KOMMENTÁR
Azon kevés információk egyike, amelyek valóban megváltoztathatatlanok és potenciálisan felbecsülhetetlenek, a genetikai információ. A genomunkat nem tudjuk nagy mértékben megváltoztatni. Ellentétben a biometrikus adatokkal, amelyeket tetszőleges számú különböző algoritmikus vagy kivonatolt struktúrában lehet tárolni, a genetikai információ változatlanul egyszerű aminosavpárok szekvenciáira redukálható. A rémálom forgatókönyve tehát az, hogy rossz szereplők feltörnek egy genetikai adatbázist, és nagyszámú emberhez jutnak hozzá a biológiai tervrajzokhoz.
Nemrég ez a rémálom valóra vált a a 23andMe genetikai tesztelő cég feltörése. A támadók klasszikust használtak hitelesítő adatok kitöltési technikái 14,000 23 felhasználói fiókhoz illegálisan hozzáférni. De nem álltak meg itt. A XNUMXandMe megosztási funkcióinak köszönhetően, amelyek lehetővé teszik a felhasználók számára, hogy megosszák és olvassák más, esetleg kapcsolatban álló felhasználók adatait, a hackerek ki tudták nyerni 6.9 millió ember genetikai adatai. A támadók 1 millió profilra tettek fel ajánlatot a sötét weben. A 23andMe csak egy hónappal a támadás után közölte a teljes hatást.
A felhasználók védelme érdekében a 23andMe arra kér minden felhasználót, hogy azonnal változtassa meg jelszavát, és gondoskodjon arról, hogy azok egyediek és összetettek legyenek. Ez jó, de nem elég. Ennél is fontosabb, hogy a vállalat a meglévő ügyfeleket automatikusan kétlépcsős hitelesítésbe vonja be az extra biztonsági szint érdekében. Ahelyett, hogy megvárnánk az elkerülhetetlen katasztrofális eseményt, minden egyes szoftver-szolgáltatásként (SaaS) alkalmazásnak kötelezővé kell tennie a 2FA-t, és a bevált gyakorlatokat át kell helyezni a 2FA-ról az MFA-ra, legalább három elérhető tényezővel. Ez most közbiztonsági kérdés, és kötelező is kellene, hogy legyen, ahogy az autógyártóknak is be kell szerelniük a biztonsági öveket és a légzsákokat a járműveikbe.
A hálózati hatások megsokszorozzák a kompromisszum hatásait
Számos fiókunk és SaaS-alkalmazásunk tartalmaz olyan hálózati képességeket, amelyek exponenciálisan növelik a kitettséget. A 23andMe esetében a nyilvánosságra hozott adatok a DNS-rokonok profiljaiból (5.5 millió) és a Family Tree-profilokból (1.4 millió) származó információkat tartalmaztak, amelyeket a 14,000 XNUMX fiókhasználó megosztott vagy hozzáférhetővé tett. Ez az információ tartalmazta a helyeket, a megjelenített neveket, a kapcsolati címkéket és az egyezésekkel megosztott DNS-t, valamint néhány felhasználó születési évét és helyét. Míg a DNS-adatok piaci értéke a hackerek számára továbbra is tisztázatlan, egyedisége és pótolhatatlan természete aggodalomra ad okot a jövőbeni esetleges visszaélésekkel és célzásokkal kapcsolatban.
Cserélje le a 23andMe-t a Dropboxra, az Outlookra vagy a Slackre, és könnyen láthatja, hogy viszonylag kis számú nyilvános fiók hogyan képes egy egész szervezetre vonatkozóan adatokat szolgáltatni. Az Outlook-fiókokhoz való hozzáférés megadhatja a neveket és a közösségi kapcsolatokat, valamint olyan interakciókat, amelyek hasznosak lehetnek a hihetőbb social engineering támadások létrehozásához.
Ez nem csekély fenyegetés. Egyre gyakrabban látunk hozzáértő támadókat, akik gyengén védett alkalmazásokat keresnek, amelyek jelentős hálózati információval rendelkeznek a szélesebb körű támadások végrehajtásához. A 2023-as IBM X-Force 2023 Threat Intelligence Index szerint, a sikeres támadások 41%-a adathalászatot és közösségi manipulációt használt elsődleges vektorként. Például a Okta session token incidens igyekezett kihasználni az ügyfélszolgálati és jegyértékesítő rendszer gyengébb biztonságát, hogy információkat gyűjtsön az ügyfelek elleni adathalász támadásokhoz. E támadások költségei emelkednek, és elképesztőek lehetnek. Az IBM becslései szerint az átlagos jogsértés több mint 4 millió dollárba kerül és a az Okta piaci kapitalizációja dollármilliárdokkal zuhant a jogsértés bejelentése után.
Egy régóta esedékes javítás: kötelező 2FA a bejelentkezéshez
A 23andMe kalapácsok nyilvánvaló igazságot mutatnak. A felhasználónév és jelszó kombinációja nemcsak eredendően nem biztonságos, hanem lényegében nem is biztosítható, és elfogadhatatlan kockázatot jelent. Még azt feltételezni is, hogy a jelszó önmagában biztosít biztonságot, ostobaság. A biztonsági és egyéb tanúsítási folyamatok során minden olyan vállalatot, amely nem engedélyezi az automatizált 2FA-regisztrációt, kockázatosként kell megjelölni, hogy a szükséges kockázati információkat biztosítsa partnereinek, befektetőinek, ügyfeleknek és kormányzati szerveknek.
A 2FA-nak kötelezőnek kell lennie, és minden SaaS-alkalmazás belépési áraként érvényesíteni kell – kivétel nélkül. Egyes szervezetek panaszkodhatnak amiatt, hogy egy ilyen megbízás további súrlódásokat okoz, és negatívan befolyásolja a felhasználói élményt. Az innovatív alkalmazástervezők azonban nagyrészt megoldották ezeket a problémákat azáltal, hogy az első alapelvekből építkeztek, és azt feltételezték, hogy felhasználóiknak 2FA-t kell használniuk. Sőt, számos vezető szervezet, például a GitHub kiadott 2FA mandátumot, így nincs hiány példákban arra vonatkozóan, hogy a tehetséges UX csapatok hogyan kezelik a kihívást.
Érdekes módon ugyanezek a súrlódásra és kényelmetlenségre vonatkozó állítások jelentették egykor a biztonsági öv-kötelezettségek fő panaszát. Ma már senki sem pislog, és a biztonsági övek széles körben elfogadottak. Ugyanebben a szellemben a SaaS-alkalmazásokhoz használt biztonsági övek és légzsákok végül sok milliárd dollárt takarítanak meg a világnak a veszteségek csökkenésében és a termelékenység növekedésében.
Mi a helyzet a belépőkulcsokkal? Sajnos nem valószínű, hogy az elkövetkező években elérik a kritikus tömeget a vállalkozásban. A jelszók pedig még biztonságosabbak, ha MFA-val párosítják. A kihívás tehát a SaaS-gyártók számára lesz, hogy javítsák használhatósági játékukat, és mindenki számára még könnyebben használhatóvá tegyék a 2FA-t és az MFA-t – különösen olyan biztonságosabb tényezőket, mint a biometrikus adatok, a hardverkulcsok és a hitelesítő alkalmazások.
A genetikai adatok a kanárik a SaaS biztonsági szénbányában. Ahogy egyre több életünk és tevékenységünk megy az internetre, egyre több kockázat hárul a vállalkozásokra és a fogyasztókra egyaránt. A SaaS-be való nagyobb biztonság beépítése olyan közjó, amely mindenki hasznára válik. A legjobb és legkézenfekvőbb lépés jelenleg a 2FA kötelezővé tétele a biztonsági alapszintként.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- Forrás: https://www.darkreading.com/vulnerabilities-threats/2fa-must-be-mandatory-asap
- :is
- :nem
- $ UP
- 000
- 1
- 14
- 2023
- 2FA
- 9
- a
- Képes
- Rólunk
- elfogadott
- hozzáférés
- hozzáférhető
- Fiók
- Fiókok
- tevékenységek
- szereplők
- További
- Előny
- Után
- ellen
- algoritmikus
- hasonló
- Minden termék
- kizárólag
- mentén
- an
- és a
- Bemutatjuk
- bármilyen
- app
- Alkalmazás
- alkalmazások
- alkalmazások
- VANNAK
- AS
- feltevés
- támadás
- Támadások
- Hitelesítés
- Automatizált
- automatikusan
- elérhető
- átlagos
- Rossz
- kiindulási
- BE
- mert
- haszon
- BEST
- legjobb gyakorlatok
- milliárd
- biometrikus
- biometrikus
- születés
- testületek
- megsértése
- tágabb
- Épület
- vállalkozások
- de
- by
- jött
- TUD
- képességek
- tőkésítés
- autó
- eset
- végzetes
- Tanúsítvány
- kihívás
- változik
- követelések
- klasszikus
- Szén
- kombinációk
- hogyan
- vállalat
- panasz
- bonyolult
- kompromisszum
- aggodalmak
- kapcsolatok
- tekintélyes
- Fogyasztók
- Költség
- kiadások
- tudott
- kritikai
- vevő
- Vevőszolgálat
- Ügyfelek
- sötét
- Sötét web
- dátum
- adatbázis
- Fok
- tervezők
- DID
- nem
- különböző
- nyilvánosságra
- kijelző
- dna
- dollár
- dropbox
- könnyebb
- könnyen
- hatások
- lehetővé
- végén
- érvényesíteni
- Mérnöki
- biztosítására
- Vállalkozás
- Egész
- belépés
- különösen
- lényegében
- becslések
- Még
- esemény
- Minden
- mindenki
- példa
- példák
- kivégez
- létező
- tapasztalat
- exponenciálisan
- kitett
- Exponálás
- külön-
- kivonat
- tényezők
- nem sikerül
- család
- Jellemzők
- kevés
- vezetéknév
- Rögzít
- megjelölve
- A
- súrlódás
- ból ből
- Tele
- jövő
- játék
- gyűjt
- genetikai
- szerzés
- GitHub
- Go
- jó
- Kormány
- nagyobb
- nagyobb biztonság
- csapkod
- hackerek
- hacker
- kellett
- Kezelés
- hardver
- hash
- Legyen
- Találat
- Kezdőlap
- Hogyan
- HTTPS
- IBM
- illegálisan
- azonnal
- változhatatlan
- Hatás
- Hatások
- fontos
- in
- tartalmaz
- beleértve
- Növelje
- <p></p>
- egyre inkább
- elkerülhetetlen
- információ
- eredendően
- újító
- bizonytalan
- Intelligencia
- kölcsönhatások
- bele
- bevezet
- felbecsülhetetlen
- változatlanul
- Befektetők
- Hát
- IT
- ITS
- jpg
- éppen
- kulcsok
- Címkék
- nagy
- nagymértékben
- réteg
- vezető
- szint
- mint
- életek
- helyszínek
- Hosszú
- nézett
- keres
- veszteség
- készült
- csinál
- Makers
- Megbízás
- megbízások
- megbízó
- kötelező
- Gyártók
- sok
- piacára
- piaci értéke
- Tömeg
- gyufa
- Anyag
- Lehet..
- eszközök
- MFA
- esetleg
- millió
- minimum
- kisebb
- visszaélés
- Hónap
- több
- a legtöbb
- áthelyezve
- kell
- nevek
- Természet
- elengedhetetlen
- negatívan
- hálózat
- hálózati hatások
- nem
- Most
- szám
- számok
- számos
- Nyilvánvaló
- of
- Ajánlatok
- OKTA
- on
- egyszer
- ONE
- online
- csak
- or
- szervezet
- szervezetek
- Más
- mi
- ki
- Outlook
- felett
- párosított
- párok
- partnerek
- Jelszó
- jelszavak
- Emberek (People)
- Adathalászat
- adathalász támadások
- darabok
- Plató
- Platón adatintelligencia
- PlatoData
- kiküldött
- potenciális
- potenciálisan
- gyakorlat
- ár
- elsődleges
- elvek
- problémák
- Folyamatok
- termelékenység
- Profilok
- védelme
- ad
- biztosít
- nyilvános
- emel
- Inkább
- RE
- Olvass
- Csökkent
- összefüggő
- kapcsolat
- viszonylag
- rokonok
- maradványok
- kötelező
- jobb
- felkelő
- Kockázat
- Kockázatos
- tekercselt
- s
- SaaS
- Biztonság
- azonos
- Megtakarítás
- hozzáértés
- forgatókönyv
- biztonság
- biztonság
- lát
- látás
- ülés
- Megosztás
- megosztott
- megosztás
- hiány
- kellene
- Egyszerű
- egyetlen
- laza
- kicsi
- So
- Közösség
- Szociális tervezés
- néhány
- Szponzorált
- tántorgó
- legfontosabb
- Lépés
- megáll
- memorizált
- struktúrák
- sikeres
- ilyen
- támogatás
- rendszer
- Vesz
- tehetséges
- célzás
- csapat
- Tesztelés
- mint
- hogy
- A
- A jövő
- a világ
- azok
- akkor
- Ott.
- Ezek
- ők
- ezt
- fenyegetés
- három
- jegykiadó
- nak nek
- Ma
- jelképes
- fa
- igaz
- valóban
- igazság
- alatt
- sajnálatos módon
- egyedi
- egyediség
- nem úgy mint
- valószínűtlen
- -ig
- használhatóság
- használ
- használt
- hasznos
- használó
- User Experience
- Felhasználók
- ux
- érték
- Járművek
- várjon
- we
- gyengébb
- háló
- JÓL
- voltak
- Mit
- amikor
- ami
- míg
- WHO
- széles körben
- lesz
- val vel
- világ
- év
- Hozam
- te
- zephyrnet