Μια νέα έρευνα υποδεικνύει ότι οι επαγγελματίες του cloud θα πρέπει να επανεξετάσουν την εξάρτησή τους από κωδικούς πρόσβασης για να ενισχύσουν την ασφάλεια των συστημάτων τους.

Πρόσφατα, μια έρευνα από τη Beyond Identity απέδειξε ότι πάνω από το 80% των ανθρώπων είναι σίγουροι για την ασφάλεια και την αποτελεσματικότητα των κωδικών πρόσβασης, με περίπου το 33% να δηλώνει πολύ σίγουρο.

Η Beyond Identity θεωρεί ότι η εμπιστοσύνη στους κωδικoύς πρόσβασης είναι λανθασμένη, λόγω των ευπαθειών ασφαλείας που έχουν οι κωδικοί πρόσβασης, της αξίας τους ως στόχοι για τους κακόβουλους παράγοντες και των εκτεταμένων απογοητεύσεων σχετικά με τις απαιτήσεις των κωδικών πρόσβασης.

Η εταιρεία αναφέρει ότι μια έρευνα διαπίστωσε ότι οι κακές συνήθειες στους κωδικούς πρόσβασης χρησιμοποιούνται συχνά από τους θεατές απειλών. Το 80% των παραβιάσεων συμβαίνει όταν χρησιμοποιούνται πληροφορίες ταυτότητας που έχουν ήδη παραβιαστεί.

Παρόλο που είχαν εμπιστοσύνη, η έρευνα ανέδειξε ότι οι επαγγελματίες του cloud εξέφρασαν ανησυχία για την τήρηση των απαιτήσεων υγιεινής στα συστήματα που βασίζονται σε κωδικoύς πρόσβασης. Το αίσθημα της απογοήτευσης οφειλόταν στο γεγονός ότι έπρεπε να θυμούνται πάρα πολλούς κωδικούς πρόσβασης (60%), να τους αλλάζουν συχνά (52%) και να επιλέγουν δύσκολες και μακριές συμβολοσειρές (52%).

Ένα τέταρτο των ατόμων χρησιμοποιεί μεταξύ 4-5 κωδικούς πρόσβασης την ημέρα, ενώ ένα δέκατο χρησιμοποιεί 10 ή περισσότερους. Περίπου το ένα τρίτο των οργανισμών προτείνει την αλλαγή των κωδικών πρόσβασης κάθε τρεις μήνες, ενώ λιγότερο από ένα τρίτο συνιστά την αλλαγή τους μηνιαίως και το 6% συνιστά καθημερινή ή εβδομαδιαία αλλαγή. Και παρά την προσπάθεια που γίνεται, το Beyond Identity ισχυρίζεται ότι τέτοιες πρακτικές καταλήγουν σε «ελάχιστα οφέλη ασφαλείας».

Αν και η χρήση ενός διαχειριστή κωδικών πρόσβασης και η δημιουργία καλύτερων κωδικών πρόσβασης μπορεί να βελτιώσει σημαντικά την ασφάλεια, το πραγματικό πρόβλημα με τους κωδικούς πρόσβασης είναι η ευπάθειά τους στο phishing. Πάνω από το ένα τρίτο των επαγγελματιών που χρησιμοποιούν το cloud δήλωσαν πως έλαβαν μεταξύ ενός και τριών μηνυμάτων ηλεκτρονικού ψαρέματος. Επιπλέον, το 18% των επαγγελματιών είχε λάβει ανάμεσα σε τέσσερα και έξι μηνύματα phishing και σχεδόν το ένα τέταρτο είχε επισημάνει πως έλαβαν επτά μηνύματα ή περισσότερα.

Η ανησυχία μας είναι ότι το 11% των ατόμων δεν αναφέρει ύποπτα ηλεκτρονικά μηνύματα “ψαρέματος” που έλαβαν και το ένα πέμπτο δεν είναι σίγουρο αν έκαναν κλικ σε μια κακόβουλη σύνδεση σε ένα email. Το 1/5 δήλωσε ότι ήξερε για συναδέλφους που είχαν κάνει κλικ, ενώ το 1/4 είπε ότι έκανε κλικ το ίδιο – μερικοί από τους οποίους το έκαναν τακτικά.

Οι περισσότερες εταιρείες στο cloud (το 82%) χρησιμοποιούν MFA για έλεγχο ταυτότητας πολλαπλών παραγόντων. Η πιο δημοφιλής μέθοδος είναι η χρήση μιας εφαρμογής ελέγχου ταυτότητας για κινητά. Περισσότερο από το 50% των ατόμων ήταν αρκετά βέβαια για το MFA ως ένα μέτρο ασφαλείας.

Για να αποφύγετε το phishing, μπορείτε να χρησιμοποιήσετε συστήματα που δεν απαιτούν κωδικούς πρόσβασης, όπως για παράδειγμα κωδικούς πρόσβασης που δεν διαθέτουν διαπιστευτήρια. Για να δοθεί πρόσβαση στον χρήστη, πρέπει να συνδυαστεί το κρυπτογραφικό κλειδί του με το δημόσιο κλειδί της υπηρεσίας. Το κρυπτογραφικό κλειδί αποθηκεύεται στη συσκευή του χρήστη και κανείς, ακόμη και ο χρήστης ίδιος, δεν έχει πρόσβαση σε αυτό.

Πηγή: SecNews