COMMENTAAR
Een van de weinige stukjes informatie die echt onveranderlijk en potentieel van onschatbare waarde is, is genetische informatie. We kunnen ons genoom niet in grote mate veranderen. In tegenstelling tot biometrische gegevens, die in een willekeurig aantal verschillende algoritmische of gehashte structuren kunnen worden opgeslagen, kan genetische informatie steevast worden gereduceerd tot eenvoudige sequenties van aminozuurparen. Het nachtmerriescenario is dus dat slechte actoren een genetische database hacken en grote aantallen mensen toegang geven tot de biologische blauwdrukken.
Onlangs werd die nachtmerrie werkelijkheid met de hack van genetisch testbedrijf 23andMe. Aanvallers gebruikten klassiek technieken voor het opvullen van referenties om illegaal toegang te krijgen tot 14,000 gebruikersaccounts. Maar daar stopten ze niet. Dankzij de deelfuncties van 23andMe waarmee gebruikers gegevens van andere gebruikers die mogelijk verwant zijn, kunnen delen en lezen, konden de hackers genetische gegevens van 6.9 miljoen mensen. De aanvallers plaatsten aanbiedingen op het Dark Web voor 1 miljoen profielen. 23andMe maakte de volledige impact pas een maand na de aanval bekend.
Om gebruikers te beschermen vraagt 23andMe alle gebruikers om hun wachtwoorden onmiddellijk te wijzigen en ervoor te zorgen dat ze uniek en complex zijn. Dit is goed maar onvoldoende. Belangrijker nog is dat het bedrijf bestaande klanten automatisch inschrijft voor tweefactorauthenticatie voor een extra beveiligingslaag. In plaats van te wachten op de onvermijdelijke catastrofale gebeurtenis zou elke software-as-a-service (SaaS)-app 2FA verplicht moeten stellen en moeten best practices van 2FA naar MFA worden verplaatst met minimaal drie factoren beschikbaar. Het is nu een kwestie van openbare veiligheid en zou verplicht moeten zijn, net zoals autofabrikanten veiligheidsgordels en airbags in hun voertuigen moeten integreren.
Netwerkeffecten vermenigvuldigen de gevolgen van compromissen
Veel van onze accounts en SaaS-applicaties bevatten netwerkmogelijkheden die de zichtbaarheid exponentieel vergroten. In het geval van 23andMe omvatten de openbaar gemaakte gegevens informatie uit DNA Relatives-profielen (5.5 miljoen) en Family Tree-profielen (1.4 miljoen) die de 14,000 accountgebruikers hadden gedeeld of toegankelijk gemaakt. Deze informatie omvatte locaties, weergavenamen, relatielabels en DNA dat werd gedeeld met matches, evenals geboortejaren en locaties voor sommige gebruikers. Hoewel de marktwaarde van DNA-gegevens voor hackers onduidelijk blijft, zorgen het unieke karakter en de onvervangbare aard ervan voor zorgen over mogelijk misbruik en gerichte targeting in de toekomst.
Vervang 23andMe door Dropbox, Outlook of Slack en je kunt gemakkelijk zien hoe een relatief klein aantal blootgestelde accounts gegevens kan opleveren voor een hele organisatie. Toegang tot een Outlook-account kan de namen en sociale connecties opleveren, samen met interacties die nuttig kunnen zijn voor het opzetten van geloofwaardigere social engineering-aanvallen.
Dit is geen kleine bedreiging. We zien steeds vaker dat slimme aanvallers op zoek zijn naar zwakker bewaakte applicaties die over aanzienlijke netwerkinformatie beschikken om bredere aanvallen uit te voeren. Volgens de IBM X-Force 2023 Threat Intelligence Index van 202341% van de succesvolle aanvallen maakte gebruik van phishing en social engineering als voornaamste vector. Bijvoorbeeld de Okta-sessietoken-incident probeerde te profiteren van de zwakkere beveiliging van zijn klantenondersteunings- en ticketingsysteem als een manier om informatie te verzamelen voor phishing-aanvallen op klanten. De kosten van deze aanvallen stijgen en kunnen enorm zijn. IBM schat dat de gemiddelde inbreuk ruim 4 miljoen dollar heeft gekost en De marktkapitalisatie van Okta kelderde met miljarden dollars na de aankondiging van de overtreding.
Een langverwachte oplossing: verplichte 2FA voor logins
De 23andMe-hack hamert op een voor de hand liggende waarheid. Combinaties van gebruikersnaam en wachtwoord zijn niet alleen inherent onveilig, maar in wezen ook onverzekerbaar en vormen een onaanvaardbaar risico. Zelfs aannemen dat alleen een wachtwoord veiligheid biedt, is dwaas. In beveiligings- en andere certificeringsprocessen moet elk bedrijf dat er niet in slaagt geautomatiseerde 2FA-inschrijving mogelijk te maken, als riskant worden gemarkeerd om de noodzakelijke risico-informatie te verstrekken aan partners, investeerders, klanten en overheidsinstanties.
De 2FA moet verplicht zijn en worden afgedwongen als toegangsprijs voor elke SaaS-applicatie – geen uitzonderingen. Sommige organisaties zouden kunnen klagen dat een dergelijk mandaat voor extra wrijving zal zorgen en een negatieve invloed zal hebben op de gebruikerservaring. Maar innovatieve applicatieontwerpers hebben deze problemen grotendeels opgelost door voort te bouwen op basisprincipes, in de veronderstelling dat hun gebruikers 2FA moeten gebruiken. Bovendien hebben talloze toonaangevende organisaties zoals GitHub 2FA-mandaten uitgerold, dus er is geen tekort aan voorbeelden van hoe getalenteerde UX-teams met de uitdaging omgaan.
Vreemd genoeg waren dezelfde beweringen over wrijving en ongemak ooit de voornaamste klacht tegen het verplicht stellen van veiligheidsgordels. Tegenwoordig knippert niemand meer met de ogen en zijn veiligheidsgordels algemeen aanvaard. In diezelfde geest zullen veiligheidsgordels en airbags voor SaaS-apps de wereld uiteindelijk vele miljarden dollars besparen aan minder verliezen en een hogere productiviteit.
Hoe zit het met toegangscodes? Helaas is het onwaarschijnlijk dat ze de komende jaren een kritische massa in het bedrijfsleven zullen bereiken. En wachtwoordsleutels zijn nog veiliger in combinatie met MFA. De uitdaging zal dus aan SaaS-makers liggen om hun bruikbaarheidsspel te verbeteren en 2FA en MFA voor iedereen nog gemakkelijker te maken – vooral veiligere factoren zoals biometrie, hardwaresleutels en authenticator-apps.
Genetische gegevens zijn de kanarie in de SaaS-beveiligingskolenmijn. Nu steeds meer van onze levens en activiteiten online plaatsvinden, ontstaan er steeds meer risico's voor zowel bedrijven als consumenten. Het inbouwen van meer veiligheid in SaaS is een publiek goed waar iedereen baat bij heeft. De beste en meest voor de hand liggende stap op dit moment is het verplicht stellen van 2FA als basisniveau van beveiliging.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/vulnerabilities-threats/2fa-must-be-mandatory-asap
- :is
- :niet
- $UP
- 000
- 1
- 14
- 2023
- 2FA
- 9
- a
- in staat
- Over
- aanvaard
- toegang
- beschikbaar
- Account
- accounts
- activiteiten
- actoren
- Extra
- Voordeel
- Na
- tegen
- algoritmische
- gelijk
- Alles
- alleen
- langs
- an
- en
- Het aankondigen
- elke
- gebruiken
- Aanvraag
- toepassingen
- apps
- ZIJN
- AS
- aanname
- aanvallen
- Aanvallen
- authenticatie
- geautomatiseerde
- webmaster.
- Beschikbaar
- gemiddelde
- slecht
- Baseline
- BE
- omdat
- voordeel
- BEST
- 'best practices'
- miljarden
- biometrische
- biometrie
- geboorte
- lichamen
- overtreding
- bredere
- Gebouw
- ondernemingen
- maar
- by
- kwam
- CAN
- mogelijkheden
- kapitalisatie
- auto
- geval
- katastrofisch
- Certificering
- uitdagen
- verandering
- vorderingen
- klassiek
- Steenkool
- combinaties
- hoe
- afstand
- klacht
- complex
- compromis
- Zorgen
- aansluitingen
- aanzienlijk
- Consumenten
- Kosten
- Kosten
- kon
- kritisch
- klant
- Klantenservice
- Klanten
- Donker
- Dark Web
- gegevens
- Database
- Mate
- ontwerpers
- DEED
- Jonathan Bourdon
- anders
- Openbaren
- Display
- dna
- dollar
- dropbox
- gemakkelijker
- gemakkelijk
- duurt
- in staat stellen
- einde
- afgedwongen
- Engineering
- verzekeren
- Enterprise
- Geheel
- toegang
- vooral
- in wezen
- schattingen
- Zelfs
- Event
- Alle
- iedereen
- voorbeeld
- voorbeelden
- uitvoeren
- bestaand
- ervaring
- exponentieel
- blootgestelde
- Media
- extra
- extract
- factoren
- mislukt
- familie
- Voordelen
- weinig
- Voornaam*
- Bepalen
- markeerde
- Voor
- wrijving
- oppompen van
- vol
- toekomst
- spel
- verzamelen
- genetisch
- het krijgen van
- GitHub
- Go
- goed
- Overheid
- meer
- meer veiligheid
- houwen
- Hackers
- hacking
- HAD
- Behandeling
- Hardware
- gehashte
- Hebben
- Hit
- Home
- Hoe
- HTTPS
- IBM
- wederrechtelijk
- per direct
- onveranderlijk
- Impact
- Effecten
- belangrijk
- in
- omvatten
- inclusief
- Laat uw omzet
- meer
- in toenemende mate
- onvermijdelijk
- informatie
- inherent
- innovatieve
- onzeker
- Intelligentie
- interacties
- in
- voorstellen
- onschatbaar
- onveranderlijk
- Investeerders
- isn
- IT
- HAAR
- jpg
- voor slechts
- toetsen
- labels
- Groot
- grotendeels
- lagen
- leidend
- Niveau
- als
- Lives
- locaties
- lang
- keek
- op zoek
- verliezen
- gemaakt
- maken
- Makers
- mandaat
- mandaten
- verplicht stellen
- verplicht
- Fabrikanten
- veel
- Markt
- marktwaarde
- Massa
- lucifers
- Materie
- Mei..
- middel
- MFA
- macht
- miljoen
- minimum
- minder
- misbruik
- Maand
- meer
- meest
- verplaatst
- Dan moet je
- namen
- NATUUR
- noodzakelijk
- negatief
- netwerk
- netwerk effecten
- geen
- nu
- aantal
- nummers
- vele
- Voor de hand liggend
- of
- Aanbod
- OCTA
- on
- eens
- EEN
- online.
- Slechts
- or
- organisatie
- organisaties
- Overige
- onze
- uit
- Outlook
- over
- gepaarde
- paren
- partners
- Wachtwoord
- wachtwoorden
- Mensen
- Phishing
- phishing-aanvallen
- stukken
- Plato
- Plato gegevensintelligentie
- PlatoData
- geplaatst
- potentieel
- mogelijk
- praktijken
- prijs
- primair
- principes
- problemen
- processen
- produktiviteit
- Profielen
- beschermen
- zorgen voor
- biedt
- publiek
- verhogen
- liever
- RE
- Lees
- Gereduceerd
- verwant
- verwantschap
- relatief
- familieleden
- stoffelijk overschot
- nodig
- rechts
- stijgende
- Risico
- Riskant
- Opgerold
- s
- SaaS
- Veiligheid
- dezelfde
- Bespaar
- savvy
- scenario
- beveiligen
- veiligheid
- zien
- te zien
- Sessie
- Delen
- gedeeld
- delen
- schaarste
- moet
- Eenvoudig
- single
- speling
- Klein
- So
- Social
- Social engineering
- sommige
- Gesponsorde
- onthutsend
- kram
- Stap voor
- stop
- opgeslagen
- structuren
- geslaagd
- dergelijk
- ondersteuning
- system
- Nemen
- getalenteerd
- targeting
- teams
- Testen
- neem contact
- dat
- De
- De toekomst
- de wereld
- hun
- harte
- Er.
- Deze
- ze
- dit
- bedreiging
- drie
- ticketing
- naar
- vandaag
- teken
- boom
- waar
- echt
- waarheid
- voor
- helaas
- unieke
- uniciteit
- anders
- onwaarschijnlijk
- tot
- bruikbaarheid
- .
- gebruikt
- nuttig
- Gebruiker
- Gebruikerservaring
- gebruikers
- ux
- waarde
- Voertuigen
- wachten
- we
- zwakkere
- web
- GOED
- waren
- Wat
- wanneer
- welke
- en
- WIE
- wijd
- wil
- Met
- wereld
- jaar
- Opbrengst
- You
- zephyrnet