Belangrijkste afhaalrestaurants
- Cyberbeveiligingsexperts suggereren dat wachtwoorden op zichzelf niet langer als voldoende moeten worden beschouwd voor het beveiligen van accounts.
- Gebruikers moeten waar mogelijk multi-factor authenticatie (MFA) inschakelen.
- MFA mag echter niet worden gebruikt als excuus voor het maken van zwakke wachtwoorden.
De sterkste wachtwoorden en het strengste wachtwoordbeleid hebben niet veel zin wanneer uw online serviceprovider uw inloggegevens lekt vanwege een verkeerde configuratie op hun servers.
Als je denkt dat een dergelijke mogelijkheid een zeldzaamheid zou zijn, weet dan dat veel van de grootste datalekken in 2021 te wijten waren aan technische problemen door de serviceproviders. In december 2021 hielpen cyberbeveiligingsexperts zelfs een dergelijke verkeerde configuratie in de S3-bucket van Amazon Web Services van Sega, die allerlei gevoelige informatie bevatte, inclusief wachtwoorden.
"Het gebruik van wachtwoorden zou achterhaald moeten worden en we moeten op zoek gaan naar andere manieren om in te loggen op accounts", vertelde de CEO van beveiligingsleverancier Gurucul, Saryu Nayyar, via e-mail aan Lifewire.
Het probleem met wachtwoorden
In december meldde The Sun dat het Britse National Crime Agency (NCA) meer dan 500 miljoen wachtwoorden heeft geleverd aan de populaire dienst Have I Been Pwned (HIBP), die het tijdens een onderzoek had ontdekt.
HIBP stelt gebruikers in staat om te controleren of hun wachtwoorden zijn gelekt bij een inbreuk en vatbaar zijn voor misbruik door hackers. Volgens de oprichter van HIBP, Troy Hunt, bestonden meer dan 200 miljoen van de door NCA verstrekte wachtwoorden nog niet in de database.
Hoewel de functie voor het opslaan van accountgegevens van browsers erg handig is, wordt gebruikers aangeraden deze niet te gebruiken.
"Het wijst op de enorme omvang van het probleem, het probleem zijn wachtwoorden, een archaïsche methode om iemands bonafides te bewijzen. Als er ooit een oproep tot actie is geweest om te werken aan het elimineren van wachtwoorden en het vinden van alternatieven, dan moet dit zij het, " vertelde Baber Amin, COO van experts op het gebied van digitale identiteit, Veridium via e-mail aan Lifewire, in reactie op de recente bijdrage van de NCA aan HIPB.
Amin voegde eraan toe dat gelekte inloggegevens niet alleen bestaande accounts in gevaar brengen, omdat hackers ze nu gebruiken met op AI gebaseerde analytische tools om patronen te identificeren van hoe een persoon wachtwoorden maakt. In wezen brengen gelekte inloggegevens ook de veiligheid van andere niet-gecompromitteerde accounts in gevaar.
Wachtwoorden en meer
Nayyar pleit voor een beter beschermingsmechanisme dan wachtwoorden en stelt voor dat gebruikers die de mogelijkheid hebben om multi-factor authenticatie op hun accounts in te stellen, dit ook doen.
Ron Bradley, VP van Shared Assessments, een ledenorganisatie die helpt bij het ontwikkelen van best practices voor risicoborging door derden, is het daarmee eens. "Schakel overal waar mogelijk multi-factor authenticatie in, vooral apps die geld verplaatsen."
Een account beveiligen met alleen een wachtwoord staat bekend als single-factor authenticatie. Multi-factor authenticatie of MFA bouwt daarop voort en beveiligt accounts door een extra stap toe te voegen aan het aanmeldingsproces door gebruikers om nog een stukje informatie te vragen. Veel diensten, waaronder verschillende banken, implementeren MFA door een verificatiecode te sturen naar het mobiele nummer van een gebruiker die bij de bank is geregistreerd.
Dit verificatiemechanisme is echter gevoelig voor een aanvalsmechanisme dat bekend staat als een SIM-swap-aanval, waarbij aanvallers het mobiele telefoonnummer van een doelwit overnemen door de provider van de eigenaar te misleiden om het nummer opnieuw toe te wijzen aan de simkaart van de aanvaller.
T-Mobile erkende een dergelijke aanval die gericht was op een aantal van zijn klanten, maar zei dat SIM-swap-aanvallen een veelvoorkomend en sectorbreed verschijnsel zijn geworden.
In plaats daarvan is een betere optie voor het inschakelen van MFA het gebruik van apps zoals Duo Security, Google Authenticator, Authy, Microsoft Authenticator en andere soortgelijke speciale MFA-apps.
Wachtwoorduitbreiding
Alle cyberbeveiligingsexperts die we spraken waarschuwden echter dat het gebruik van MFA geen excuus mag zijn om geen adequate stappen te ondernemen om de wachtwoorden te beveiligen.
"Maak deel uit van de één-percenten die geen idee hebben wat hun bankwachtwoord is omdat het te lang en te ingewikkeld is", adviseerde Bradley.
Hij voegt eraan toe dat gebruikers moeten overwegen om te investeren in een wachtwoordbeheerder als het om wachtwoorden gaat. Hoewel er geen tekort is aan gratis wachtwoordbeheerders en er is er ook een ingebouwd in uw webbrowser, suggereren experts dat een gratis wachtwoordbeheerder beter is dan er helemaal geen te hebben, maar gebruikers moeten voorzichtig zijn bij het gebruik ervan.
Maak deel uit van de één-percentra die geen idee hebben wat hun bankwachtwoord is omdat het te lang en te ingewikkeld is.
Tijdens het onderzoek naar een recente inbreuk op het interne netwerk van een bedrijf, ontdekten cyberbeveiligingsonderzoekers van AhnLab dat het VPN-account dat werd gebruikt om in te breken in het bedrijfsnetwerk, was gelekt vanaf de pc van een op afstand werkende werknemer.
Deze pc is geïnfecteerd met verschillende malware, waaronder een die speciaal is ontworpen om wachtwoorden te extraheren uit de wachtwoordmanagers die zijn ingebouwd in Chromium-gebaseerde webbrowsers zoals Google Chrome en Microsoft Edge.
"Hoewel de functie voor het opslaan van accountreferenties van browsers erg handig is, aangezien er een risico bestaat op lekken van accountreferenties bij malware-infectie, wordt gebruikers aangeraden deze niet te gebruiken ", waarschuwen de AhnLab-onderzoekers.
