해설
정말로 불변이고 잠재적으로 귀중한 정보 중 하나는 유전 정보입니다. 우리는 게놈을 크게 바꿀 수 없습니다. 다양한 알고리즘 또는 해시 구조로 저장될 수 있는 생체 데이터와는 달리, 유전 정보는 변함없이 단순한 아미노산 쌍 시퀀스로 축소될 수 있습니다. 그렇다면 악몽 같은 시나리오는 악의적인 행위자가 유전자 데이터베이스를 해킹하여 수많은 사람들이 생물학적 청사진에 접근할 수 있게 되는 것입니다.
최근 그 악몽이 현실이 됐다. 유전자 검사 회사 23andMe 해킹. 공격자는 클래식을 사용했습니다. 크리덴셜 스터핑 기술 14,000개의 사용자 계정에 불법적으로 액세스합니다. 그러나 그들은 거기서 멈추지 않았습니다. 사용자가 관련이 있을 수 있는 다른 사용자의 데이터를 공유하고 읽을 수 있는 23andMe의 공유 기능으로 인해 해커는 다음과 같은 정보를 추출할 수 있었습니다. 6.9만명의 유전자 데이터. 공격자는 다크 웹에 1백만 개의 프로필에 대한 제안을 게시했습니다. 23andMe는 공격이 발생한 지 한 달이 될 때까지 전체 영향을 공개하지 않았습니다.
사용자를 보호하기 위해 23andMe는 모든 사용자에게 즉시 비밀번호를 변경하고 비밀번호가 고유하고 복잡한지 확인하도록 요청하고 있습니다. 이것은 좋지만 부족합니다. 더 중요한 점은 회사가 추가 보안 계층을 위해 기존 고객을 이중 인증에 자동으로 등록하고 있다는 것입니다. 피할 수 없는 재앙적인 사건을 기다리기보다는 모든 단일 SaaS(Software-as-a-Service) 앱에서 2FA를 필수로 설정해야 하며, 모범 사례는 최소 2가지 요소를 사용할 수 있는 XNUMXFA에서 MFA로 이동해야 합니다. 이는 이제 공공 안전의 문제이며 자동차 제조업체가 차량에 안전벨트와 에어백을 포함해야 하는 것처럼 의무화되어야 합니다.
네트워크 효과로 인해 침해의 영향이 배가됨
당사의 많은 계정과 SaaS 애플리케이션에는 노출을 기하급수적으로 증가시키는 네트워크 기능이 포함되어 있습니다. 23andMe의 경우 노출된 데이터에는 5.5명의 계정 사용자가 공유했거나 접근 가능하게 한 DNA 친척 프로필(1.4만 개)과 패밀리 트리 프로필(14,000만 개)의 정보가 포함되었습니다. 이 정보에는 위치, 표시 이름, 관계 레이블, 일치 항목과 공유된 DNA는 물론 일부 사용자의 출생 연도 및 위치도 포함되었습니다. 해커를 위한 DNA 데이터의 시장 가치는 여전히 불분명하지만, 그 고유성과 대체할 수 없는 특성은 향후 오용 및 표적화 가능성에 대한 우려를 불러일으킵니다.
23andMe를 Dropbox, Outlook 또는 Slack으로 교체하면 상대적으로 적은 수의 노출된 계정이 전체 조직에 대한 데이터를 생성할 수 있는 방법을 쉽게 확인할 수 있습니다. Outlook 계정에 액세스하면 보다 믿을만한 사회 공학 공격을 구축하는 데 유용할 수 있는 상호 작용과 함께 이름과 사회적 연결이 생성될 수 있습니다.
이것은 사소한 위협이 아닙니다. 더 광범위한 공격을 실행하기 위해 상당한 네트워크 정보를 갖고 있으며 보안이 취약한 애플리케이션을 찾는 노련한 공격자들이 점점 늘어나고 있습니다. 2023년 IBM X-Force 2023 위협 인텔리전스 지수에 따르면, 성공적인 공격의 41%는 피싱과 사회 공학을 주요 공격 수단으로 사용했습니다. 예를 들어, Okta 세션 토큰 사건 고객을 대상으로 한 피싱 공격에 대한 정보를 수집하는 수단으로 고객 지원 및 티켓팅 시스템의 취약한 보안을 활용하려고 했습니다. 이러한 공격으로 인한 비용은 증가하고 있으며 그 규모는 엄청날 수 있습니다. IBM은 평균 침해 비용을 4만 달러 이상으로 추산합니다. 그리고 옥타 시가총액 수십억 달러 급락 위반 사실을 발표한 후.
기한이 지난 수정: 로그인에 대한 필수 2FA
23andMe 해킹은 분명한 진실을 알려줍니다. 사용자 이름과 비밀번호 조합은 본질적으로 안전하지 않을 뿐만 아니라 본질적으로 보험에 가입할 수 없고 용납할 수 없는 위험입니다. 비밀번호만으로 보안이 제공된다고 가정하는 것조차 어리석은 일입니다. 보안 및 기타 인증 프로세스에서 자동화된 2FA 등록을 활성화하지 못하는 회사는 위험하다고 표시되어 파트너, 투자자, 고객 및 정부 기관에 필요한 위험 정보를 제공해야 합니다.
2FA는 필수이며 모든 SaaS 애플리케이션에 대한 진입 가격으로 시행되어야 하며 예외는 없습니다. 일부 조직에서는 그러한 의무가 추가 마찰을 일으키고 사용자 경험에 부정적인 영향을 미칠 것이라고 불평할 수 있습니다. 그러나 혁신적인 애플리케이션 설계자는 사용자가 2FA를 사용해야 한다는 가정하에 첫 번째 원칙을 기반으로 구축하여 이러한 문제를 대부분 해결했습니다. 게다가 GitHub와 같은 수많은 주요 조직이 2FA 의무 사항을 발표했기 때문에 재능 있는 UX 팀이 이 과제를 어떻게 처리하는지 보여주는 예가 부족하지 않습니다.
흥미롭게도 마찰과 불편함에 대한 동일한 주장은 한때 안전벨트 의무화에 대한 주요 불만사항이었습니다. 오늘날에는 눈을 깜박이는 사람이 없으며 안전벨트 착용이 널리 받아들여지고 있습니다. 같은 맥락에서 SaaS 앱용 안전벨트와 에어백은 결국 손실 감소와 생산성 향상을 통해 수십억 달러를 절약하게 될 것입니다.
암호키는 어떻습니까? 불행하게도 앞으로 몇 년 동안 기업에서 임계 수준에 도달할 가능성은 거의 없습니다. MFA와 함께 사용하면 패스키가 더욱 안전해집니다. 그렇다면 SaaS 제조업체는 유용성 게임을 강화하고 2FA 및 MFA를 모든 사람이 더욱 쉽게 사용할 수 있도록 만드는 것이 과제가 될 것입니다. 특히 생체 인식, 하드웨어 키, 인증 앱과 같은 보다 안전한 요소가 더욱 그렇습니다.
유전 데이터는 SaaS 보안 탄광의 카나리아입니다. 우리의 삶과 활동이 점점 더 온라인화되면서 기업과 소비자 모두에게 더 많은 위험이 발생합니다. SaaS에 더 강력한 보안을 구축하는 것은 모두에게 이익이 되는 공공재입니다. 현재 가장 확실하고 최선의 단계는 2FA를 기본 보안 수준으로 의무화하는 것입니다.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/vulnerabilities-threats/2fa-must-be-mandatory-asap
- :이다
- :아니
- $UP
- 000
- 1
- 14
- 2023
- 2FA
- 9
- a
- 할 수 있는
- 소개
- 접수
- ACCESS
- 얻기 쉬운
- 계정
- 계정
- 방과 후 액티비티
- 배우
- 추가
- 이점
- 후
- 반대
- 알고리즘
- 서로 같은
- All
- 혼자
- 따라
- an
- 및
- 발표
- 어떤
- 앱
- 어플리케이션
- 어플리케이션
- 앱
- 있군요
- AS
- 가정
- 공격
- 공격
- 인증
- 자동화
- 자동적으로
- 가능
- 평균
- 나쁜
- 기준
- BE
- 때문에
- 이익
- BEST
- 모범 사례
- 수십억
- 생체 인식
- 생체 인식
- 출생
- 기관
- 위반
- 더 넓은
- 건물
- 사업
- 비자 면제 프로그램에 해당하는 국가의 시민권을 가지고 있지만
- by
- 온
- CAN
- 기능
- 자본화
- 자동차
- 케이스
- 치명적인
- 인증
- 도전
- 이전 단계로 돌아가기
- 주장
- 고전적인
- 석탄
- 조합
- 왔다
- 회사
- 불평
- 복잡한
- 타협
- 우려 사항
- 연결
- 많은
- 소비자
- 비용
- 비용
- 수
- 임계
- 고객
- 고객센터
- 고객
- 어두운
- 어두운 웹
- 데이터
- 데이터베이스
- 도
- 디자이너
- DID
- didn
- 다른
- 드러내다
- 디스플레이
- DNA
- 달러
- 드롭 박스
- 쉽게
- 용이하게
- 효과
- 가능
- end
- 강요된
- 엔지니어링
- 확인
- Enterprise
- 전체의
- 항목
- 특히
- 본질적으로
- 견적
- 조차
- 이벤트
- 모든
- 사람
- 예
- 예
- 실행
- 현존하는
- 경험
- 기하 급수적으로
- 드러난
- 노출 시간
- 여분의
- 추출물
- 요인
- 실패
- 가족
- 특징
- 를
- 먼저,
- 수정
- 신고 된
- 럭셔리
- 마찰
- 에
- 가득 찬
- 미래
- 경기
- 수집
- 유전
- 점점
- GitHub의
- Go
- 좋은
- Government
- 큰
- 더 큰 보안
- 마구 자르기
- 해커
- 컴퓨터 조작을 즐기기
- 했다
- 처리
- 하드웨어
- 해시
- 있다
- 히트
- 홈
- 방법
- HTTPS
- IBM
- 불법적으로
- 바로
- 불변의
- 영향
- 영향
- 중대한
- in
- 포함
- 포함
- 증가
- 증가
- 더욱 더
- 피할 수없는
- 정보
- 본질적으로
- 혁신적인
- 불안 정한
- 인텔리전스
- 상호 작용
- 으로
- 소개
- 헤아릴
- 변함없이
- 법률
- Isn
- IT
- 그
- JPG
- 다만
- 키
- 레이블
- 넓은
- 크게
- 층
- 지도
- 레벨
- 처럼
- 삶
- 위치
- 긴
- 보고
- 찾고
- 사상자 수
- 만든
- 확인
- 제조사
- 위임
- 위임장
- 명령
- 필수
- 제조 업체
- .
- 시장
- 시장 가치
- 질량
- 성냥
- 문제
- XNUMX월..
- 방법
- MFA
- 수도
- 백만
- 최저한의
- 미성년자
- 오용
- 달
- 배우기
- 가장
- 움직이는
- 절대로 필요한 것
- 이름
- 자연
- 필요한
- 부정적으로
- 네트워크
- 네트워크 효과
- 아니
- 지금
- 번호
- 숫자
- 다수의
- 분명한
- of
- 제공
- 옥타
- on
- 일단
- ONE
- 온라인
- 만
- or
- 조직
- 조직
- 기타
- 우리의
- 아웃
- Outlook
- 위에
- 쌍을 이루는
- 쌍
- 파트너
- 비밀번호
- 암호
- 사람들
- 피싱
- 피싱 공격
- 개
- 플라톤
- 플라톤 데이터 인텔리전스
- 플라토데이터
- 게시
- 가능성
- 잠재적으로
- 사례
- 가격
- 일차
- 원칙
- 문제
- 프로세스
- 생산력
- 프로필
- 보호
- 제공
- 제공
- 공개
- 모집
- 차라리
- RE
- 읽기
- 감소
- 관련
- 관계
- 상대적으로
- 친척
- 유적
- 필수
- 연락해주세요
- 상승
- 위험
- 위험한
- 압연
- s
- SaaS는
- 안전
- 같은
- 찜하기
- 실제적 지식
- 대본
- 안전해야합니다.
- 보안
- 참조
- 보고
- 세션
- 공유
- 공유
- 공유
- 부족
- 영상을
- 단순, 간단, 편리
- 단일
- 느슨하게
- 작은
- So
- 사회적
- 사회 공학
- 일부
- 후원
- 비틀 거리는
- 스테이플
- 단계
- 중지
- 저장
- 구조
- 성공한
- 이러한
- SUPPORT
- 체계
- 받아
- 재능
- 대상
- 팀
- 지원
- 보다
- 그
- XNUMXD덴탈의
- 미래
- 세계
- 그들의
- 그때
- 그곳에.
- Bowman의
- 그들
- 이
- 위협
- 세
- 발권
- 에
- 오늘
- 토큰
- 나무
- 참된
- 진정으로
- 진실
- 아래에
- 운수 나쁘게
- 유일한
- 고유성
- 같지 않은
- 가능성
- 까지
- 유용성
- 사용
- 익숙한
- 유용
- 사용자
- 사용자 경험
- 사용자
- ux
- 가치
- 차량
- 기다리다
- we
- 약한
- 웹
- 잘
- 했다
- 뭐
- 언제
- 어느
- 동안
- 누구
- 크게
- 의지
- 과
- 세계
- 년
- 수율
- 자신의
- 제퍼 넷