Үндсэн санаанууд
- Цахим аюулгүй байдлын мэргэжилтнүүд нууц үг нь дангаараа бүртгэлийг хамгаалахад тохиромжгүй гэж үзэхийг зөвлөж байна.
- Хэрэглэгчид боломжтой бол олон хүчин зүйлийн баталгаажуулалтыг (MFA) идэвхжүүлэх хэрэгтэй.
- Гэсэн хэдий ч ГХЯ-г сул нууц үг үүсгэх шалтаг болгон ашиглаж болохгүй.
Танай онлайн үйлчилгээ үзүүлэгч серверийнхээ тохиргооны буруугаас болж таны итгэмжлэлийг задруулсан үед хамгийн хүчтэй нууц үг, хамгийн хатуу нууц үгийн бодлого төдийлөн ашиггүй болно.
Хэрэв та ийм тохиолдол ховор тохиолддог гэж бодож байгаа бол 2021 онд олон тооны мэдээлэл алдагдсан нь үйлчилгээ үзүүлэгчдийн техникийн алдаанаас үүдэлтэй гэдгийг мэдэж аваарай. Үнэн хэрэгтээ 2021 оны 12-р сард кибер аюулгүй байдлын мэргэжилтнүүд нууц үг зэрэг бүх төрлийн эмзэг мэдээллийг агуулсан Sega-н эзэмшдэг Amazon Web Services-ийн S3 хувин дээр ийм буруу тохиргоог залгахад тусалсан.
"Нууц үгийн хэрэглээ хуучирч, бид данс руугаа нэвтрэх өөр аргыг хайх хэрэгтэй" гэж аюулгүй байдлын ханган нийлүүлэгч Гүрүкулын гүйцэтгэх захирал Сарю Найяр Lifewire-д цахим шуудангаар мэдэгдэв.
Нууц үгтэй холбоотой асуудал
Арванхоёрдугаар сард Их Британийн Үндэсний гэмт хэрэгтэй тэмцэх агентлаг (NCA) мөрдөн байцаалтын явцад илрүүлсэн алдартай Have I Been Pwned (HIBP) үйлчилгээнд 500 сая гаруй нууц үг нийлүүлсэн гэж The Sun мэдээлсэн.
HIBP нь хэрэглэгчдэд нууц үгээ нууц үгээ задруулсан, хакеруудын хүчирхийлэлд өртөмтгий эсэхийг шалгах боломжийг олгодог. HIBP-ийн үүсгэн байгуулагч Трой Хантын хэлснээр, NCA-аас нийлүүлсэн 200 сая гаруй нууц үг мэдээллийн санд байхгүй байсан.
Хэдийгээр хөтчүүдийн бүртгэлийн итгэмжлэлүүдийг хадгалах онцлог нь маш тохиромжтой байдаг… хэрэглэгчид үүнийг ашиглахаас татгалзахыг зөвлөж байна.
Энэ нь асуудлын цар хүрээг илтгэж байна. Асуудал нь нууц үг, хүний худал хуурмагийг нотлох хуучирсан арга юм. Хэрэв нууц үгээ устгаж, өөр хувилбар хайхыг уриалж байсан бол үүнийг хийх хэрэгтэй. Энэ тухай дижитал таних мэргэжилтнүүдийн гүйцэтгэх захирал Бабер Амин НСА-аас HIPB-д саяхан оруулсан хувь нэмрийн хариуд Veridium цахим шуудангаар Lifewire-д мэдэгдэв.
Амин нэмж хэлэхдээ, задруулсан итгэмжлэлүүд нь зөвхөн одоо байгаа бүртгэлийг сүйтгэдэггүй, учир нь хакерууд одоо тэдгээрийг хиймэл оюун ухаанд суурилсан аналитик хэрэгслээр ашиглаж, хувь хүн нууц үг хэрхэн бүтээдэг хэв маягийг тодорхойлдог. Нэг ёсондоо задруулсан итгэмжлэлүүд нь бусад нууцлалд өртөөгүй бүртгэлүүдийн аюулгүй байдалд ч аюул учруулдаг.
Нууц үг болон бусад
Нууц үгээс илүү сайн хамгаалалтын механизмыг дэмжин Nayyar бүртгэл дээрээ олон хүчин зүйлийн баталгаажуулалтыг тохируулах боломжтой хэрэглэгчдэд үүнийг хийхийг зөвлөж байна.
Гуравдагч этгээдийн эрсдэлийн баталгааны шилдэг туршлагыг хөгжүүлэхэд тусалдаг гишүүнчлэлийн байгууллага болох Shared Assessments-ийн дэд захирал Рон Брэдли ч мөн санал нэг байна. "Олон хүчин зүйлийн баталгаажуулалтыг аль болох хаа сайгүй, ялангуяа мөнгө зөөдөг програмуудыг асаана уу."
Дансны нууц үгээр бүртгэлээ хамгаалахыг ганц хүчин зүйлийн баталгаажуулалт гэж нэрлэдэг. Олон хүчин зүйлийн нэвтрэлт танилт буюу MFA нь үүн дээр суурилж, хэрэглэгчдээс өөр мэдээлэл авахыг хүсэх замаар нэвтрэх үйл явцад нэмэлт алхам нэмж бүртгэлүүдийг хамгаалдаг. Олон үйлчилгээ, тэр дундаа хэд хэдэн банкууд банкинд бүртгэлтэй хэрэглэгчийн гар утасны дугаар руу баталгаажуулах код илгээж, ГХЯ-г хэрэгжүүлдэг.
Гэхдээ энэ баталгаажуулах механизм нь SIM солих халдлага гэгддэг халдлагын механизмд өртөмтгий бөгөөд халдагчид эзнийхээ үүрэн холбооны операторыг залилан халдагчийн SIM карт руу дугаар оруулах замаар зорилтот хүний гар утасны дугаарыг удирддаг.
Зарим хэрэглэгчиддээ чиглэсэн ийм халдлага болсныг T-Mobile хүлээн зөвшөөрч байгаа хэдий ч SIM солих халдлага нь нийтлэг бөгөөд салбарын хэмжээнд түгээмэл үзэгдэл болсон гэж T-Mobile мэдэгдэв.
Үүний оронд Duo Security, Google Authenticator, Authy, Microsoft Authenticator болон бусад тусгай зориулалтын MFA програмуудыг ашиглах нь ГХЯ-г идэвхжүүлэх илүү сайн сонголт юм.
Нууц үг тараах
Гэсэн хэдий ч бидэнтэй ярилцсан кибер аюулгүй байдлын бүх мэргэжилтнүүд Гадаад харилцааны яамыг ашиглах нь нууц үгээ хамгаалахад зохих арга хэмжээ авахгүй байх шалтаг болохгүй гэдгийг анхааруулсан.
"Банкны нууц үг нь хэтэрхий урт бөгөөд төвөгтэй учраас ямар байдгийг мэдэхгүй нэг хувийн нэг хэсэг болоорой" гэж Брэдли зөвлөжээ.
Тэр нэмээд хэрэглэгчид нууц үгийн талаар нууц үгийн менежерт хөрөнгө оруулах талаар бодож үзэх хэрэгтэй. Үнэгүй нууц үг зохицуулагч дутагдалтай, таны вэб хөтөч дээр суулгагдсан байдаг ч мэргэжилтнүүд үнэгүй нууц үгийн менежер нь огт байхгүй байснаас дээр гэж мэргэжилтнүүд зөвлөж байна, гэхдээ хэрэглэгчид үүнийг ашиглахдаа болгоомжтой байх хэрэгтэй.
Банкны нууц үг нь хэтэрхий урт бөгөөд нарийн төвөгтэй учраас юу болохыг мэдэхгүй нэг хувийн нэг хэсэг болоорой.
Саяхан нэг компанийн дотоод сүлжээнд гарсан зөрчлийг шалгаж байх явцад AhnLab-ийн кибер аюулгүй байдлын судлаачид компанийн сүлжээнд нэвтэрч байсан VPN хаяг нь алсаас ажиллаж байгаа ажилтны компьютерээс алдагдсан болохыг олж мэдэв.
Энэ компьютерт Google Chrome, Microsoft Edge зэрэг Chromium-д суурилсан вэб хөтчүүдэд суулгасан нууц үгийн менежерүүдээс нууц үг задлахад зориулагдсан төрөл бүрийн хортой програмууд халдварласан байна.
"Хэдийгээр хөтчүүдийн дансны итгэмжлэлийг хадгалах онцлог нь маш тохиромжтой, учир нь хортой програм халдвар авснаар акаунтын итгэмжлэлүүд алдагдах эрсдэлтэй тул хэрэглэгчдэд үүнийг ашиглахгүй байхыг зөвлөж байна" гэж AhnLab судлаачид анхааруулж байна.
