ถึงเวลาบอกลารหัสผ่านแล้ว ไม่มีข้อแก้ตัวใด ๆ อีกแล้วที่เราสามารถทำได้: หลักฐานที่เพิ่มขึ้นเรื่อย ๆ ทำให้เกิดข้อสงสัยเล็กน้อย การละเมิดรายละเอียดสูงเมื่อเร็ว ๆ นี้ยังคงชี้ไปที่ข้อมูลประจำตัวที่ถูกขโมยเป็นเป้าหมายที่มีมูลค่าสูงสำหรับผู้โจมตี พวกมันมีค่ามากบนเว็บมืดและเป็นเครื่องมือที่ทรงพลังสำหรับอาชญากรไซเบอร์ในปัจจุบัน ผู้โจมตีสามารถเจาะระบบองค์กรได้อย่างง่ายดายและมีการลักลอบในระดับ
สูง จากรายงานการสืบสวนการละเมิดข้อมูลของ Verizon (DBIR)
ประจำปี 2559 พบว่า 63 เปอร์เซ็นต์ของการละเมิดข้อมูลที่ได้รับการยืนยันนั้นเกี่ยวข้องกับการใช้ข้อมูลประจำตัวที่อ่อนแอ ค่าเริ่มต้น หรือถูกขโมย ซึ่งคิดเป็นเกือบสองในสามของการละเมิดข้อมูลทั้งหมดในปี 2558
ประเด็นสำคัญ: หลายเดือนก่อน Yahoo ยักษ์ใหญ่ด้านเทคโนโลยีประกาศว่าชื่อ ที่อยู่อีเมล รหัสผ่าน และคำตอบสำหรับคำถามรักษาความปลอดภัยของผู้ใช้กว่า 500 ล้านคนถูกขโมยจากการละเมิดในปี 2014 เป็นไปได้ว่านี่เป็นการละเมิดข้อมูลครั้งใหญ่ที่สุดในประวัติศาสตร์ดิจิทัล
Yahoo ไม่ได้อยู่คนเดียว
เมื่อต้นปีที่ผ่านมา รหัสผ่าน MySpace จำนวน 427 ล้านรหัสถูกโพสต์บนเว็บมืดเพื่อขาย ซึ่งถูกขโมยโดยอาชญากรไซเบอร์รายเดียวกับที่ขายข้อมูลผู้ใช้ LinkedIn มากกว่า 164 ล้านคนก่อนหน้าหนึ่งสัปดาห์ ความจริงที่ยากจะเผชิญ: โอกาสที่ข้อมูลประจำตัวของคุณจะอยู่ในฐานข้อมูลที่ควบคุมโดยผู้โจมตี
ข้อมูลเชิงลึกโดย Carahsoft: เอเจนซีจะบรรลุประสบการณ์ลูกค้าที่ยอดเยี่ยมด้วยความปลอดภัยทางไซเบอร์ที่ได้รับการปรับปรุงได้อย่างไร ในระหว่างการสัมมนาผ่านเว็บสุดพิเศษนี้ Jason Miller ผู้ดำเนินรายการจะหารือเกี่ยวกับการเปลี่ยนแปลงสู่ระบบคลาวด์และกลยุทธ์การจัดการข้อมูลประจำตัวและ
การเข้าถึงกับหน่วยงานและผู้นำในอุตสาหกรรม
Stephen Cox เป็นหัวหน้าสถาปนิกด้านความปลอดภัยของ SecureAuth
Stephen Cox เป็นหัวหน้าสถาปนิกด้านความปลอดภัยของ SecureAuth
แม้แต่รหัสผ่านที่ถูกบุกรุกเพียงครั้งเดียวก็เป็นอันตรายและอาจนำไปสู่การละเมิดครั้งใหญ่ได้ ลองย้อนกลับไปและทำความเข้าใจว่าผู้โจมตีใช้ประโยชน์จากข้อมูลรับรองที่ถูกขโมยในการโจมตีอย่างไร มีการอภิปรายที่มีชีวิตชีวาในโลกความปลอดภัยเกี่ยวกับความเกี่ยวข้องอย่างต่อเนื่องของ “วงจรชีวิตการโจมตี” หรือ “ห่วงโซ่การฆ่า” ซึ่งเป็นแบบจำลองที่อธิบายถึงวิธีการของผู้โจมตีที่ Lockheed Martin ได้รับความนิยมในปี 2554 การรุกล้ำ การตั้งหลัก จากนั้นเพื่อเพิ่มสิทธิพิเศษ การสอดแนม และการเคลื่อนตัวด้านข้าง และในที่สุดก็เสร็จสิ้นภารกิจการกรองข้อมูล
ฉันคิดว่า kill chain ยังคงมีความเกี่ยวข้อง ผู้โจมตีที่ใช้ข้อมูลรับรองที่ขโมยมาเป็นเพียงการ “ลัดวงจร” ห่วงโซ่การฆ่า ซึ่งได้ตั้งหลักในองค์กรแล้ว พูดง่ายๆ ก็คือ ข้อมูลรับรองที่ถูกขโมยเป็นวิธีที่ง่ายที่สุดสำหรับผู้โจมตีในการตั้งหลักที่ต้องการ พวกเขาสามารถข้ามไปยังการเคลื่อนไหวด้านข้างได้ทันทีในขณะที่พยายามประนีประนอมข้อมูลประจำตัวที่ถูกต้องตามกฎหมายและมีประสิทธิภาพมากขึ้น พวกเขาเคลื่อนไหวอย่างอิสระและเงียบ ๆ ทำภารกิจขโมยทรัพย์สินทางปัญญา ทำลายข้อมูล หรือเข้ารหัสเพื่อเรียกค่าไถ่ เราได้เห็นการดำเนินการนี้หลายครั้ง: มีข้อบ่งชี้ว่าการละเมิด Office of Personnel Management (OPM) ถูกเร่งโดยข้อมูลประจำตัวที่ถูกขโมยจากองค์กรพันธมิตร ผู้โจมตีอาจใช้ข้อมูลประจำตัวเหล่านั้นเพื่อย้ายเข้าสู่เครือข่าย OPM ได้อย่างง่ายดาย
องค์กรต่างๆ ได้พยายามลดความเสี่ยงของรหัสผ่านโดยใช้ความซับซ้อนของรหัสผ่านที่รัดกุมยิ่งขึ้น และกำหนดให้เปลี่ยนรหัสผ่านบ่อยขึ้น พวกเขายังพยายามทำให้รหัสผ่านแข็งแกร่งขึ้นด้วยการเพิ่มปัจจัยการตรวจสอบสิทธิ์เพิ่มเติม เช่น โทเค็นฮาร์ดแวร์หรือรหัสผ่านแบบใช้ครั้งเดียว (OTP) ที่ส่งมาทางอีเมลหรือ SMS
ในขณะที่พยายามอย่างกล้าหาญ วิธีการเหล่านี้กลับพลาดเป้าหมาย พวกเขามีผลข้างเคียงที่โชคร้ายจากค่าใช้จ่ายของโปรแกรมช่วยเหลือที่พุ่งสูงขึ้นและความยุ่งยากของผู้ใช้ สิ่งที่สำคัญที่สุด: วิธีการเหล่านี้ไม่เพียงพอ พวกเขาไม่สามารถมอบความปลอดภัยที่องค์กรต้องการในปัจจุบันได้
ข่าวล่าสุดแสดงให้เห็นว่าวิธีการตรวจสอบสิทธิ์แบบสองปัจจัยแบบดั้งเดิม โดยเฉพาะอย่างยิ่งรหัสผ่านแบบใช้ครั้งเดียวทาง SMS นั้นถูกหลีกเลี่ยงโดยผู้โจมตีในการโจมตีแบบฟิชชิ่งที่ออกแบบมาอย่างดี เพื่อตอบสนองต่อความเสี่ยงนี้ สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) เพิ่งประกาศข้อเสนอที่จะไม่แนะนำการยืนยันตัวตนแบบสองปัจจัยโดยใช้รหัสผ่านแบบใช้ครั้งเดียวที่ส่งทาง SMS อีกต่อไป คำแนะนำของ NIST นั้นตรงประเด็น — แม้ว่าจะปลอดภัยกว่ารหัสผ่านธรรมดา แต่วิธีนี้ยังไม่เพียงพอ
มีข่าวดี: ผู้เชี่ยวชาญในอุตสาหกรรมหลายคนตระหนักดีว่าถึงเวลาแล้วที่จะก้าวข้ามรหัสผ่าน การสำรวจล่าสุดที่จัดทำโดย SecureAuth ซึ่งออกร่วมกับ Wakefield พบว่า 69 เปอร์เซ็นต์ขององค์กรมีแนวโน้มที่จะเลิกใช้รหัสผ่านภายในห้าปีข้างหน้า การละเมิดครั้งใหญ่ในปี 2558 และ 2559 ส่งผลกระทบ — เราเข้าใจถึงความจำเป็นในการปรับเปลี่ยนกระบวนทัศน์ในการรับรองความถูกต้อง