Οι ειδικοί σε θέματα ασφάλειας προτρέπουν για άλλη μια φορά τους χρήστες να βελτιώσουν τις πρακτικές κωδικών πρόσβασης μετά τη δημοσίευση σχεδόν 3,3 δισεκατομμυρίων ονομάτων χρήστη και κωδικών πρόσβασης στο Διαδίκτυο αυτόν τον μήνα στο μεγαλύτερο περιστατικό του είδους του.
Η βάση δεδομένων Compilation of Many Breaches (COMB) ήρθε στο φως αφού πρώτα προσφέρθηκε προς πώληση ένα κρυπτογραφημένο, προστατευμένο με κωδικό πρόσβασης κοντέινερ δεδομένων και στη συνέχεια διέρρευσε δωρεάν.
Μια ανάλυση του CyberNews επιβεβαίωσε ότι η βάση δεδομένων περιέχει διαπιστευτήρια σύνδεσης και κωδικούς πρόσβασης απλού κειμένου 3.279 bop από μια σειρά ιστότοπων που έχουν παραβιαστεί, συμπεριλαμβανομένων των Netflix, LinkedIn, Bitcoin και άλλων.
Οι περισσότεροι από τους κλεμμένους κωδικούς πρόσβασης έχουν γίνει διαθέσιμοι μέσω άλλων μεγάλων παραβιάσεων, συμπεριλαμβανομένων των διαπιστευτηρίων 1.4b στη συλλογή παραβάσεων του 2017 και των παραβιάσεων της συλλογής #1 έως της συλλογής #5 από το 2019.
Η κλίμακα της βάσης δεδομένων είναι μια υπενθύμιση της επικράτησης της γέμισης διαπιστευτηρίων στην οποία οι εγκληματίες του κυβερνοχώρου προσπαθούν να παραβιάσουν συστήματα χρησιμοποιώντας κλεμμένους συνδυασμούς ταυτότητας χρήστη-κωδικού πρόσβασης.
Μια πρόσφατη μελέτη διαπίστωσε ότι το 53 % των χρηστών χρησιμοποιούν τους ίδιους κωδικούς πρόσβασης για προσωπικά και επιχειρηματικά συστήματα, ανοίγοντας έναν επικίνδυνο φορέα για επίθεση.
Η χρήση των διαπιστευτηρίων «είχε μετεωρική άνοδο», σημείωσαν ερευνητές ασφαλείας της Verizon στην Αναφορά Έρευνας Παραβίασης Δεδομένων 2020 (DBIR) της εταιρείας αυτής, η οποία διαπίστωσε ότι ο μέσος οργανισμός που παραβιάστηκε χτυπήθηκε από 922.331 απόπειρες πλήρωσης διαπιστευτηρίων μόνο το 2019 ? και ότι 77 το ποσοστό των παραβιάσεων δεδομένων cloud αφορούσε κλεμμένα διαπιστευτήρια.
Επιπλέον, περισσότερο από το 60 τοις εκατό των δεδομένων που κλάπηκαν κατά τη διάρκεια άλλων παραβιάσεων δεδομένων είναι διαπιστευτήρια μακράν ο πιο κοινός τύπος δεδομένων υπογραμμίζοντας τη διαρκή αξία που βλέπουν οι εγκληματίες του κυβερνοχώρου στη συλλογή και επαναχρησιμοποίηση στοιχείων νόμιμης πρόσβασης.
«Οι εγκληματίες είναι ξεκάθαρα ερωτευμένοι με τα διαπιστευτήρια», σημειώνουν οι συντάκτες της έκθεσης, «και γιατί όχι, αφού κάνουν τη δουλειά τους πολύ πιο εύκολη;»
Οι χρήστες δεν βοηθούν την κατάσταση, καθώς τα ζητήματα επαναχρησιμοποίησης κωδικού πρόσβασης θα μπορούσαν να εξαλειφθούν εάν κάθε χρήστης δημιουργήσει έναν νέο και ασφαλή κωδικό πρόσβασης για κάθε ιστότοπο που επισκέπτεται.
Ωστόσο, χωρίς προσεκτική χρήση διαχειριστή κωδικών πρόσβασης, αυτή η προσέγγιση γίνεται γρήγορα επαχθής και προβληματική για τους χρήστες γι αυτό και τόσοι πολλοί άνθρωποι εξακολουθούν να χρησιμοποιούν τον ίδιο κωδικό πρόσβασης, συχνά μαντέψιμο, τόσο σε προσωπικούς όσο και σε επαγγελματικούς ιστότοπους.
Το πρόβλημα έγινε ακόμη πιο έντονο κατά τη διάρκεια της πανδημίας COVID-19, όταν δεκάδες εκατομμύρια εργαζόμενοι μεταπήδησαν στην εργασία στο σπίτι - συχνά συνδέονταν ξανά στα συστήματα εργασίας τους χρησιμοποιώντας τίποτα περισσότερο από έναν κωδικό πρόσβασης.
Πολλές εταιρείες υιοθέτησαν συστήματα ελέγχου ταυτότητας δύο παραγόντων (2FA) για να αντισταθμίσουν, αλλά οι συνεχιζόμενες κακές πρακτικές ασφάλειας και η υπερβολική εμπιστοσύνη μεταξύ των χρηστών εξακολουθούν να αφήνουν πολλές εταιρείες εκτεθειμένες.
Το 83 τοις εκατό των χρηστών είπε ότι φτιάχνουν τους δικούς τους κωδικούς πρόσβασης, σύμφωνα με μια πρόσφατη μελέτη της Kaspersky , και το 55 τοις εκατό ισχυρίζεται ότι είναι σε θέση να θυμάται όλους τους κωδικούς πρόσβασης - υπονοώντας ότι χρησιμοποιούν ή επαναχρησιμοποιούν κωδικούς πρόσβασης αρκετά απλούς για να να είναι σε θέση να θυμάται.
Ακόμη πιο προβληματικό για τις εταιρείες ήταν το εύρημα ότι το 54% των χρηστών δεν γνώριζαν πώς να ελέγξουν εάν οι κωδικοί πρόσβασής τους είχαν παραβιαστεί.
Ιστότοποι όπως το Have I Been Pwned; Και ο έλεγχος διαρροής προσωπικών δεδομένων του CyberNews επιτρέπει στους χρήστες να διασταυρώνουν τη διεύθυνση email τους με βάσεις δεδομένων με παραβιασμένους κωδικούς πρόσβασης και οι υπηρεσίες είναι απασχολημένες με την ενσωμάτωση της λίστας COMB στις δικές τους βάσεις δεδομένων.
Με στόχο να μειώσουν το κόστος και τον κίνδυνο της εξάρτησής τους από τους χρήστες για τη δημιουργία, την απομνημόνευση ή τη διαχείριση των κωδικών πρόσβασής τους, ορισμένες εταιρείες υιοθετούν τον έλεγχο ταυτότητας χωρίς κωδικό πρόσβασης, ο οποίος αντικαθιστά τον κωδικό πρόσβασης με μια συσκευή δημιουργίας κωδικών πρόσβασης μίας χρήσης, κινητή συσκευή ή βιομετρικά στοιχεία όπως η σάρωση δακτυλικών αποτυπωμάτων ή προσώπου .
«Όταν συμβαίνουν τέτοιου είδους παραβιάσεις, το μήνυμα είναι πάντα το ίδιο: χρησιμοποιήστε μοναδικούς κωδικούς πρόσβασης, αλλάξτε τους κωδικούς πρόσβασής σας και χρησιμοποιήστε έναν διαχειριστή κωδικών πρόσβασης», δήλωσε ο Matias Woloski, συνιδρυτής και CTO της Auth0, η οποία πέρυσι επέκτεινε το σύστημα ελέγχου ταυτότητας με εργαλείο για τον εντοπισμό ρομπότ που γεμίζουν διαπιστευτήρια «ωστόσο, κάθε χρόνο βλέπουμε μια άλλη μελέτη που δείχνει ότι οι άνθρωποι δεν ακούν».
«Υπάρχουν δύο αλήθειες εδώ που πρέπει να αποδεχτούμε: δεν πρόκειται ποτέ να αποτρέψουμε όλες τις παραβιάσεις δεδομένων και το μήνυμα υγιεινής κωδικού πρόσβασης δεν περνάει. Οι επιχειρήσεις πρέπει τώρα να επιβάλουν το ζήτημα για να προστατεύσουν τον εαυτό τους και τους πελάτες τους».
