Bezpieczeństwo cyfrowe
I czy w ogóle jest to właściwe pytanie? Oto, co jeszcze powinieneś wziąć pod uwagę, jeśli chodzi o bezpieczeństwo swoich kont.
Kwiecień 03 2024
•
,
5 minuta. czytać
W ciągu ostatnich kilku lat wiele powiedziano na temat rosnącego potencjału w uwierzytelnianie bez hasła i klucze dostępu. Dzięki niemal wszechobecności rozpoznawania twarzy na smartfonach możliwość logowania się do ulubionych aplikacji lub innych usług poprzez zaglądanie do urządzenia (lub inną metodą uwierzytelnianie biometryczne, jeśli o to chodzi) jest teraz dla wielu odświeżająco prostą i bezpieczną rzeczywistością. Jednak nadal nie jest to normą, zwłaszcza w świecie komputerów stacjonarnych, gdzie wielu z nas nadal polega na starych, dobrych hasłach.
Tutaj właśnie leży wyzwanie – ponieważ hasła pozostają głównym celem oszustów i innych aktorów zagrażających. Jak często powinniśmy zmieniać te dane uwierzytelniające, aby były bezpieczne? Odpowiedź na to pytanie może być trudniejsza niż myślisz.
Dlaczego zmiany hasła mogą nie mieć sensu
Jeszcze nie tak dawno temu zalecano regularną rotację haseł, aby ograniczyć ryzyko ukrytej kradzieży lub złamania zabezpieczeń przez cyberprzestępców. Otrzymana mądrość trwała od 30 do 90 dni.
Jednak czasy się zmieniają i badania sugerują, że częste zmiany haseł, szczególnie według ustalonego harmonogramu, niekoniecznie może poprawić bezpieczeństwo konta. Innymi słowy, nie ma uniwersalnej odpowiedzi na pytanie, kiedy należy zmienić hasło(a). Ponadto wielu z nas ma zbyt wiele kont online, aby wygodnie je śledzić, nie mówiąc już o wymyślaniu (silnych i unikalnych) haseł dla każdego z nich co kilka miesięcy. Poza tym żyjemy obecnie w świecie menedżerowie haseł i uwierzytelnianie dwuskładnikowe (2FA) niemal wszędzie.
To pierwsze oznacza, że łatwiej jest przechowywać i przywoływać długie, silne i unikalne hasła do każdego konta. Ten ostatni dodaje dość płynną dodatkową warstwę bezpieczeństwa do procesu logowania za pomocą hasła. Niektóre menedżerowie haseł mają teraz wbudowane monitorowanie ciemnej sieci, które automatycznie sygnalizuje, kiedy dane uwierzytelniające mogły zostać naruszone i rozpowszechnione w podziemnych witrynach.
W każdym razie istnieją istotne powody, dla których eksperci ds. bezpieczeństwa i autorytety szanowane na całym świecie, takie jak amerykański Narodowy Instytut Standardów i Technologii (NIST) oraz brytyjskie Narodowe Centrum Cyberbezpieczeństwa (NCSC), nie zalecają zmuszania ludzi do zmian hasła co kilka miesięcy, chyba że spełnione zostaną określone kryteria.
Uzasadnienie jest dość proste:
- Według NIST: „Użytkownicy mają tendencję do wybierania słabiej zapamiętanych sekretów, gdy wiedzą, że będą musieli je zmienić w najbliższej przyszłości”.
- „Kiedy te zmiany rzeczywiście nastąpią, często wybierają sekret podobny do ich starego zapamiętanego sekretu, stosując zestaw typowych przekształceń, takich jak zwiększenie liczby w haśle” NIST kontynuuje.
- Praktyka ta zapewnia fałszywe poczucie bezpieczeństwa, ponieważ jeśli poprzednie hasło zostało naruszone i nie zastąpisz go silnym i unikalnym, atakującym może łatwo złamać je ponownie.
- Według NCSC nowe hasła, zwłaszcza tworzone co kilka miesięcy, są również bardziej narażone na zapisanie i/lub zapomnienie.
„To jeden z tych sprzecznych z intuicją scenariuszy bezpieczeństwa; im częściej użytkownicy są zmuszani do zmiany haseł, tym większa jest ogólna podatność na ataki. To, co wydawało się całkowicie rozsądną, ugruntowaną od dawna radą, okazuje się, że nie wytrzymuje rygorystycznej analizy całego systemu” – NCSC twierdzi.
„NCSC zaleca obecnie organizacjom, aby nie wymuszały regularnego wygasania haseł. Uważamy, że zmniejsza to luki w zabezpieczeniach związane z regularnie wygasającymi hasłami, a jednocześnie nie zwiększa w niewielkim stopniu ryzyka długoterminowego wykorzystania haseł”.
Kiedy zmienić hasło
Istnieje jednak kilka scenariuszy, które wymagają zmiany hasła, szczególnie w przypadku najważniejszych kont. Obejmują one:
- Twoje hasło zostało przyłapany na naruszeniu ochrony danych przez osobę trzecią. Prawdopodobnie zostaniesz o tym poinformowany przez samego dostawcę lub być może zapisałeś się na takie powiadomienia w usługach takich jak Have I Been Pwned lub możesz zostać powiadomiony przez dostawcę menedżera haseł przeprowadzającego automatyczne kontrole w ciemnej sieci.
- Twoje hasło to słaby i łatwy do odgadnięcia lub pęknięty (tj. mógł pojawić się na liście najczęstsze hasła). Hakerzy mogą korzystać narzędzia wypróbowywać wspólne hasła na wielu kontach w nadziei, że jedno z nich zadziała – i najczęściej kończy się to sukcesem.
- Używałeś hasła ponownie na wielu kontach. Jeśli którekolwiek z tych kont zostanie naruszone, cyberprzestępcy mogą skorzystać z automatyzacji „wypychanie poświadczeń” oprogramowanie do otwierania konta w innych witrynach/aplikacjach.
- Właśnie dowiedziałeś się, na przykład dzięki nowemu oprogramowaniu zabezpieczającemu, że Twoje urządzenie zostało przejęte przez złośliwe oprogramowanie.
- Ty masz udostępniłeś swoje hasło innej osobie.
- Właśnie usunąłeś osoby ze wspólnego konta (np. byłych współlokatorów).
- Zalogowałeś się na komputerze publicznym (np. w bibliotece) lub na urządzeniu/komputerze innej osoby.
Porady dotyczące najlepszych praktyk dotyczących haseł
Aby zminimalizować ryzyko przejęcia konta, rozważ następujące kwestie:
- Zawsze używaj silnych, długich i unikalnych haseł.
- Zapisz powyższe w menedżerze haseł, który będzie miał dostęp do jednego głównego hasła i będzie mógł automatycznie przywołać wszystkie Twoje hasła do dowolnej witryny lub aplikacji.
- Miej oko na powiadomienia o naruszeniu hasła i podejmuj natychmiastowe działania po ich otrzymaniu.
- Włącz 2FA, gdy tylko jest to możliwe, aby zapewnić dodatkową warstwę bezpieczeństwa Twojemu kontu.
- Rozważać włączanie kluczy gdy jest oferowany w celu zapewnienia bezproblemowego i bezpiecznego dostępu do kont za pomocą telefonu.
- Rozważ regularne audyty haseł: przeglądaj hasła do wszystkich swoich kont i upewnij się, że nie są duplikowane ani łatwe do odgadnięcia. Zmień te, które są słabe lub powtarzające się, lub te, które mogą zawierać dane osobowe, takie jak urodziny lub zwierzęta rodzinne.
- Nie zapisuj swoich haseł w przeglądarce, nawet jeśli wydaje się to dobrym pomysłem. Dzieje się tak dlatego, że przeglądarki są popularnym celem cyberprzestępców, którzy mogą wykorzystać złośliwe oprogramowanie kradnące informacje do przechwytywania Twoich haseł. Spowodowałoby to również ujawnienie zapisanych haseł innym osobom korzystającym z Twojego urządzenia/komputera.
Jeśli nie używasz losowych, silnych haseł sugerowanych przez menedżera haseł (lub Generator haseł firmy ESET), skonsultuj się z tym lista wskazówek z amerykańska Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA). Sugeruje użycie najdłuższego hasła lub hasło dopuszczalne (8–64 znaki), jeśli to możliwe, łącznie z dużymi i małymi literami, cyframi i znakami specjalnymi.
Istnieje nadzieja, że z czasem hasła – przy wsparciu Google, Apple, Microsoft i innych głównych graczy w ekosystemie technologicznym – wreszcie zasygnalizują koniec ery haseł. Ale w międzyczasie upewnij się, że Twoje konta są tak bezpieczne, jak to możliwe.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- Źródło: https://www.welivesecurity.com/en/cybersecurity/how-often-should-change-passwords/
- :ma
- :Jest
- :nie
- :Gdzie
- $W GÓRĘ
- 2FA
- 30
- 33
- a
- zdolność
- Zdolny
- O nas
- powyżej
- dostęp
- Stosownie
- Konto
- Konta
- w poprzek
- Działania
- aktorzy
- faktycznie
- Dodatkowy
- Dodaje
- Rada
- Po
- ponownie
- agencja
- temu
- Alarmy
- Wszystkie kategorie
- prawie
- sam
- również
- an
- analiza
- i
- i infrastruktura
- Inne
- odpowiedź
- sekretarka
- każdy
- ktoś
- nigdzie
- Aplikacja
- pojawił się
- Apple
- Stosowanie
- mobilne i webowe
- kwiecień
- SĄ
- AS
- zapytać
- powiązany
- atakować
- kontrole
- Władze
- zautomatyzowane
- automatycznie
- dostępny
- BE
- bo
- być
- uwierzyć
- pomiędzy
- przeglądarka
- przeglądarki
- wybudowany
- ale
- by
- CAN
- zdobyć
- Kategoria
- centrum
- pewien
- wyzwanie
- duża szansa,
- zmiana
- Zmiany
- znaków
- Wykrywanie urządzeń szpiegujących
- Dodaj
- jak
- byliśmy spójni, od początku
- wspólny
- zniewalający
- Zagrożone
- komputer
- Rozważać
- konsultować
- zawierać
- mógłby
- pęknięcie
- świetny
- stworzony
- POŚWIADCZENIE
- Listy uwierzytelniające
- Kryteria
- cyber
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Ciemny
- Mroczny WWW
- dane
- Dni
- stacjonarny
- urządzenie
- do
- Nie
- robi
- nie
- na dół
- e
- każdy
- łatwiej
- z łatwością
- łatwo
- Ekosystem
- więcej
- zakończenia
- zapewnić
- Era
- szczególnie
- Parzyste
- Każdy
- wszędzie
- przykład
- eksperci
- wygaśnięcie
- eksploatacja
- dodatkowy
- oko
- Twarzowy
- rozpoznawanie twarzy
- dość
- fałszywy
- członków Twojej rodziny
- Moja lista
- kilka
- W końcu
- następujący
- W razie zamówieenia projektu
- wytrzymałość
- wymuszony
- zapomniany
- Dawny
- częsty
- od
- Globalnie
- dobry
- większy
- Rozwój
- zgadnąć
- hakerzy
- Have
- nadzieję
- W jaki sposób
- HTML
- HTTPS
- i
- pomysł
- if
- Natychmiastowy
- ważny
- podnieść
- in
- W innych
- zawierać
- Włącznie z
- Zwiększać
- wzrastający
- Informacja
- poinformowany
- Infrastruktura
- Instytut
- najnowszych
- IT
- jpeg
- jpg
- właśnie
- Trzymać
- konserwacja
- Wiedzieć
- warstwa
- dowiedziałem
- niech
- Biblioteka
- leży
- lubić
- Prawdopodobnie
- Lista
- mało
- relacja na żywo
- log
- zalogowany
- Zaloguj Się
- długo
- długoterminowy
- poszukuje
- zrobiony
- poważny
- robić
- malware
- kierownik
- wiele
- mistrz
- Materia
- Maksymalna szerokość
- Może..
- znaczy
- w międzyczasie
- spełnione
- metoda
- Microsoft
- może
- min
- zminimalizować
- Złagodzić
- monitorowanie
- miesięcy
- jeszcze
- większość
- wielokrotność
- narodowy
- NCSC
- Blisko
- koniecznie
- Nowości
- nist
- już dziś
- numer
- z naszej
- występować
- of
- oferowany
- często
- Stary
- on
- ONE
- te
- Online
- na
- koncepcja
- or
- zamówienie
- organizacji
- Inne
- na zewnątrz
- koniec
- ogólny
- Hasło
- Password Manager
- hasła
- Przeszłość
- Ludzie
- doskonale
- osobisty
- Zwierzęta
- PHIL
- telefon
- kawałek
- plato
- Analiza danych Platona
- PlatoDane
- gracze
- Popularny
- możliwy
- potencjał
- praktyka
- poprzedni
- wygląda tak
- zapewniać
- dostawca
- zapewnia
- publiczny
- pytanie
- przypadkowy
- Kurs
- racjonalny
- Rzeczywistość
- Przyczyny
- Odebrane
- odbieranie
- uznanie
- polecić
- Zalecana
- zmniejsza
- regularny
- regularnie
- opierając się
- Usunięto
- powtórzony
- obsługi produkcji rolnej, która zastąpiła
- Badania naukowe
- Badania wskazują,
- szanowany
- przeglądu
- prawo
- rygorystyczny
- Ryzyko
- bieganie
- s
- "bezpiecznym"
- Zapisz
- zapisywane
- scenariusze
- rozkład
- bezszwowy
- Tajemnica
- tajniki
- bezpieczne
- bezpieczeństwo
- wydaje
- wybierać
- rozsądek
- Usługi
- zestaw
- kilka
- shared
- powinien
- Signal
- podobny
- Prosty
- pojedynczy
- witryna internetowa
- Witryny
- So
- Tworzenie
- kilka
- specjalny
- stoisko
- standardy
- Nadal
- sklep
- silny
- osiągnąć sukces
- taki
- Wskazuje
- wsparcie
- Brać
- Przejęcie
- cel
- tech
- Technologia
- Tendencję
- niż
- Podziękowania
- że
- Połączenia
- kradzież
- ich
- Im
- sami
- Tam.
- Te
- one
- myśleć
- innych firm
- dane osób trzecich
- to
- tych
- groźba
- podmioty grożące
- czas
- czasy
- wskazówki
- do
- także
- śledzić
- przemiany
- próbować
- włącza
- pod ziemią
- wyjątkowy
- chyba że
- us
- posługiwać się
- Użytkownicy
- za pomocą
- Luki w zabezpieczeniach
- wrażliwość
- była
- we
- słaby
- słabszy
- sieć
- Co
- jeśli chodzi o komunikację i motywację
- ilekroć
- który
- Podczas
- KIM
- dlaczego
- będzie
- mądrość
- w
- słowa
- działa
- świat
- by
- napisany
- lat
- You
- Twój
- zefirnet