Zararli dastur
Boshqa maxfiy ma'lumotlar bilan birga foydalanuvchi nomlari va parollarni o'g'irlash uchun maxsus yaratilgan zararli dasturlarning bir nechta turlari mavjud. Masalan, keyloggerlar jabrlanuvchining tugmachalarini bosishlarini yozib oladi, shunda tajovuzkor login ma'lumotlarini o'g'irlashi mumkin. Agar foydalanuvchi qurilmasiga clipboard o‘g‘irlash uchun zararli dastur o‘rnatilgan bo‘lsa, u tajovuzkorga yuboradigan maxfiy ma’lumotlarni almashish buferini kuzatishi mumkin. Hisob ma'lumotlarini yig'ish mashinasi veb-sayt yoki ilovaning zararli kengaytmasidir - o'rnatilgandan so'ng u tizimga kirish jarayonida foydalanuvchilar kiritgan har qanday ma'lumotlarni yozib oladi.
Generativ AI
Hujumchilar AI dvigatellarini parollarni buzish, hisob qaydnomalarini o'g'irlash (ATO) va yangi zararli dasturlarni ishlab chiqish va avtomatlashtirish uchun o'rgatishni boshladilar. Ular o'tmishdagidan ancha ishonchliroq ko'rinadigan murakkabroq va maqsadli fishing hujumlarini yaratish uchun generativ AIdan foydalanishlari mumkin.
Generativ AI boshqalarga taqlid qilishni ancha osonlashtirgani sababli, zararli aktyorlar undan "deepfakes" deb nomlanuvchi hujumlarni amalga oshirish va sintetik identifikatsiyalarni yaratish uchun foydalanmoqda. Sintetik identifikatorlar yangi, soxta identifikatorni yaratish uchun ijtimoiy sug'urta raqami yoki tug'ilgan sana kabi haqiqiy identifikatorni soxta shaxsiy ma'lumotlar (ism, aloqa ma'lumotlari) bilan birlashtiradi.
Ushbu soxta identifikatorlar kredit va kredit kartalariga murojaat qilish va olish, hisob ochish yoki ishsizlik yoki tibbiy yordam uchun soxta da'volar yuborish uchun ishlatilishi mumkin.
Parolsiz o'tish vaqti
Parollarni o'g'irlashni qiyinlashtirishning bir necha yo'li mavjud, ammo tahdidni butunlay yo'q qilishning yagona yo'li parollarni yo'q qilishdir. Parolsiz autentifikatsiya parolga bo'lgan ehtiyojni yo'q qiladi va hisob ma'lumotlariga asoslangan hujumlar, jumladan, hisobni egallab olish (ATO), firibgarlik va ma'lumotlar buzilishi bilan bog'liq tahdidlarni kamaytiradi. Ma'lumotlarning buzilishi nafaqat qisqa muddatda qimmatga tushadi, balki ular uzoq muddatli oqibatlarga olib kelishi mumkin. Masalan, yaqinda o'tkazilgan so'rov shuni ko'rsatdiki, amerikaliklarning 78 foizi huquqbuzarliklarga duch kelgan chakana sotuvchi bilan biznes yuritishdan ehtiyot bo'lishadi.
Parolsiz ishlash orqali siz nafaqat yaxshi xavfsizlikka ega bo'lasiz, balki tizimlar va onlayn xizmatlarga kirish to'siqlarini olib tashlash orqali ishchi kuchi samaradorligi va mijozlar ehtiyojini qondirish darajasini oshirishingiz mumkin. Natija? Baxtli foydalanuvchilar bilan xavfsiz biznes va yordam xizmatiga kamroq vaqt va pul sarflanadi.
Qanday qilib parolsiz o'tish kerak
Parolsiz haqida gap ketganda, bitta o'lcham hammaga mos kelmaydi. Bu parolsiz tizimni qo'llaydigan korxonalar uchun va foydalanuvchilar uchun ham to'g'ri - odamlar tanlovni xohlaydi. Parolsiz sayohatda qayerda bo'lishingizdan qat'i nazar, parollarni yo'q qilish uchun bugun ko'rishingiz mumkin bo'lgan qadamlar mavjud.
Parolsiz omilni taklif eting: Ko'p faktorli autentifikatsiya (MFA) omili sifatida turli usullardan foydalanish mumkin, masalan, push bildirishnomasi, bir martalik parol (OTP) yoki elektron pochta orqali yuborilgan sehrli havolalar. Parolsiz omil ishqalanishni kamaytiradi va standart login xavfsizligini yaxshilaydi, lekin parolsiz sifatida tavsiflanishi mumkin emas, chunki u foydalanuvchi nomlari va parollarga tayanadi. Parolsiz omil - bu parollarni butunlay yo'q qilib bo'lmaydigan ilovalar uchun ajoyib tanlovdir. Iste'molchilarga mo'ljallangan saytlar va ilovalar o'z mijozlarining qurilmalari va afzalliklariga qarab bir nechta yondashuvlarni taklif qilishi mumkin.
Parolsiz tajribani taqdim eting: Parol hali ham uni talab qiladigan eski ilovalar uchun mavjud, biroq u fonda xavfsiz ishlaydi, shuning uchun foydalanuvchilar uni kiritishlari yoki hatto koʻrishlari shart emas. Ushbu tajriba TIVdagi ishqalanishni yanada kamaytiradi va xavfsizlikni yaxshilaydi. Foydalanuvchi parol bilan o'zaro aloqada bo'lmagani uchun siz foydalanuvchilar biladigan narsalarni - ularning parollarini buzishi mumkin bo'lgan ijtimoiy muhandislik va generativ sun'iy intellekt (AI) bilan bog'liq ko'plab xavflarni bartaraf qilasiz.
To'liq parolsiz yetkazib berish: Ushbu stsenariyda autentifikatsiya parollardan foydalanmasdan amalga oshiriladi. Buning o'rniga foydalanuvchilar biometrik va maxfiy kalitli kriptografiyadan foydalanishlari mumkin. Parollar foydalanuvchilarga Face ID yoki Touch ID orqali parollarsiz kirishning oddiy va xavfsiz usulini beradi. Foydalanuvchining paroli bo'lmagani uchun - hatto parol ham mavjud emas - siz uning barcha xavfsizlik xatarlarini va foydalanishga yaroqliligini bartaraf etasiz. Ko'plab mashhur qurilmalar, brauzerlar va operatsion tizimlarni ishlab chiqaruvchi Apple, Google va Microsoft kompaniyalari FIDO2 Web Autentifikatsiya (WebAuthn) standarti va kalit kalitlarini qo'llab-quvvatlashni yo'lga qo'ydi, bu esa parolsiz autentifikatsiyani qabul qilishni yanada osonlashtirdi.
Yaxshiroq xavfsizlikdan tortib, xarajatlarni kamaytirish va daromadlarni oshirishgacha, parollarni yo'q qilish har bir tashkilot uchun kengash darajasidagi ustuvor vazifa bo'lishi kerak.
Parollarni buzish bilan bog'liq ish juda oddiy. Buning 5 ta tasdiqlangan usuli mavjud:
So'rash: Ajablanarlisi shundaki, kimningdir paroliga kirishning eng keng tarqalgan usuli bu shunchaki so'rashdir (ko'pincha boshqa narsa bilan bog'liq). Odamlar ko'pincha o'z parollarini hamkasblari, do'stlari va oila a'zolariga aytib berishadi. Murakkab parol siyosatiga ega bo'lish buni o'zgartirmaydi.
Taxmin qilish: Bu odamning hisobiga kirishning ikkinchi eng keng tarqalgan usuli. Ma'lum bo'lishicha, ko'pchilik eslab qolish oson bo'lgan parolni tanlaydi va eng osonlari shaxs sifatida sizga tegishli bo'lganlardir. Sizning familiyangiz, xotiningizning ismi, mushukingizning ismi, tug'ilgan kuningiz, sevimli gulingiz va boshqalar kabi parollar juda keng tarqalgan. Bu muammoni faqat shaxs sifatida sizga hech qanday aloqasi bo'lmagan parolni tanlash orqali hal qilish mumkin.
Qo'pol kuch hujumi: qilish juda oddiy. Xaker bir vaqtning o'zida turli xil parollar yordamida tizimga kirishga harakat qiladi. Agar parolingiz "quyosh" bo'lsa, u "aaa, aab, aac, aad ...sul, sum, sun (MATCH)" yordamida tizimga kirishga harakat qiladi. Shafqatsiz kuch hujumini to'xtatadigan yagona narsa bu yuqori murakkablik va uzunroq parollardir (shuning uchun IT xodimlari sizdan aynan shunday foydalanishingizni xohlashadi).
Umumiy so'z hujumlari: qo'pol kuch hujumlarining oddiy shakli, bunda xaker umumiy so'zlar ro'yxatidan foydalanib tizimga kirishga harakat qiladi. Harflarning turli kombinatsiyasini sinab ko'rish o'rniga, xaker turli xil so'zlarni sinab ko'radi, masalan. "sum, yoz, cho'qqi, sump, quyosh (MATCH)".
Lug'at hujumlari: Umumiy so'z hujumlari bilan bir xil tushuncha - yagona farq shundaki, xaker endi so'zlarning to'liq lug'atidan foydalanadi (ingliz tilida 500 000 ga yaqin so'zlar mavjud).
Parol qachon xavfsiz?
Siz "so'rash" va "taxmin qilish" dan himoya qila olmaysiz, ammo o'zingizni boshqa hujum shakllaridan himoya qilishingiz mumkin. Hacker odatda avtomatlashtirilgan skript yoki uning uchun ishni bajaradigan dastur yaratadi. U 500 000 ta turli so‘zlarni qo‘lda sinab ko‘rish uchun o‘tirib, ulardan biri sizning parolingizmi yoki yo‘qligini tekshirmaydi.
Xavfsizlik o'lchovi "avtomatlashtirilgan dastur qancha parol so'rashi mumkin - masalan, soniyada" bo'lishi kerak. Haqiqiy raqam farq qiladi, lekin ko'pchilik veb-ilovalar soniyada 100 dan ortiq tizimga kirish so'rovlarini bajara olmaydi.
Bu shuni anglatadiki, "quyosh" kabi oddiy parolni buzish uchun quyidagi vaqt kerak bo'ladi:
Shafqatsiz kuch: 3 daqiqa
Umumiy so'z: 3 daqiqa
Lug'at: 1 soat 20 daqiqa
Eslatma: "quyosh" 17 576 ta mumkin bo'lgan belgilar kombinatsiyasiga ega. Kichik alifboda 3 ta harf = 263
Bu, albatta, juda xavfsiz parol, lekin parol xavfsiz bo'lishi uchun qancha vaqt etarli?
1 daqiqada buzib kirish mumkin bo'lgan parol juda xavfli
10 daqiqa - hali ham juda xavfli
1 soat - hali ham etarli emas
1 kun - endi biz bir joyga boryapmiz. Biror kishining butun kun davomida sizning hisobingizni buzish uchun ishlaydigan dasturga ega bo'lish ehtimoli juda kam. Shunga qaramay, bu ishonarli.
1 oy - bu faqat bag'ishlangan hujumchi qiladigan narsa.
1 yil - endi biz amaliy xavfdan nazariy xavfga o'tmoqdamiz. Agar siz NASA yoki Markaziy razvedka boshqarmasi bo'lsangiz, bu qabul qilinishi mumkin emas. Qolganlarimiz uchun sizda bunday dushmanlar yo'q, kompaniyangiz haqidagi ma'lumotlar ham unchalik qiziq emas.
10 yil - Endi biz faqat nazariy gaplashamiz.
Bir umr: 100 yil - bu haqiqatan ham ko'pchilik uchun chegara. Ularning o‘limidan so‘ng parollari buzilgani kimga qiziq? Shunga qaramay, siz "hayot uchun xavfsiz" paroldan foydalanayotganingizni bilish juda yoqimli
Ammo keling, buni to'liq tahlil qilaylik. Keling, "100 yil - hayot uchun xavfsiz" ni ko'rib chiqaylik. Unda yaxshi qo'ng'iroq bor va bu bizni xavfsiz his qiladi. Hackerning omadli bo'lish imkoniyati mavjud. U tasodifan to'g'ri parolni 100 yil o'rniga atigi 15 yil o'tgach topadi. Bu sodir bo'ladi.
Keling, buni ham oshiraylik va to'liq yuqori darajadagi xavfsizlik darajasiga o'tamiz. Men buzib tashlash uchun 1000 yil ketadigan parolni xohlayman - keling, buni "abadiy xavfsiz" deb ataylik. Bu etarlicha yaxshi bo'lishi kerak, to'g'rimi?
Foydalanish mumkin va xavfsiz parollarni yaratish
Endi biz asosiy ma'lumotlarni ko'rib chiqdik, keling, ba'zi haqiqiy misollarni ko'rib chiqamiz va "abadiy xavfsiz" bo'lgan holda parol yaratish qanchalik foydali ekanligini ko'rib chiqamiz.
Eslatma: Quyidagi misollar soniyada 100 ta parol so'roviga asoslangan. Natija - bu aniq parolni buzishning eng samarali usuli - qo'pol kuch ishlatish, umumiy so'zlar yoki lug'at hujumlari.
Avval 6 ta belgidan iborat umumiy parolni ko'rib chiqamiz - turli usullardan foydalangan holda:
Ushbu misolda murakkablik aniq g'alaba qozonadi. Aralash katta harflar, raqamlar va belgilar bilan paroldan foydalanish hamma narsaga qaraganda ancha xavfsizroq. Parol sifatida oddiy so'zdan foydalanish foydasiz.
Bu IT-bo'limlari va xavfsizlik kompaniyalari to'g'ri ekanligini anglatadimi? Yo'q, bu faqat 6 belgidan iborat parol ishlamasligini anglatadi. Hech kim "J4fS<2" kabi parolni eslay olmaydi, bu uning post-notga yozilishini bildiradi.
Foydalanadigan parollarni yaratish uchun biz ularga boshqacha qarashimiz kerak. Avvalo, sizga kerak bo'lgan narsa - eslab qoladigan so'zlarni ishlatish, oddiy narsa va tez yozish.
Bu kabi:
Parol sifatida bir nechta oddiy so'zlardan foydalanish xavfsizlikni sezilarli darajada oshiradi (3 daqiqadan 2 oygacha). Ammo ikkita so'z o'rniga 3 ta so'zdan foydalanib, siz to'satdan juda xavfsiz parolga ega bo'ldingiz.
Bunga .. Vaqt ketadi:
Shafqatsiz kuch usuli yordamida 1 163 859 yil
Umumiy so'z hujumidan foydalangan holda 2537 yil
Lug'at hujumi yordamida 39 637 240 yil
“J4fS<2”ga qaraganda “bu qiziq” parolini parol sifatida ishlatish 10 barobar xavfsizroq.
Agar siz juda xavfsiz bo'lishni istasangiz; parol sifatida oddiy so'zlarni tanlang, masalan:
Foydalanish mumkin bo'lgan va xavfsiz parol murakkab emas. Bu siz eslab qoladigan narsa - 3+ so'zdan iborat oddiy parol.
Bu faqat parollar haqida emas
Bitta narsa xavfsiz va foydalanish mumkin bo'lgan parolni tanlashdir. Yana bir narsa, birinchi navbatda, xakerning parolni buzishiga yo'l qo'ymaslikdir. Buni qilish juda oddiy.
Siz qilishingiz kerak bo'lgan yagona narsa avtomatik xakerlik skriptlarining samarali ishlashiga yo'l qo'ymaslikdir. Buning uchun nima qilishingiz kerak:
Kirish urinishlari orasidagi kechikish vaqtini qo'shing. Odamlarga qayta-qayta kirishga ruxsat berish o'rniga. Har bir urinish orasida 5 soniya kechikish qo'shing.
Bu sezilarli bo'lmaydigan darajada qisqa (noto'g'ri parolni sinab ko'rganingizni tushunish va yangisini kiritish uchun 5 soniyadan ko'proq vaqt ketadi). Va u xakerni har 5 soniyada (sekundiga 100 marta o'rniga) faqat 1 marta kirish so'rovlarini amalga oshirishga majbur qiladi.
Agar biror kishi parolni 10 martadan ko'proq noto'g'ri kiritgan bo'lsa, 1 soatdan ko'proq vaqtni qo'shing. Shunga qaramay, bu xakerlik skriptining samarali ishlashini jiddiy ravishda buzadi.
Xaker sizning serveringizga soniyasiga 100 marta hujum qila olsa, "alp tog'lari" parolini atigi 2 oy ichida buzishi mumkin. Biroq, jarima muddati va 5 soniya kechikish bilan bir xil parol to'satdan 1889 yil davomida hujumni davom ettirishi mumkin.
|
