Parolele reprezinta cheile de la regatul nostru digital. Orice serviciu online pe care il folosim solicita din partea noastra o parola in procesul de autentificare. Pica, deci, in responsabilitatea noastra ca utilizatori sa alegem parole puternice, greu de ghicit si unice pentru fiecare cont in parte. Buuun, usor de zis, insa greu de facut. Acum cateva statistici: cele mai comune 10 parole identificate in scurgerile de date publicate pe Dark Web sunt:
- 123456
- 123456789
- Qwerty
- Password
- 12345
- 12345678
- 111111
- 1234567
- 123123
- Qwerty123
Se vede ca nu prea ne sta in fire sa ne chinuim cu parole lungi si complexe care sa fie greu de ghicit de hackeri. Mai ales ca stim ca aceste parole sunt compromise de mult timp.
Cum stam cu “reciclarea” parolelor? Conform acestui survey facut de Google:
- 52% din persoane folosesc aceeasi parola pentru mai multe conturile, desi nu pentru toate
- 13% folosesc aceeasi parola pentru toate conturile
- 35% folosesc parole unice
In concluzie, 2 din 3 persoane practica “reciclarea” parolei. Compromiterea unui cont duce la compromiterea tuturor conturilor care folosesc aceeasi parola:
- conturi de email
- conturi pentru retele sociale
- servicii de online bankings
- servicii de streaming, de booking, de … orice
Conturile noastre vor fi sub controlul atacatorilor care pot sa ne impersoneze si sa trimita mesaje si email-uri de phishing catre lista noastre de contacte, sa achizitioneze produse (mai ales ca ne si salvam datele bancare in cont pentru auto-fill, nimeni nu vrea sa introduca manual toate acele detalii) sau sa ne vanda datele pe Dark Web pentru un castig rapid si frumos.
Se observa ca singuri nu facem treaba prea buna cand vine vorba sa ne securizam parolele cu toate ca ele sunt adesea tot ce stau intre tot ce avem mai de pret si hackeri 🙂 Avem nevoie de ajutor si acesta poate veni in forma:
- Autentificarii de tip 2FA/MFA – sa activam oriunde se poate autentificarea cu un al doilea factor (notificare push, cod OTP, email, sms – mai putin recomandat aceasta metoda de MFA), mai ales ca exista aplicatii gratis in acest sens precum Cisco Duo, Google Authenticator si Microsoft Authenticator.
- Autentificarii passwordless – folosirea unui alt criteriu de validare a identitatii unei persoane, precum un parametru de biometrie (recunoasterea amprentei sau a fetei) pentru accesarea conturilor online si pentru autorizarea tranzactiilor bancare. Apple, Google si Microsoft lucreaza impreuna pentru a accelara suportul login-ului de tip passwordless.
- Folosirii unui manager de parole (poate fi o aplicatie dedicata sau chiar browser-ul web) care se ne ajute in generarea de parole corecte din punct de vedere securitate, care sa verifice daca vreuna din parolele pe care le folosim a aparut intr-o bresa de securitate si care sa ne usureze exista in general in ceea ce priveste utilizarea parolelor.
- Unui program de antimalware/antivirus ca Cisco Secure Endpoint care sa detecteze prezenta unor forme de malware precum key looger-e si spyware care au ca obiectiv colectarea credentialelor de autentificare introduse de utilizator in formularul de login si sa impiedice respectivele softuri malitioase din a se executa sau macar in a bloca sesiunile pe care acestea incearca sa le stabileasca cu serverele de command and control ale atacatorilor.
- Unei conexiuni VPN securizate atunci cand vrem sa ne accesam conturile cele mai importante mai ales din locuri publice. Daca avem nevoie sa facem o tranzactie online, ar fi recomandat sa utilizam un dispozitiv personal si o retea securizata si nu hot spot-ul wireless din mall, cafenea sau restaurant.
- Vigilentei atunci cand primim mesaje si email-uri suspicioase care ne invita sa accesam link-uri dubioase care ne pot trimite catre site-uri false sub controlul hackerilor care impersoneaza site-urile legitime si unde ni se pot culege credentialele de conectare.
Mihai Dumitrascu, Sr Systems Engineer