Hiba lépett fel a jelszavával kapcsolatban, függetlenül attól, hogy mi okozta.

Technológia

A jelszavak száma a világban jóval meghaladja azt, amire szükség lenne, és sajnos a sebezhetőségek is bőven jelen vannak. A kis- és közepes vállalkozások, valamint ügyfeleik védelme érdekében léteznek hatékony megoldások a támadások ellen. Érdemes ezeket nem csupán technológiai kihívásként, hanem jövedelmező üzleti lehetőségként szemlélni.

A jelszavak a digitális biztonság egyik legnagyobb kihívását jelentik. Nem csupán a már ellopott jelszavak, hanem az összes létező jelszó is problémát okoz. Ezt támasztja alá a Sophos kiberbiztonsági vállalat április elején közzétett globális jelentése, amely szerint a kompromittált belépési adatok már második éve vezetik a támadási módszerek listáját világszerte. Éppen ezért itt az ideje, hogy elgondolkodjunk a felhasználónév-jelszó kombinációk elavultságán. Az azonosítási módszerek, amelyek az informatika hajnalán születtek, az idők folyamán sokat változtak. Az évtizedek során a szakértők folyamatosan arra ösztönöztek minket, hogy egyre hosszabb és bonyolultabb jelszavakat használjunk, és ez a javaslat a mai napig népszerű.

Az a kockázat azonban a mai napig megmaradt, hogy aki megszerzi a jelszót, az be is tud lépni vele. Néhány éve elterjedtnek mondható a kétfaktoros azonosítás - amikor a megjegyzendő jelszó mellé sms-ben vagy hitelesítő alkalmazásban egy második, rövid ideig érvényes kód is érkezik -, ám ez csak a nem igazán elszánt vagy felkészült csalók kivédésére alkalmas. Az ügyesebb bűnözők könnyen beszerezhetik ezt a második titkos kódot is, például azáltal, hogy hozzáférést szereznek a kiszemelt célpont telefonjához, így rálátnak az érkező sms-re.

A Sophos szakértői arra figyelmeztetnek, hogy a többlépcsős hitelesítés fokozott védelmet igényel. E probléma orvoslására ígéretes megoldásként léphet be a WebAuthn protokoll. Amikor egy felhasználó új fiókot regisztrál, a rendszer egyedi nyilvános és privát kriptográfiai kulcspárt generál. A nyilvános kulcs a szolgáltató szerverén tárolódik, míg a privát kulcs a felhasználó eszközén marad, összekapcsolva a weboldal nevével és a felhasználói azonosítóval. Ezután a bejelentkezés folyamata jelentősen leegyszerűsödik: nem szükséges többé jelszó, SMS-kód vagy hitelesítési alkalmazásból származó titkos kódok használata. A szerver egy digitális hitelesítési kérelmet küld, amelyet a felhasználó csak akkor tud teljesíteni, ha fizikailag rendelkezik az eszközzel, és képes igazolni a privát kulcs birtoklását. Ez a hitelesítés történhet például biometrikus azonosítással, mint az ujjlenyomat- vagy arcfelismerés mobiltelefonon keresztül.

Első pillantásra úgy tűnhet, hogy a jelszó megadása és az okostelefon arcazonosító rendszerének használata között alig van eltérés. Az igazság azonban az, hogy jelentős különbség rejlik a két módszer között: míg a klasszikus hitelesítés a felhasználó tudására épít, addig az arcazonosítás a fizikai eszköz birtoklására és a felhasználó egyedi biometrikus jellemzőire támaszkodik. Ennek eredményeként, bár nem lehetetlen, a jelenlegi technológiai állapot mellett rendkívül nehézségekbe ütközne az ilyen típusú azonosító információk ellopása. A hagyományos adathalász technikák ebben az esetben nem működnek: még a legnaivabb felhasználót is szinte lehetetlen rábírni arra, hogy megossza ujjlenyomatát vagy arcát. A megbízható arcfelismerő rendszerek képesek megkülönböztetni egy élő ember arcát a róla készült fényképektől vagy videóktól, és az utóbbi esetekben elutasítják a hitelesítési kísérleteket.

Az új hitelesítési folyamat jelentős előnye, hogy kétirányú ellenőrzést biztosít. Ezzel szemben a hagyományos tudásalapú jelszavak és titkos kódok alkalmazása csupán a felhasználó jogosultságának igazolására összpontosít. Mostantól azonban a folyamat során a kulcspár másik eleme is kulcsszerepet játszik: a szolgáltató szerverén tárolt nyilvános kulcs elengedhetetlen a helyes azonosításhoz. Ezáltal a felhasználó magabiztosan ellenőrizheti, hogy valóban az általa ismert cég – legyen az a munkahelye vagy a bankja – áll-e a hitelesítési kérés mögött, elkerülve ezzel a csalók ármánykodását, akik megtévesztő weboldalakon próbálják beszervezni az érzékeny információkat.

Ez a rendszer sem tökéletes, hiszen azt mindenképp garantálni kell, hogy a kulcsok tárolására használt eszköz és felhő (szerver) biztonságos legyen. Ráadásul a folyamat közben mozgó apró adatcsomagok, azaz a munkamenetsütik ellopása továbbra is olyan támadási módszer, amely kihasználható lehet a rendszer sebezhetőségeivel.

A KPMG könyvvizsgáló és tanácsadó cég szakértői szerint a kiberbiztonság terén a legújabb fejlesztések bevezetését nem érdemes halogatni. A közelmúltban közzétett kiberbiztonsági jelentésük, amely immár a hatodik kiadása, figyelmeztet arra, hogy a digitális világ gyors ütemű fejlődése sürgető intézkedéseket kíván. A szakértők hangsúlyozzák, hogy a digitális kapcsolatok hálója mára minden szegmensünket áthat, és a mesterséges intelligencia fejlődése olyan gyors, hogy az emberiség nehezen tudja lépést tartani vele. A kiberbiztonság nemcsak üzleti szempontból jelent problémát, hanem össztársadalmi kihívássá vált. A KPMG szakemberei kiemelik, hogy kulcsfontosságú az eszközök és felhasználók megbízható azonosítása. A jelentés arra is figyelmeztet, hogy a kiberbiztonsági vezetőknek és döntéshozóknak újra kell értékelniük a megszokott folyamatokat, és befektetniük olyan innovatív rendszerekbe, amelyek szilárd alapokon nyugszanak.

A vállalatok számára új kihívásokat jelenthetnek az uniós digitális biztonsági előírások, mint a NIS2 és a DORA, amelyek a közelmúltban szigorodtak. Ezek a rendelkezések nem csupán adminisztratív teherként, hanem komoly prioritásként kívánják kezelni a kiberbiztonságot, kiterjesztve az intézkedéseket a legkülönfélébb szektorokra, mint például az energia, közlekedés, pénzügy, egészségügy és informatikai ipar. Rafael Bloom, a technológiai szakértő, figyelmeztet arra, hogy ezek a szabályozások "ébresztőt fújnak", és talán már késlekedünk a megfelelő válaszlépések megtételére a digitális infrastruktúrákat fenyegető egyre gyakoribb támadások közepette. Az Advent IM Security cég szakértői azonban arra is rámutatnak, hogy a mesterséges intelligenciáról szóló törvény, valamint a NIS2 és DORA által támasztott követelmények a megfelelési költségek és a bizonytalanságok révén lelassíthatják bizonyos iparágak fejlődését, különösen az ellátási lánc területén.

A Sophos biztonsági szoftverei által összegyűjtött információk alapján a kibertámadók leggyakrabban a hálózati eszközök – mint például tűzfalak, routerek és virtuális magánhálózati (VPN) szoftverek – sebezhetőségeit kihasználva férkőznek be a kis- és közepes vállalkozások rendszereibe. Az ilyen eszközök gyengélkedése az esetek mintegy harmadában teremtette meg a lehetőséget a jogosulatlan behatolásra. Különösen aggasztó, hogy a VPN-es tűzfalak, amelyek biztonságos távoli hozzáférést ígérnek, gyakran a legnagyobb gyenge pontot jelentik. Ennek hátterében részben az a tendencia áll, hogy a támadóknak már nem szükséges külön vírusokat vagy kártevőket telepíteniük. Ehelyett a vállalkozások saját rendszereit kihasználva tudnak mozgékonyabbak lenni, és olyan helyeken rejtőzködni, ahol a biztonsági szakemberek nem keresik őket – figyelmeztet Sean Gallagher, a Sophos vezető fenyegetéskutatója. A helyzetet tovább súlyosbítja, hogy sok cégnél egyre több, életciklusuk végén járó eszköz található, amelyek sebezhetőségei újabb kockázatokat rejtenek.

A brit kibervédelmi szakemberek ezt a jelenséget a "digitális hulladék" problémájának nevezik, mivel ezek az eszközök folyamatosan ki vannak téve az internet veszélyeinek, és gyakran elhanyagolják őket a frissítések terén. Ennek következtében rendkívül vonzó célpontokká válnak a hackerek számára, akik könnyen behatolhatnak a hálózatokba. A brit kibervédelmi cég statisztikái alapján a támadók leggyakoribb módszere a középvállalatok ellen a zsarolóvírusok használata. A közepes méretű cégeknél a zsarolóvírusos támadások az incidenskezelési esetek több mint 90 százalékát teszik ki, míg a kisvállalkozások esetében ez az arány tízből hét. A már említett "gyenge" többfaktoros hitelesítés sem nyújt biztos védelmet, hiszen a ravasz bűnözők képesek megkerülni ezt a rendszert is, például autentikációs tokenek ellopásával. Ilyenkor egy adathalász platformot használnak, amely lehetővé teszi számukra, hogy hamis bejelentkezési folyamatot imitáljanak, és így megszerezzék az sms-ben vagy e-mailben érkező hitelesítő adatokat, miközben az áldozat éppen belépési kísérletet tesz a rendszerbe.

Az idő a bűnözők számára is rendkívül értékes, így igyekeznek minél gyorsabban cselekedni. A legújabb elemzések alapján átlagosan mindössze 11 órára van szükségük ahhoz, hogy átvegyék az irányítást a Windows-alapú hálózatok kulcsfontosságú elemén, az Active Directory-n. Ezzel a hatalmas hatalommal már nem jelent kihívást számukra, hogy hozzáférjenek mindenhez, amit csak szeretnének. Ez a 11 órás időkeret különösen fontos, hiszen sok kis- és középvállalkozás esetében éppen ennyi idő telik el két műszak váltása között. Nem meglepő tehát, hogy a zsarolóvírusokkal dolgozó bűnözői csoportok éjszaka tevékenykednek: tavaly az ilyen jellegű támadások 84%-át a munkaidőn kívül indították a kiválasztott cégek ellen.

A Kingstonnál a 3-2-1 biztonsági mentési stratégia alkalmazását javasolják vészhelyzetek esetén. Ennek alapelve, hogy a szervezet összesen három példányt őrizzen meg az adataiból: az eredeti mellett két biztonsági másolatot is készít. Fontos, hogy ezeket a másolatokat különböző típusú adathordozókon tároljuk, például egy belső merevlemezen és egy külső SSD-n. Továbbá, egy példányt ajánlatos olyan helyen elhelyezni, amely fizikailag is távol van a többi másolattól, és nem kapcsolódik az internethez. Ez a megközelítés lehetővé teszi a gyors helyreállítást különböző adatvesztési problémák, mint például kibertámadások, hardverhibák, véletlen törlések vagy természeti katasztrófák esetén. A maximális biztonság érdekében pedig érdemes rendszeresen ellenőrizni, hogy a mentések valóban működnek-e, és szükség esetén visszaállíthatók - figyelmeztetnek a szakértők.

A zsarolóvírusokkal szembeni hatékony védekezés érdekében elengedhetetlen, hogy több, egymástól független biztonsági réteget alkalmazzunk. A támadók gyakran célba veszik a hálózatra csatlakozó mentéseket, így ha csupán egyetlen biztonsági másolat áll rendelkezésre, az is veszélybe kerülhet. Ezzel szemben az offline, fizikailag elkülönített tárolókhoz általában nem férnek hozzá a támadók. Igaz, hogy ez a megoldás költségesebb, de a Kingston cég állítása szerint a 3-2-1-es mentési stratégia bevezetése nem csupán technikai védelem, hanem üzleti szempontból is racionális döntés, amely megtérül. A rendszeresen frissített és több szinten tárolt biztonsági másolatok jelentősen csökkentik az adatvesztés kockázatát, és gyors helyreállítást tesznek lehetővé váratlan események után. Az ilyen intézkedések költsége eltörpül a sikeres zsarolóvírus-támadások következményei mellett, ahol akár milliós váltságdíjakról vagy többnapos leállásokról is szó lehet. Emellett a márka hírnevének is árt, ha az ügyfelek úgy érzik, hogy a cég nem ügyel kellő gondossággal sem az ő, sem a saját adataik védelmére.

Egyesült KirályságEurópai UnióTársadalomDigitális adatokInternetTechnológiaSzoftverFizikaMesterséges intelligenciaSzerver (számítástechnika)InformatikaSmartphoneKockázatWeboldalKingston, JamaicaAdathalászatSophosKommunikációs protokollKriptográfiaTűzfal (számítástechnika)Felhőalapú számítástechnikaRouter (számítástechnika)Virtuális magánhálózatSean Gallagher (színész)Active Directory

Related posts

Szerbiai ellenzéki politikai képviselők megpróbálták megzavarni az újvidéki bíróság tevékenységét.

Szerbiai ellenzéki politikai képviselők megpróbálták megzavarni az újvidéki bíróság tevékenységét.

Új fejezet nyílik a magyar Penny történetében | 24.hu

Új fejezet nyílik a magyar Penny történetében | 24.hu

Rembrandt Bécsben: Amint ez a négyszáz éves holland mester pillantása találkozik a tiéddel, nem csupán egy festmény élénk színeivel, hanem a múlt titkaival is szembesülsz. Az arca, tele érzelmekkel és történetekkel, mintha időutazásra invitálna, ahol a mű

Rembrandt Bécsben: Amint ez a négyszáz éves holland mester pillantása találkozik a tiéddel, nem csupán egy festmény élénk színeivel, hanem a múlt titkaival is szembesülsz. Az arca, tele érzelmekkel és történetekkel, mintha időutazásra invitálna, ahol a mű

Sajnos 40 éves korában elhunyt az Oscar-díjas film főszereplője, akinek tehetsége és karizmája sokak szívét megérintette. Az ő emléke mindig velünk marad, filmjei pedig örökre élni fognak a vásznon.

Sajnos 40 éves korában elhunyt az Oscar-díjas film főszereplője, akinek tehetsége és karizmája sokak szívét megérintette. Az ő emléke mindig velünk marad, filmjei pedig örökre élni fognak a vásznon.

IQ-teszt: Csak az emberek 1%-a képes 5 másodperc alatt rátalálni a citromra! Te vajon benne vagy a kiválasztottak között? - Életmódtippek

IQ-teszt: Csak az emberek 1%-a képes 5 másodperc alatt rátalálni a citromra! Te vajon benne vagy a kiválasztottak között? - Életmódtippek

Egy New York-i bíróság döntése értelmében Trump vámjainak bevezetése nem engedélyezett.

Egy New York-i bíróság döntése értelmében Trump vámjainak bevezetése nem engedélyezett.