Njia Muhimu za Kuchukua
- Wataalamu wa usalama wa mtandao wanapendekeza kwamba manenosiri, peke yake, hayafai kuchukuliwa kuwa yanafaa kwa ajili ya kulinda akaunti.
- Watumiaji wanapaswa kuwasha uthibitishaji wa vipengele vingi (MFA) popote inapowezekana.
- Hata hivyo, MFA haipaswi kutumiwa kama kisingizio cha kuunda manenosiri dhaifu.
Nenosiri kali zaidi na sera ngumu zaidi za nenosiri hazitumiwi sana mtoa huduma wako wa mtandaoni anapovujisha kitambulisho chako kwa sababu ya usanidi usiofaa katika seva zao.
Ikiwa unafikiri tukio kama hilo litakuwa nadra, fahamu kuwa uvujaji mwingi wa data katika 2021 ulitokana na maoni ya kiufundi ya watoa huduma. Kwa hakika, mnamo Desemba 2021, wataalam wa usalama wa mtandao walisaidia kuweka usanidi usio sahihi katika ndoo ya S3 ya Amazon Web Services inayomilikiwa na Sega, ambayo ilikuwa na kila aina ya taarifa nyeti, ikiwa ni pamoja na manenosiri.
"Matumizi ya nenosiri yanapaswa kupitwa na wakati, na tunapaswa kutafuta njia tofauti za kuingia katika akaunti," Mkurugenzi Mtendaji wa mchuuzi wa usalama Gurucul, Saryu Nayyar, aliiambia Lifewire kupitia barua pepe.
Tatizo la Manenosiri
Mnamo Desemba, gazeti la The Sun liliripoti kwamba Shirika la Kitaifa la Uhalifu la Uingereza (NCA) lilitoa manenosiri zaidi ya milioni 500 kwa huduma maarufu ya Have I Been Pwned (HIBP), ambayo ilikuwa imegundua wakati wa uchunguzi.
HIBP huwawezesha watumiaji kuangalia kama manenosiri yao yamevujishwa kwa ukiukaji na wana uwezekano wa kutumiwa vibaya na wavamizi. Kulingana na mwanzilishi wa HIBP, Troy Hunt, zaidi ya manenosiri milioni 200 yaliyotolewa na NCA hayakuwa tayari kwenye hifadhidata.
Ingawa kipengele cha kuhifadhi kitambulisho cha akaunti cha vivinjari ni rahisi sana… watumiaji wanapendekezwa kuacha kukitumia.
"Inaangazia ukubwa wa tatizo, tatizo likiwa ni nywila, mbinu ya kizamani ya kuthibitisha ukweli wa mtu. Iwapo kulikuwa na mwito wa kuchukua hatua kufanya kazi ili kuondoa manenosiri na kutafuta njia mbadala, basi hii lazima ifanyike. iwe," Baber Amin, COO wa wataalamu wa utambulisho wa kidijitali, Veridium aliambia Lifewire kupitia barua pepe, kujibu mchango wa hivi majuzi wa NCA kwa HIPB.
Amin aliongeza kuwa stakabadhi zilizovuja haziathiri tu akaunti zilizopo, kwani wavamizi sasa wanazitumia na zana za uchanganuzi zinazotegemea AI ili kutambua ruwaza za jinsi mtu binafsi anavyounda nenosiri. Kimsingi, kitambulisho kilichovuja huhatarisha usalama wa akaunti zingine ambazo hazijaathiriwa pia.
Nenosiri na Mengine
Kutetea utaratibu bora wa ulinzi kuliko manenosiri, Nayyar anapendekeza kwamba watumiaji walio na chaguo la kuweka uthibitishaji wa vipengele vingi kwenye akaunti zao wafanye hivyo.
Ron Bradley, Makamu Mkuu wa Tathmini Zilizoshirikiwa, shirika la wanachama ambalo husaidia kubuni mbinu bora za uhakikisho wa hatari za watu wengine, anakubali. "Washa uthibitishaji wa vipengele vingi kila mahali unapowezekana, hasa programu zinazohamisha pesa."
Kulinda akaunti kwa kutumia nenosiri pekee kunajulikana kama uthibitishaji wa kipengele kimoja. Uthibitishaji wa vipengele vingi au MFA huunda juu yake na hulinda akaunti kwa kuongeza hatua ya ziada katika mchakato wa kuingia kwa kuwauliza watumiaji taarifa nyingine. Huduma nyingi, zikiwemo benki kadhaa, hutekeleza MFA kwa kutuma nambari ya kuthibitisha kwa nambari ya simu ya mtumiaji iliyosajiliwa na benki.
Hata hivyo, utaratibu huu wa uthibitishaji huathiriwa na mbinu ya kushambulia inayojulikana kama shambulio la kubadilishana SIM, ambapo wavamizi hudhibiti nambari ya simu ya mtu anayelengwa kwa kumdanganya mtoa huduma wa mmiliki kukabidhi nambari hiyo kwa SIM kadi ya mshambuliaji.
Huku ikikubali shambulio kama hilo ambalo lililenga baadhi ya wateja wake, T-Mobile ilisema kuwa mashambulizi ya kubadilisha SIM yamekuwa tukio la kawaida na la sekta nzima.
Badala yake, chaguo bora zaidi la kuwezesha MFA ni kutumia programu kama vile Usalama wa Duo, Kithibitishaji cha Google, Authy, Microsoft Authenticator, na programu zingine maalum kama hizo za MFA.
Njia ya Nenosiri
Hata hivyo, wataalam wote wa usalama wa mtandao tuliozungumza nao walionya kuwa kutumia MFA kusiwe kisingizio cha kutochukua hatua za kutosha kulinda nywila.
"Kuwa sehemu ya asilimia moja ambao hawajui nenosiri lao la benki ni nini kwa sababu ni refu sana na tata," alishauri Bradley.
Anaongeza kuwa watumiaji wanapaswa kuzingatia kuwekeza katika kidhibiti cha nenosiri linapokuja suala la manenosiri. Ingawa hakuna uhaba wa wasimamizi wa nenosiri bila malipo, na kuna moja iliyojengwa kwenye kivinjari chako cha wavuti pia, wataalam wanapendekeza kuwa kidhibiti cha nenosiri bila malipo ni bora kuliko kutokuwa na kabisa, lakini watumiaji wanapaswa kuwa waangalifu wanapotumia moja.
Kuwa sehemu ya asilimia moja ambao hawajui nenosiri lao la benki ni nini kwa sababu ni refu sana na tata.
Wakati wa kuchunguza ukiukaji wa hivi majuzi wa mtandao wa ndani wa kampuni moja, watafiti wa usalama wa mtandao kutoka AhnLab waligundua kwamba akaunti ya VPN iliyotumiwa kuingia kwenye mtandao wa kampuni ilivuja kutoka kwa kompyuta ya mfanyakazi wa mbali.
Kompyuta hii iliathiriwa na programu hasidi mbalimbali, ikiwa ni pamoja na ile iliyoundwa mahususi kutoa manenosiri kutoka kwa vidhibiti vya nenosiri vilivyoundwa katika vivinjari vya wavuti vinavyotegemea Chromium kama vile Google Chrome na Microsoft Edge.
"Ingawa kipengele cha uhifadhi wa kitambulisho cha akaunti cha vivinjari ni rahisi sana, kwa kuwa kuna hatari ya kuvuja kwa kitambulisho cha akaunti wakati wa kuambukizwa na programu hasidi, watumiaji wanapendekezwa kuacha kuitumia," waonya watafiti wa AhnLab.
