Key takeaways
- Cybersäkerhetsexperter föreslår att lösenord i sig inte längre bör anses vara lämpliga för att säkra konton.
- Användare bör aktivera multifaktorautentisering (MFA) där det är möjligt.
- MFA bör dock inte användas som en ursäkt för att skapa svaga lösenord.
Det starkaste av lösenorden och de strängaste lösenordspolicyerna är inte till stor nytta när din onlinetjänstleverantör läcker dina referenser på grund av en felaktig konfiguration på deras servrar.
Om du tror att en sådan händelse skulle vara en sällsynthet, vet att många av de största dataläckorna under 2021 berodde på tekniska misstag från tjänsteleverantörerna. Faktum är att i december 2021 hjälpte cybersäkerhetsexperter till att koppla in en sådan felkonfiguration i Amazon Web Services S3-hink som ägs av Sega, som innehöll alla typer av känslig information, inklusive lösenord.
"Lösenordsanvändning borde bli föråldrad, och vi bör leta efter olika sätt att logga in på konton", sa VD för säkerhetsleverantören Gurucul, Saryu Nayyar, till Lifewire via e-post.
Problemet med lösenord
I december rapporterade The Sun att Storbritanniens National Crime Agency (NCA) levererade över 500 miljoner lösenord till den populära tjänsten Have I Been Pwned (HIBP), som den hade upptäckt under en utredning.
HIBP gör det möjligt för användare att kontrollera om deras lösenord har läckt ut i ett intrång och är benägna att missbrukas av hackare. Enligt HIBP:s grundare, Troy Hunt, fanns inte över 200 miljoner av lösenorden från NCA redan i databasen.
Även om funktionen för lagring av kontouppgifter i webbläsare är väldigt bekväm… rekommenderas användare att avstå från att använda den.
Det pekar på problemets stora storlek, problemet är lösenord, en arkaisk metod för att bevisa sina bonafides. Om det någonsin fanns en uppmaning till handling för att arbeta för att eliminera lösenord och hitta alternativ, måste detta må det vara, säger Baber Amin, COO för experter på digital identitet, Veridium till Lifewire via e-post, som svar på NCA:s senaste bidrag till HIPB.
Amin tillade att läckta referenser inte bara äventyrar befintliga konton, eftersom hackare nu använder dem med AI-baserade analysverktyg för att identifiera mönster för hur en individ skapar lösenord. I huvudsak äventyrar läckta autentiseringsuppgifter säkerheten för andra icke-komprometterade konton.
Lösenord och mer
Nayyar förespråkar en bättre skyddsmekanism än lösenord och föreslår att användare som har möjlighet att ställa in multifaktorautentisering på sina konton bör göra det.
Ron Bradley, VP för Shared Assessments, en medlemsorganisation som hjälper till att utveckla bästa praxis för risksäkring från tredje part, håller med. "Slå på multifaktorautentisering överallt som möjligt, särskilt appar som flyttar pengar."
Att säkra ett konto enbart med ett lösenord kallas enfaktorsautentisering. Multifaktorautentisering eller MFA bygger på det och säkrar konton genom att lägga till ett extra steg i inloggningsprocessen genom att be användarna om ytterligare information. Många tjänster, inklusive flera banker, implementerar MFA genom att skicka en verifieringskod till en användares mobilnummer som är registrerat hos banken.
Denna verifieringsmekanism är dock utsatt för en attackmekanism känd som en SIM-bytesattack, där angripare tar kontroll över ett måls mobiltelefonnummer genom att lura ägarens operatör att omtilldela numret till angriparens SIM-kort.
Samtidigt som T-Mobile erkände en sådan attack som riktade sig mot några av dess kunder, sa T-Mobile att SIM-bytesattacker har blivit en vanlig och branschomfattande händelse.
Istället är ett bättre alternativ för att aktivera MFA att använda appar som Duo Security, Google Authenticator, Authy, Microsoft Authenticator och andra sådana dedikerade MFA-appar.
Password Sprawl
Men alla cybersäkerhetsexperter vi pratade med varnade för att användningen av MFA inte borde vara en ursäkt för att inte vidta lämpliga åtgärder för att säkra lösenorden.
"Var en del av one-percenters som inte har någon aning om vad deras banklösenord är eftersom det är för långt och komplicerat", rådde Bradley.
Han tillägger att användare bör överväga att investera i en lösenordshanterare när det kommer till lösenord. Även om det inte finns någon brist på gratis lösenordshanterare, och det finns en inbyggd i din webbläsare också, menar experter att en gratis lösenordshanterare är bättre än att inte ha en alls, men användare bör vara försiktiga när de använder en.
Var en del av de one-percenters som inte har någon aning om vad deras banklösenord är eftersom det är för långt och komplicerat.
Medan de undersökte ett nyligen intrång i ett företags interna nätverk upptäckte cybersäkerhetsforskare från AhnLab att VPN-kontot som användes för att bryta sig in i företagets nätverk läckte från datorn till en fjärrarbetande anställd.
Den här datorn var infekterad med olika skadliga program, inklusive en som utformats speciellt för att extrahera lösenord från lösenordshanterarna inbyggda i Chromium-baserade webbläsare som Google Chrome och Microsoft Edge.
"Även om funktionen för lagring av kontouppgifter i webbläsare är mycket bekväm, eftersom det finns en risk för läckage av kontouppgifter vid infektion med skadlig programvara, rekommenderas användare att avstå från att använda den", varnar AhnLab-forskarna.
