Το «Δες τον Εαυτό σου στον Κυβερνοχώρο», ή αλλιώς “See Yourself in Cyber” είναι το μότο του φετινού Οκτωβρίου, Μήνα Ευαισθητοποίησης για την Κυβερνοασφάλεια – Cybersecurity Awareness Month.

 

WatchGuard www.watchguard.com

Πιο συγκεκριμένα, στο επίκεντρο βρίσκονται οι απλές ενέργειες που μπορούν να κάνουν τα άτομα και οι επιχειρήσεις για να προστατευθούν καλύτερα από το έγκλημα στον κυβερνοχώρο. Δύο από αυτά τα βήματα είναι η χρήση ισχυρών κωδικών πρόσβασης και η ενεργοποίηση του ελέγχου ταυτότητας πολλών παραγόντων (MFA), και είναι αρκετά εύκολο να καταλάβουμε γιατί.

Δυστυχώς, ακόμη και το 2022 ένα μεγάλο ποσοστό ανθρώπων εξακολουθεί να χρησιμοποιεί αδύναμους και εύκολους κωδικούς πρόσβασης όπως τα “12345”, “qwerty” , ακόμη και τη λέξη “password” για να εισέλθει σε σημαντικούς λογαριασμούς, συστήματα και υποδομές. Μερικοί μπορεί να πιστεύουν ότι το να συνδυάσουν την ημερομηνία των γενεθλίων τους με το όνομα του σκύλου τους είναι μια αρκετά πονηρή επιλογή και δημιουργεί τρομερή πολυπλοκότητα, ώστε να αποτρέψει έναν εγκληματία στον κυβερνοχώρο από το να μαντέψει τον κωδικό πρόσβασής του, αλλά αυτό δεν ισχύει. Οι αποφασισμένοι χάκερ είναι γνωστό ότι «χτενίζουν» τα social media των θυμάτων τους για να εντοπίσουν ενδείξεις που θα μπορούσαν να τους οδηγήσουν στο να μαντέψουν κωδικούς πρόσβασης. Άλλωστε, υπάρχουν πολλά εργαλεία που τους βοηθούν να σπάσουν κωδικούς πρόσβασης που βασίζονται σε τύπους ή λέξεις.

Μια πρόσφατη προειδοποίηση από την Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) και τους ειδικούς κυβερνοασφάλειας αρκετών άλλων χωρών, επεσήμανε το ρόλο που διαδραματίζουν οι αδύναμοι έλεγχοι ασφαλείας στις παραβιάσεις και την ανάγκη των εταιρειών να κάνουν πιο αυστηρά τα διαπιστευτήρια τους (μεταξύ άλλων συστάσεων). Πολλά από τα πιο αξιοσημείωτα περιστατικά ασφάλειας στον κυβερνοχώρο, όπως η περσινή επίθεση ransomware της Colonial Pipeline, ξεκινούν με τους χάκερ να χρησιμοποιούν έναν κλεμμένο κωδικό πρόσβασης.

Ορθή διαχείριση των κωδικών πρόσβασης

Σήμερα, μια ορθή τακτική διαχείρισης κωδικών πρόσβασης ξεκινά με την ύπαρξη μοναδικών, τυχαίων και σύνθετων κωδικών πρόσβασης για κάθε λογαριασμό (τουλάχιστον 16 τυχαίους χαρακτήρες, όχι λέξεις λεξικού).  Φυσικά, αυτό είναι πιο εύκολο στα λόγια, αλλά πιο δύσκολο στην πράξη. Οι άνθρωποι γενικά δυσκολεύονται να θυμούνται τους κωδικούς πρόσβασης και, ως εκ τούτου, συχνά καταφεύγουν σε απλούς κωδικούς, επαναχρησιμοποιώντας τους σε λογαριασμούς ή τροποποιώντας τους ελαφρώς (αλλάζοντας, για παράδειγμα, έναν χαρακτήρα ή προσθέτοντας ένα θαυμαστικό). Δυστυχώς, οι επαναχρησιμοποιούμενοι κωδικοί πρόσβασης μπορούν να δημιουργήσουν πολλαπλές ευπάθειες σε περίπτωση παραβίασης.

Ένας τρόπος για να ελαχιστοποιήσετε αυτό το πρόβλημα είναι η χρήση διαχειριστών κωδικών πρόσβασηςPassword Managers, όπου διευκολύνουν τους χρήστες να δημιουργούν και να παρακολουθούν σύνθετους κωδικούς πρόσβασης. Ενώ οι βάσεις δεδομένων κωδικών πρόσβασης είναι ένας πρωταρχικός στόχος για κλοπή και είναι ευρέως διαθέσιμες στο διαδίκτυο, εάν αποσπαστούν βάσεις δεδομένων κατακερματισμένων κωδικών πρόσβασης, οι ισχυροί κωδικοί πρόσβασης μπορεί να είναι πιο δύσκολο να σπάσουν.

Παρόλα αυτά ένας «σωστός» κωδικός πρόσβασης είναι μόνο η αρχή ενός ισχυρού συστήματος ελέγχου ταυτότητας. Αυτό συμβαίνει επειδή τη στιγμή που ένας εισβολέας αποκτήσει πρόσβαση σε έναν κωδικό πρόσβασης – είτε μαντεύοντας τον, είτε από την αγορά του στο dark web είτε μέσω άλλων τακτικών πχ.  phishing – αποκτά τα «κλειδιά του βασιλείου» εάν δεν υπάρχει ένα επιπλέον βήμα για την επαλήθευση ταυτότητας.

Ο κρίσιμος ρόλος του ελέγχου ταυτότητας πολλών παραγόντων

Σύμφωνα με την τελευταία Έκθεση της Verizon πάνω στην Έρευνα για την Παραβίαση Δεδομένων (DBIR), περισσότερο από το 40% όλων των παραβιάσεων αφορούν τη χρήση κλεμμένων διαπιστευτηρίων. Ενώ για παραβιάσεις διαδικτυακών υποδομών, όπως web και email servers, το ποσοστό είναι υψηλότερο από 80%. Και σύμφωνα με μια πρόσφατη εκτίμηση, ο αριθμός των κλεμμένων και παραβιασμένων κωδικών πρόσβασης στο dark web έχει εκτοξευθεί στα 24 δισεκατομμύρια, και συνεχίζει να αυξάνεται ασταμάτητα. Σε αυτό το σημείο έρχεται ο έλεγχος ταυτότητας πολλών παραγόντων (MFA), όπου μπορεί να σταματήσει πολλές επιθέσεις πριν καν ξεκινήσουν, ακόμη και αν οι επιτιθέμενοι αποκτήσουν πρόσβαση σε διαπιστευτήρια. Με το MFA, οι χρήστες πρέπει να παρέχουν τόσο έναν κωδικό πρόσβασης όσο και τουλάχιστον μία πρόσθετη επαλήθευση της ταυτότητάς τους – όπως απαντώντας σε ένα μήνυμα σε μια εγκεκριμένη κινητή συσκευή, με ένα hardware key ή με κάποιο βιομετρικό όπως ένα δακτυλικό αποτύπωμα – προτού τους δοθεί πρόσβαση σε δίκτυα ή πόρους. Αυτό το πρόσθετο βήμα αυξάνει σημαντικά τον βαθμό δυσκολίας για τους επιτιθέμενους και μειώνει σημαντικά την πιθανότητα ότι ένα συμβιβασμένο διαπιστευτήριο από μόνο του θα είναι αρκετό για να ξεκινήσει μια επίθεση.

Γίνεται όλο και πιο σαφές λοιπόν, ότι το MFA δεν είναι απλώς ένα χαρακτηριστικό ασφαλείας το οποίο «καλό θα ήταν να έχουμε»,  αλλά αντ ‘αυτού, αποτελεί ένα ζωτικό μέρος οποιασδήποτε δομής ασφαλείας. Τα αποτελέσματα της έρευνας (DBIR) της Verizon συνιστούν το MFA ως την κύρια λύση που πρέπει να εφαρμόσουν οι μικρομεσαίες επιχειρήσεις για να προστατευθούν από κυβερνοεπιθέσεις. Αντίστοιχα επισημαίνει και η πρόσφατη προειδοποίηση της CISA. Παρότι οι λύσεις χωρίς κωδικό πρόσβασης έχουν αρχίσει να κερδίζουν έδαφος, οι κωδικοί πρόσβασης δεν πρόκειται να σταματήσουν να υπάρχουν και να μας εξυπηρετούν σύντομα.

Τα καλά νέα είναι ότι το MFA είναι προσιτό, εύκολο στην εφαρμογή και εύκολο στη χρήση. Ειδικότερα, όταν μιλάμε για τη λύση AuthPoint™ MFA της WatchGuard, η οποία όπως υποδεικνύεται από την αναφορά της Miercom, κερδίζει τον ανταγωνισμό!

Επισκεφτείτε την ιστοσελίδα της WatchGuard για να μάθετε περισσότερα σχετικά με τις προκλήσεις που αντιμετωπίζουμε καθημερινά, καθώς και να εξερευνήσετε τις λύσεις ασφαλείας, από έναν ειδικό στον κυβερνοχώρο.