Ο κωδικός πρόσβασής σας δεν είναι ασφαλής. Η KELA προειδοποιεί ότι δισεκατομμύρια παραβιασμένοι κωδικοί πρόσβασης «τροφοδοτούν διαρροές διαπιστευτηρίων, επιτρέποντας την απάτη και τις επιθέσεις ransomware» και το SlashNext ότι οι κωδικοί ελέγχου ταυτότητας δύο παραγόντων (2FA) μπορούν να παρακαμφθούν ή να κλαπούν, με hacks συσκευών και κακόβουλο λογισμικό «που συλλαμβάνει διαπιστευτήρια σύνδεσης, tokens και cookies συνεδρίας σε πραγματικό χρόνο, παρακάμπτοντας αποτελεσματικά το 2FA».
Αυτή η ανησυχητική νέα επίθεση «αυξάνει σημαντικά το επίπεδο δυσκολίας, καθιστώντας τις συμβατικές μεθόδους phishing και τα εγγενή μέτρα ασφαλείας τους κατά κύριο λόγο αναποτελεσματικά.
Σταμάτημα της χρήσης SMS για 2FA
Η κυβέρνηση των Η.Π.Α. προειδοποίησε τους Αμερικανούς να σταματήσουν να χρησιμοποιούν SMS για 2FA. Πρόσφατα είδαμε ότι η Google εγκαταλείπει το SMS για τους δισεκατομμύρια χρήστες Gmail της, αν και η αναφερόμενη εναλλακτική λύση με QR κωδικούς είναι αμφιλεγόμενη.
Οι κωδικοί SMS 2FA χρησιμοποιούνται σε συνδυασμό με ονόματα χρήστη και κωδικούς – αυτός ο συνδυασμός πρέπει να τελειώσει.
«Δεν αρκεί να προσθέσετε περισσότερη ασφάλεια στον λογαριασμό σας, πρέπει να διαγράψετε το παλιό όπως και αλλιώς.»
Ο εκσυγχρονισμός των συναγερμών
Αυτή η εκστρατεία αντικατάστασης του παλιού με κάτι νέο επιταχύνεται καθώς το τοπίο απειλών συνεχώς χειροτερεύει. Μόνο τις τελευταίες 24 ώρες, έχουμε δει μια νέα αναφορά από την Cofense για προηγμένες καμπάνιες phishing που στοχεύουν τους Αμερικανούς κατά τη διάρκεια της φορολογικής περιόδου και την Fortinet να προειδοποιεί για νέες απάτες που προσποιούνται κυβερνητικά μηνύματα. Αυτό έρχεται μετά από μια νέα προειδοποίηση ότι ακόμα και οι υπογραφές ηλεκτρονικού ταχυδρομείου βρίσκονται υπό επίθεση.
Η τελική λύση: Αναγκαία η διαγραφή κωδικών
Η Microsoft έχει μοιραστεί την καλύτερη συμβουλή για τους χρήστες της – και αυτό ισχύει σε όλους τους τομείς. «Η εποχή των κωδικών πλησιάζει στο τέλος της», λέει, και επειδή «οι εγκληματίες του διαδικτύου το γνωρίζουν, επιταχύνουν απεγνωσμένα τις επιθέσεις που σχετίζονται με κωδικούς όσο μπορούν ακόμα».
Αυτό ξεκινά με το ηλεκτρονικό ταχυδρομείο, ειδικά Gmail και Outlook, καθώς οι περισσότερες επιθέσεις ξεκινούν με το phishing – και αυτές είναι οι προσβάσιμες κωδικές διαπιστεύσεις που είναι οι πλέον πολύτιμες.
Η Microsoft πραγματοποιεί μια εκστρατεία για τη διαγραφή κωδικών, καθώς οι επιθέσεις έχουν διπλασιαστεί σε σχέση με πέρυσι. «Δεν έχουμε ποτέ καλύτερη λύση για αυτές τις διαδεδομένες επιθέσεις – passkeys».
Αλλά αν οι χρήστες ενεργοποιήσουν τα passkeys αλλά αφήσουν τους κωδικούς και την βασική 2FA σε ισχύ, «ο λογαριασμός παραμένει ακόμα σε κίνδυνο από phishing,» προειδοποιεί.
«Ο τελικός στόχος μας είναι η πλήρης κατάργηση των κωδικών και η δημιουργία λογαριασμών που υποστηρίζουν μόνο τις διαπιστεύσεις που είναι ανθεκτικές στο phishing».
Τα passkeys ως λύση
Και αυτό είναι το μάθημα από όλες τις πρόσφατες προειδοποιήσεις, από την επιδείνωση αυτού του τοπίου απειλών. Τα passkeys δεν είναι τέλεια, αλλά είναι πολύ καλύτερα και βελτιώνονται συνεχώς.
Η εξάρτηση από την ασφαλή, αξιόπιστη πρόσβαση στη συσκευή σας για την πιστοποίηση σας είναι καλύτερη από οποιονδήποτε συνδυασμό κωδικών και κωδικών που μπορεί να παρακαμφθεί ή να υποκλαπεί.
Η FIDO Alliance, που οδηγεί την υιοθέτηση των passkey, επικοινώνησε μαζί μου αυτή την εβδομάδα με την είδηση ότι «το 87% των επιχειρήσεων στις Η.Π.Α. και το Η.Β. έχει εφαρμόσει ή είναι στη διαδικασία υλοποίησης passkeys,» προειδοποιώντας ότι «με τις απειλές κυβερνοασφάλειας που καθοδηγούνται από την AI να αυξάνονται, οι εταιρείες δίνουν προτεραιότητα στα passkeys για να ενισχύσουν την ασφάλεια, να βελτιώσουν την εμπειρία των χρηστών και να συμμορφωθούν με τις απαιτήσεις».
Ανάγκη υιοθέτησης passkeys και διαγραφής κωδικών
Αλλά, ξανά, η υιοθέτηση των passkeys είναι το μισό της ιστορίας, η διαγραφή των κωδικών είναι το άλλο, πιο δύσκολο μισό. Όπως παραδέχεται η Microsoft, «ακόμα κι αν κάνουμε περισσότερους από ένα δισεκατομμύριο χρήστες να εγγραφούν και να χρησιμοποιούν passkeys, δεν θα λύσει το πρόβλημα εάν οι κωδικοί δεν διαγραφούν επίσης».
Η συμβουλή είναι απλή. Ρυθμίστε passkeys σε όλους τους λογαριασμούς όπου αυτό είναι δυνατό. Και απενεργοποιήστε το SMS 2FA για να διασφαλίσετε ότι η passkey σας είναι ο μόνος τρόπος πρόσβασης.
Αν έχετε ισχυρότερο μέτρο πιστοποίησης, όπως ένα φυσικό κλειδί ή μια εφαρμογή αυθεντικοποίησης, αυτό είναι σαφώς καλό επίσης – κάνουν το ίδιο πράγμα.
Για να είμαστε πιο συγκεκριμένοι – δεν πρέπει να έχετε κανέναν λογαριασμό χωρίς ενεργοποιημένη 2FA/MFA, μη χρησιμοποιείτε πλατφόρμες ή υπηρεσίες που δεν προσφέρουν αυτό. Και θα πρέπει να εντοπίσετε τους πιο ευαίσθητους λογαριασμούς και υπηρεσίες σας και να διασφαλίσετε ότι η αυθεντικοποίηση δεν είναι απλώς βασισμένη στο SMS.
