- 25 Mai 2021
#NOHACK Expert Talks - Despre parole și cum să le facem mai sigure
Luna mai a marcat și Ziua Internațională a Parolei și te știm bine. Ești foarte bine intenționat, dar ți-e lene să îți securizezi parolele. Până la urmă, de ce ai schimba combinația de litere pe care o știi cu o frază mult mai complexă? Cine ar avea interes să-ți fure chiar ție datele?
Din păcate, această atitudine relaxată față de parole ne face victime sigure. O parolă nesigură poate asigura accesul infractorilor la conturile noastre, iar banii noștri sunt mult mai interesanți pentru ei. De asemenea, infractorii ne folosesc pentru a accesa sisteme ale companiei la care lucrăm sau pentru a ne folosi dispozitivele ca pioni în atacuri cibernetice de tipul Distributed Denial of Service.
Un sondaj Bitdefender arată că 66% din persoane nu iau în considerare schimbarea parolei după o breșă majoră de date. Iar o analiză a arătat că dintr-un miliard de parole identificate, 7 milioane erau 123456.
Dar există speranță. Odată cu dezvoltarea serviciilor online, numărul persoanelor care aleg parole complexe a crescut. În plus, mulți folosesc softuri de administrare a parolelor, iar rata de adoptare a autentificării în doi pași, adică acea metodă prin care primești un SMS după introducerea parolei, a ajuns la peste 50%.
În episodul de luna aceasta din #NOHACK Expert Talks am discutat cu Bogdan „Bob” Botezatu, Director of Threat Research and Reporting la Bitdefender, despre metodele de protecție a parolelor, dar și despre soluții digitale de protecție precum Bitdefender Safepay.
Câte atacuri își au originea în parolele slabe?Cifrele arată că oamenii nu își schimbă parolele după ce au identificat un atac sau după ce au fost anunțați de o breșă de securitate, dar devin mai conștienți de securitatea acestora. Am vrut să aflăm de la Bogdan Botezatu ce impact are alegerea proastă a parolelor asupra securității online și, de fapt, cât de multe atacuri își au originea în parole.
”E paradoxal faptul că oamenii devin conștienți , dar nu vor să facă nimic cu privire la acest lucru. Chiar dacă-și dau seama că potențial conturile lor sunt expuse sau informații care nu ar trebui să facă parte din domeniul public. Da, întrebarea e foarte bună. Câte din atacuri își au originea în parole expuse? Extrem de multe, mai ales la companii”, explică expertul.
Pe Internet există numeroase marketplace-uri unde parolele utilizatorilor și datele lor personale sunt tranzacționate.
”Există, de exemplu, site-uri pe ceea ce numim noi Internetul Întunecat sau Dark Web așa cum îl știe toată lumea, care tranzacționează informații de autentificare furate de la diverse companii. Dacă vrei acces într-o bancă, de exemplu, poți solicita un set de credențiale furate din bănci. Dacă vrei acces în infrastructură critică, poți cumpăra acces în respectivele infrastructuri de pe site-uri de specialitate și așa mai departe”, spune Bogdan Botezatu.
Expertul Bitdefender atrage atenția asupra faptului că ”parolele sunt punctul nostru slab” - ele sunt folosite din anii ‘70 și reprezintă o variantă ”comodă” de securizare. ”Alternative există, dar sunt un pic mai dificile față de memorarea unui șir de caractere pe care-l avem tot timpul cu noi”, mai spune el.
Spargerea parolelor, un proces automatizatUna dintre preconcepțiile când vine vorba de securitatea online e că hackerul sparge parole cu mâna lui. Dar știm și din episoadele anterioare din #NOHACK că se folosesc programe automatizate, inteligență artificială. Cât de ușor e, de fapt, pentru infractorii cibernetici să treacă peste o parolă simplă?
”E destul de ușor. Ca să înțelegem exact procesul acesta, cred că ar trebui să mergem un pic mai în profunzime de la momentul zero, furtul parolelor, până când hackerul deține parola noastră și o poate folosi pentru altceva. Atacatorii informatici țintesc sisteme vulnerabile de baze de date de la diverse entități cu care noi avem relații și la care am făcut conturi. În momentul în care ei pleacă cu respectivele parole, companiile și-au luat deja niște măsuri de securitate. Parolele respective sunt criptate, sunt stocate într-un format în care atacatorul nu prea are ce să facă cu ele. Dar atacatorul poate să încerce să le spargă, trecând prin combinații de caractere până când combinația pe care o alege el atunci are aceeași formă cu amprenta pe care o are compania salvată în baza de date”, explică expertul Bitdefender.
Această tactică se numește brute forcing și ”este foarte la îndemână pentru că avem din ce în ce mai multe și mai performante dispozitive de calcul la bani din ce în ce mai puțini”.
Atacatorii pot obține acces la toate conturile tale într-un timp foarte scurt. Și, odată ce ți-au ghicit o parolă, sunt șanse mari să capete acces la toate conturile tale - pentru că datele arată că majoritatea oamenilor folosesc o singură parolă peste tot.
Deci în cazul în care atacatorii obțin acces la o bază de date cu parole, nu mai contează cât de simplă sau complexă e parola ta. ”Parolele complexe rezistă puțin mai mult, dar insignifiant mai mult. Nu e diferență care să aibă mare sens atunci când vine vorba de securitatea contului nostru. Deci odată ce atacatorul pleacă cu baza respectivă de date ar fi safe să spunem că nu va avea foarte, foarte mari probleme în spargerea acestora”, spune Bob.
Astfel, pe lângă complexitatea parolei, trebuie să ții cont și de unicitatea ei - nu folosi o singură parolă pentru toate conturile.
Cum funcționează SafePay, browserul cu armurăPentru a ne ține datele în siguranță există și soluții dedicate, precum browserul SafePay dezvoltat de către cei de la Bitdefender. L-am rugat pe Bogdan Botezatu să ne explice cum funcționează acesta.
”Mie îmi place să caracterizez browserul SafePay ca un browser cu armură. Nu e un browser obișnuit, nu e browserul de pe care te uiți la Netflix, de exemplu. Sau cu care îți verifici știrile zilei. E un browser special pentru momente speciale. Pentru că partea asta de furt de parole e doar jumătate din marea poveste a furtului de date și a accesului neautorizat la conturi. Există și malware, amenințări informatice care rulează pe dispozitive care se pot injecta în browserele noastre și care pot avea acces la informațiile din browser în timp real prin manipularea browserului. Cum ar fi să intrăm pe pagina noastră de ebanking, să încercăm să plătim o factură la energie electrică de exemplu, dar să nu ne dăm seama că suntem infectați cu un malware care ne manipulează tranzacțiile direct din browser și în loc să plătim suma X către furnizorul Y noi plătim suma Z către un atacator informatic din Rusia”, detaliază expertul.
E o funcționalitate care adaugă securitate pentru momentele cu adevărat importante, spune Bogdan Botezatu.
”Menirea browserului SafePay este să împiedice astfel de injecții și manipulări. În așa fel încât chiar dacă noi suntem pe un calculator ostil, de exemplu, care are browserul infectat și efectuăm o plată, respectiva amenințare informatică nu se va putea injecta în browserul SafePay”, explică Bob.
Portofelul antifurt de la BitdefenderBitdefender a dezvoltat și un wallet securizat pentru toate datele digitale ale utilizatorilor.
”În Bitdefender nu ne plac parolele deloc. Și încercăm să le evităm pe cât posibil. Dar ne dăm seama că lucrul acesta este încă la început pentru majoritatea utilizatorilor. (...) Așa că trebuie să folosim parolele în continuare ca un compromis. Dacă tot folosim aceste parole am vrea ca utilizatorii noștri să le aibă cât se poate de unice pentru fiecare cont în parte și cât se poate de complexe, preferabil să nu le țină minte. Aici intervine problema - cum facem ca utilizatorul legitim să le poată folosi într-un mod autorizat, dar hackerul să nu poată să obțină această informație?”, întreabă expertul.
Metoda de compromis e un wallet, continuă el, ”un portofel digital care ne salvează conturile, informațiile despre carduri, informațiile esențiale care sunt prea complicate și pe care noi nu le-am putea memora într-un format ușor de utilizat, într-un format care să automatizeze procesul de completare a formularelor sau a autentificării într-un site care să îi facă pe oameni mai conștienți de faptul că complexitatea parolei nu este o problemă, unicitatea acesteia nu e o problemă și dacă tot folosim o tehnologie din anii '70, ar fi bine să o facem pe cât de complexă putem noi să o facem”.
Pe lângă aceste soluții, Bogdan Botezatu recomandă și folosirea opțiunilor de autentificare în doi pași - ideal printr-o aplicație dedicată de autentificare, fiind o metodă mai sigură decât prin SMS.
”Deși e mai bun decât nimic, al doilea factor primit prin SMS poate fi furat odată cu cardul, cu cardul SIM pe care îl avem de la furnizorul de servicii de telefonie, mai ales dacă folosiți portofele de cryptocurrency sau dacă aveți valori nu folosiți niciodată al doilea factor de autentificare prin SMS. E mai bun decât nimic, dar am prefera să-l generați fie dintr-o aplicație, fie să folosiți o cheie de autentificare în format hard”, explică Bob.
În fiecare ediție #NOHACK Expert Talks venim cu un sfat pentru cei care ne urmăresc pe care îl vom publica separat cu câteva zile înainte de ediția completă.
”Ca adult am primit întotdeauna un sfat foarte bun. Investește foarte mult în lucrurile care stau între tine și sol. Și astea ar fi: o saltea, cauciucuri la mașină și pantofii comozi. Același lucru le-aș sugera oamenilor pentru că mai este luna de awareness pentru schimbarea parolelor, investiți foarte mult în ceea ce stă între lumea mare și rea și datele dumneavoastră personale. Când alegeți o parolă, nu alegeți cu sufletul, pentru că va fi ușor de ghicit, fie numele copilului, al soției, data de naștere sau un eveniment important pentru dumneavoastră, ci alegeți o parolă suficient de puternică, suficient de aleatorie și fără o relație aparentă cu viața dumneavoastră. Nu o notați nicăieri. Încercați să o țineți minte și folosiți, în general, parola cum folosiți lenjeria. Schimbați-o des și nu o împărtășiți cu nimeni”, conchide expertul Bitdefender..
Așadar, metode prin care poți să te protejezi există. Hackerii rareori sparg parolele prin metode manuale, ci au programe ce folosesc inteligența artificială și puterea de procesare masivă a dispozitivelor de astăzi pentru a genera milioane de parole posibile. Ai mai multe metode de protecție, pe care te invit să le aplici după ce ai văzut acest video. Fie alegi o parolă complexă, care să conțină mai mult de un cuvânt, adică o frază, fie folosești un administrator de parole. Dar orice ai face, nu uita să activezi serviciile de dublă autentificare. Codul primit prin SMS îți va lua 10 secunde în plus, dar poate să-ți salveze banii și datele. Sau, de ce nu, instalează o aplicație unde primești un cod de autentificare unic o dată la 30/60 de secunde.