Τα passwords, μαζί με άλλα δεδομένα χρηστών, όπως ονόματα και email addresses, είναι ένα εξαιρετικά πολύτιμο αγαθό για τους χάκερ, οι οποίοι αγοράζουν και πωλούν τακτικά αυτές τις πληροφορίες στο dark web ως μέρος μιας παραοικονομίας. Οι κακόβουλες οντότητες στη συνέχεια αγοράζουν αυτά τα δεδομένα γνωρίζοντας ότι τους δίνεται το κλειδί για την κλοπή της ψηφιακής ταυτότητας ενός ατόμου.
Δείτε επίσης: CloudMensis malware: Χρησιμοποιείται για κατασκοπεία στα Macs
Στην πραγματικότητα, η ForgeRock δημοσίευσε σήμερα την τέταρτη ετήσια έκθεση παραβίασης, The 2022 ForgeRock Consumer Identity Breach Report, η οποία αποκάλυψε ότι πάνω από δύο δισεκατομμύρια data records που περιείχαν usernames και passwords παραβιάστηκαν το 2021, σημειώνοντας αύξηση 35% από το 2020.
Άλλα αρχεία που παραβιάστηκαν περιελάμβαναν το όνομα, τη διεύθυνση, τον Αριθμό Κοινωνικής Ασφάλισης (SSN), την ημερομηνία γέννησης, τις Protected Health Information (PHI) και στοιχεία πληρωμής ή τραπεζικού λογαριασμού.
Δείτε επίσης: Η malware εκστρατεία Roaming Mantis στοχεύει Android και iOS χρήστες στη Γαλλία
Για τις επιχειρήσεις, αυτή η έρευνα υπογραμμίζει ότι οι παραδοσιακές προσεγγίσεις που βασίζονται σε κωδικούς πρόσβασης απλώς δεν είναι αποτελεσματικές στην πρόληψη της κλοπής credentials και στην αποτροπή της οικονομίας παραβίασης δεδομένων.
Αναγνώριση των αδυναμιών της ασφάλειας με βάση τον κωδικό πρόσβασης
Μία από τις πιο συγκλονιστικές τάσεις που εμφανίστηκαν κατά τη διάρκεια της πανδημίας του Covid-19, ήταν το επίπεδο της κλοπής credentials. Για παράδειγμα, ένας έλεγχος του 2020 στο dark web έδειξε ότι υπήρχαν πάνω από 15 δισεκατομμύρια κωδικοί πρόσβασης που εκτέθηκαν στο διαδίκτυο.
Καθώς αυτός ο αριθμός συνεχίζει να αυξάνεται μέρα με τη μέρα, γίνεται ολοένα και πιο σαφές ότι οι κωδικοί πρόσβασης αποτελούν τόσο ευθύνη ασφαλείας όσο και μέτρο authentication.
Η εκμεταλλευσιμότητα των κωδικών πρόσβασης μέσω phishing και απάτες social engineering είναι μια πραγματικότητα που οι προμηθευτές καταναλωτών και οι πάροχοι ασφάλειας επιχειρήσεων προσπαθούν να αντιμετωπίσουν με την ανάπτυξη λύσεων ελέγχου ταυτοποίησης χωρίς κωδικό πρόσβασης που επιτρέπουν στους χρήστες να συνδέονται χωρίς κωδικούς πρόσβασης.
Δείτε επίσης: FBI: Απατεώνες εξαπατούν επενδυτές με ψεύτικες εφαρμογές crypto
Αυτό συμβαίνει κυρίως στη συμμαχία FIDO, με προμηθευτές όπως η Apple, η Microsoft, η Google, ακόμη και οι πάροχοι διαχείρισης κωδικών πρόσβασης όπως το LastPass, να δεσμεύονται να αναπτύξουν επιλογές σύνδεσης χωρίς κωδικό πρόσβασης για να βοηθήσουν στην προστασία των χρηστών από επιθέσεις credential-based.
Πηγή πληροφοριών: venturebeat.com
