيرها من تطبيقات MFA المخصصة.
امتداد كلمة المرور
ومع ذلك ، حذر جميع خبراء الأمن السيبراني الذين تحدثنا إليهم من أن استخدام أسلوب العائالت المتعددة (MFA) لا ينبغي أن يكون ذريعة لعدم اتخاذ الخطوات المناسبة لتأمين كلمات المرور.
نصح برادلي "كن جزءًا من نسبة الواحد في المائة الذين ليس لديهم أي فكرة عن كلمة مرور البنك الخاصة بهم لأنها طويلة جدًا ومعقدة".
ويضيف أنه يجب على المستخدمين التفكير في الاستثمار في مدير كلمات المرور عندما يتعلق الأمر بكلمات المرور. على الرغم من عدم وجود نقص في مديري كلمات المرور المجانية ، وهناك أيضًا مدير مدمج في متصفح الويب الخاص بك ، يقترح الخبراء أن مدير كلمات المرور المجاني أفضل من عدم وجود مدير كلمات مرور على الإطلاق ، ولكن يجب على المستخدمين توخي الحذر عند استخدام واحد.
كن جزءًا من نسبة الواحد في المائة الذين ليس لديهم أي فكرة عن كلمة مرور البنك الخاصة بهم لأنها طويلة جدًا ومعقدة.
أثناء التحقيق في خرق حديث لشبكة داخلية لإحدى الشركات ، اكتشف باحثو الأمن السيبراني من AhnLab أن حساب VPN المستخدم لاقتحام شبكة الشركة قد تم تسريبه من جهاز الكمبيوتر الخاص بموظف يعمل عن بُعد.
أصيب هذا الكمبيوتر ببرامج ضارة مختلفة ، بما في ذلك برنامج مصمم خصيصًا لاستخراج كلمات المرور من مديري كلمات المرور المضمنة في متصفحات الويب المستندة إلى Chromium مثل Google Chrome و Microsoft Edge.
"على الرغم من أن ميزة تخزين بيانات اعتماد الحساب للمتصفحات مريحة للغاية ، حيث يوجد خطر تسرب بيانات اعتماد الحساب عند الإصابة بالبرامج الضارة ، يُنصح المستخدمون بالامتناع عن استخدامها ،" حذر باحثو AhnLab.
