Asosiy takliflar
- Kiberxavfsizlik boʻyicha ekspertlar parollar oʻz-oʻzidan hisoblarni himoyalash uchun mos kelmasligini tavsiya qiladi.
- Foydalanuvchilar iloji boricha koʻp faktorli autentifikatsiyani (MFA) yoqishlari kerak.
- Biroq, TIV zaif parollar yaratish uchun bahona sifatida ishlatilmasligi kerak.
Onlayn xizmat koʻrsatuvchi provayderingiz oʻz serverlarida notoʻgʻri konfiguratsiya tufayli hisob maʼlumotlaringizni sizib chiqarsa, eng kuchli parollar va eng qatʼiy parol siyosatlari unchalik foyda keltirmaydi.
Agar siz bunday hodisa kamdan-kam uchraydi deb hisoblasangiz, bilingki, 2021-yilda maʼlumotlarning sizib chiqishining koʻpchiligi xizmat provayderlari tomonidan texnik nosozliklar tufayli sodir boʻlgan. Aslida, 2021-yil dekabr oyida kiberxavfsizlik bo‘yicha mutaxassislar Sega kompaniyasiga tegishli bo‘lgan Amazon Web Services S3 paqirida bunday noto‘g‘ri konfiguratsiyani o‘rnatishga yordam berishdi, unda barcha turdagi maxfiy ma’lumotlar, jumladan, parollar ham bor edi.
"Paroldan foydalanish eskirishi kerak va biz hisoblarga kirishning turli usullarini izlashimiz kerak", dedi xavfsizlik sotuvchisi Gurukul bosh direktori Saryu Nayyar Lifewire'ga elektron pochta orqali.
Parollar bilan muammo
Dekabr oyida The Sun gazetasining xabar berishicha, Buyuk Britaniyaning Jinoyatchilikka qarshi kurash milliy agentligi (NCA) tergov davomida aniqlagan mashhur Have I Been Pwned (HIBP) xizmatiga 500 milliondan ortiq parollar yetkazib bergan.
HIBP foydalanuvchilarga parollari buzilganligini va xakerlar tomonidan suiiste'mol qilinishiga moyilligini tekshirish imkonini beradi. HIBP asoschisi Troy Huntga ko'ra, NCA tomonidan taqdim etilgan 200 milliondan ortiq parollar ma'lumotlar bazasida allaqachon mavjud emas edi.
Brauzerlarning hisob ma'lumotlarini saqlash funksiyasi juda qulay boʻlsada… foydalanuvchilar undan foydalanishdan tiyilishlari tavsiya etiladi.
"Bu muammoning kattaligidan dalolat beradi, muammo parollardir, bu o'z sodiqligini isbotlashning arxaik usuli. Agar parollarni yo'q qilish va muqobillarni topish ustida ishlash uchun harakatga chaqiruv bo'lgan bo'lsa, buni qilish kerak. "Baber Amin, raqamli identifikatsiya bo'yicha mutaxassislarning bosh direktori, Veridium elektron pochta orqali Lifewire'ga NCAning HIPBga yaqinda qo'shgan hissasiga javoban aytdi.
Aminning qoʻshimcha qilishicha, sizib chiqqan hisob maʼlumotlari shunchaki mavjud hisoblarni buzib qoʻymaydi, chunki xakerlar endi ulardan shaxsning parollarni qanday yaratishini aniqlash uchun sunʼiy intellektga asoslangan analitik vositalar yordamida ishlatishadi. Aslini olganda, sizib chiqqan hisob maʼlumotlari boshqa buzilmagan hisoblarning ham xavfsizligini xavf ostiga qoʻyadi.
Parollar va boshqalar
Parollardan koʻra yaxshiroq himoya mexanizmini yoqlab, Nayyar oʻz akkauntlarida koʻp faktorli autentifikatsiyani oʻrnatish imkoniyatiga ega boʻlgan foydalanuvchilar buni qilishni taklif qiladi.
Ron Bredli, Umumiy baholashlar boʻyicha vitse-prezidenti, uchinchi tomon xavf-xatarlarini kafolatlash boʻyicha eng yaxshi amaliyotlarni ishlab chiqishga yordam beruvchi aʼzolik tashkiloti ham rozi. "Ko'p faktorli autentifikatsiyani hamma joyda yoqing, ayniqsa pul o'tkazadigan ilovalar."
Hisobni faqat parol bilan himoyalash bir faktorli autentifikatsiya deb nomlanadi. Ko'p faktorli autentifikatsiya yoki TIV buning ustiga quriladi va foydalanuvchilardan boshqa ma'lumotni so'rash orqali tizimga kirish jarayoniga qo'shimcha qadam qo'shish orqali hisoblarni himoya qiladi. Ko‘pgina xizmatlar, jumladan, bir nechta banklar TIVni bankda ro‘yxatdan o‘tgan foydalanuvchining mobil raqamiga tasdiqlash kodini yuborish orqali amalga oshiradi.
Biroq, bu tekshirish mexanizmi SIM-kartani almashtirish hujumi deb nomlanuvchi hujum mexanizmiga moyil boʻlib, bu yerda tajovuzkorlar egasining operatorini aldab, tajovuzkorning SIM-kartasiga raqamni qayta tayinlash orqali nishonning mobil telefon raqamini nazorat qiladi.
Oʻz mijozlariga moʻljallangan bunday hujumni tan olar ekan, T-Mobile SIM-kartalarni almashtirish hujumlari keng tarqalgan va sanoat miqyosidagi hodisaga aylanganini aytdi.
Oʻrniga Duo Security, Google Authenticator, Authy, Microsoft Authenticator va boshqa maxsus TIV ilovalari kabi ilovalardan foydalanish TIVni yoqishning eng yaxshi variantidir.
Parolni kengaytirish
Biroq, biz suhbatlashgan barcha kiberxavfsizlik mutaxassislari TIVdan foydalanish parollarni himoyalash uchun tegishli choralar koʻrmaslik uchun bahona boʻlmasligi kerakligi haqida ogohlantirdi.
"Bank paroli juda uzun va murakkab boʻlganligi uchun nima ekanligini bilmaydigan bir foizlilar safiga qoʻshiling", deb maslahat berdi Bredli.
Uning qoʻshimcha qilishicha, foydalanuvchilar parollar haqida gap ketganda parol boshqaruvchisiga mablagʻ sarflash haqida oʻylashlari kerak. Bepul parol boshqaruvchilarining etishmasligi va veb-brauzeringizga o'rnatilgani ham mavjud bo'lsa-da, mutaxassislar bepul parol menejeri umuman yo'qligidan ko'ra yaxshiroq ekanligini ta'kidlaydilar, ammo foydalanuvchilar ulardan foydalanishda ehtiyot bo'lishlari kerak.
Bank paroli juda uzun va murakkab boʻlgani uchun uning nima ekanligini bilmaydigan bir foizlilar safiga qoʻshiling.
Bir kompaniyaning ichki tarmogʻining yaqinda buzilishini tekshirar ekan, AhnLab kiberxavfsizlik boʻyicha tadqiqotchilar kompaniya tarmogʻiga kirish uchun foydalanilgan VPN hisobi masofaviy ishlaydigan xodimning shaxsiy kompyuteridan sizib chiqqanligini aniqladilar.
Bu kompyuter turli zararli dasturlardan, jumladan Google Chrome va Microsoft Edge kabi Chromium-ga asoslangan veb-brauzerlarga oʻrnatilgan parol boshqaruvchilaridan parollarni olish uchun moʻljallangan.
"Brauzerlarning hisob ma'lumotlarini saqlash xususiyati juda qulay bo'lsa-da, zararli dastur infektsiyalanganda hisob ma'lumotlari sizib chiqib ketish xavfi mavjud bo'lsa-da, foydalanuvchilarga undan foydalanishdan voz kechish tavsiya etiladi ", - deya ogohlantiradi AhnLab tadqiqotchilari.
