Njia Muhimu za Kuchukua
- Wadukuzi wanaweza kuiba misimbo ya uthibitishaji wa vipengele vingi vya simu (MFA), wataalam wanasema.
- Kampuni za simu zimelaghaiwa kuhamisha nambari za simu ili kuruhusu wahalifu kupata nambari hizo.
- Njia rahisi na ya gharama nafuu ya kuongeza usalama ni kutumia programu ya kithibitishaji kwenye simu yako.
Ili kuwa salama dhidi ya wavamizi, acha kutumia misimbo ya uthibitishaji wa vipengele vingi (MFA) inayotumwa kwa njia ya simu kupitia SMS na simu za sauti, mtaalamu mkuu wa usalama anaandika katika uchanganuzi mpya.
Misimbo ya simu inaweza kutekwa na wadukuzi, Alex Weinert, mkurugenzi wa usalama wa utambulisho katika Microsoft, aliandika katika chapisho la hivi majuzi la blogu. Nambari za msingi wa maandishi ni bora kuliko chochote, waangalizi wanasema. Lakini watumiaji wanapaswa kuchukua nafasi ya uthibitishaji unaotegemea simu na kuweka programu na funguo za usalama.
"Taratibu hizi zinatokana na mitandao ya simu iliyowashwa hadharani (PSTN), na ninaamini ndizo salama zaidi kati ya mbinu za MFA zinazopatikana leo," aliandika.
"Pengo hilo litaongezeka tu kadiri utumiaji wa MFA unavyoongeza shauku ya washambuliaji katika kuvunja mbinu hizi na vithibitishaji vilivyobuniwa kwa madhumuni ya kupanua manufaa yao ya usalama na utumiaji. Panga kuhamia kwa uthibitishaji thabiti usio na nenosiri sasa-programu ya uthibitishaji hutoa mara moja na chaguo linaloendelea."
MFA ni njia ya usalama ambapo mtumiaji wa kompyuta anapewa idhini ya kufikia tovuti au programu tu baada ya kuwasilisha kwa ufanisi vipande viwili au zaidi vya ushahidi kwa utaratibu wa uthibitishaji. Misimbo hii mara nyingi hutumwa kwa simu.
Wadukuzi Wanajifanya Kuwa Wewe
Kuna njia wadukuzi wanaweza kufikia misimbo ya simu, hata hivyo, wachunguzi wanasema. Katika baadhi ya matukio, kampuni za simu zimedanganywa kuhamisha nambari za simu ili kuwaruhusu wadukuzi kupata misimbo.
"Simu sio salama hivi kwamba watumiaji mara nyingi watapata simu za ulaghai kutoka nchi za ulimwengu wa tatu huku zikionyesha nambari za simu za kikanda za Amerika," Matthew Rogers, CISO wa mtoa huduma wa cloud Syntax, alisema katika mahojiano ya barua pepe. "Simu pia zinakabiliwa na mashambulizi ya kubadilishana SIM, ambayo yanaweza kukwepa MFA kwa urahisi kupitia ujumbe wa maandishi."
Hivi majuzi, mtangazaji maarufu wa redio ya BBC Jeremy Vine alidhulumiwa kwa shambulio lililosababisha akaunti yake ya WhatsApp kupenya.
"Shambulio lililofanikiwa kumhadaa Vine linaanza na kupokea ujumbe wa SMS unaoonekana kuwa haujaombwa ambao una nambari ya kuthibitisha ya vipengele viwili kwenye akaunti yao," Ray Walsh, mtaalamu wa faragha wa data katika tovuti ya ukaguzi wa faragha ya ProPrivacy, alisema katika mahojiano ya barua pepe.
"Kufuatia hayo, mwathiriwa hupokea ujumbe wa moja kwa moja kutoka kwa mtu aliyewasiliana naye akidai kuwa amemtumia msimbo kwa bahati mbaya. Hatimaye, mwathirika anaombwa kusambaza mdukuzi msimbo huo, ambao unampa ufikiaji wa papo hapo kwa akaunti ya mwathirika.."
Programu pia inaweza kuwa tatizo. "Kwa sababu ya udhaifu wa kifaa, MFA inaweza kusikilizwa na programu iliyovuja au kifaa kilichoathiriwa ambacho mtumiaji hajui," George Freeman, mshauri wa masuala ya utatuzi katika kundi la serikali la LexisNexis Risk Solutions, alisema katika mahojiano ya barua pepe.
Usikate Tatu Simu Yako Bado
Hata hivyo, MFA inayotokana na maandishi ni bora kuliko chochote, wataalam wanasema. "MFA ni mojawapo ya zana zenye nguvu zaidi ambazo mtumiaji anazo kulinda akaunti zao," Mark Nunnikhoven, makamu wa rais wa utafiti wa mtandaoni katika kampuni ya usalama wa mtandao ya Trend Micro, alisema katika mahojiano ya barua pepe.
"Inapaswa kuwashwa wakati wowote inapowezekana. Ikiwa una chaguo, tumia programu ya uthibitishaji kwenye simu yako mahiri-lakini mwisho, hakikisha tu kwamba MFA imewashwa kwa njia yoyote."
Njia rahisi na ya gharama nafuu ya kuongeza usalama ni kutumia programu ya uthibitishaji kwenye simu yako, Peter Robert, mwanzilishi mwenza na Mkurugenzi Mtendaji wa kampuni ya IT Expert Computer Solutions, alisema kwenye mahojiano ya barua pepe.
“Ikiwa una bajeti na unazingatia usalama kuwa muhimu, ningekuhimiza kutathmini funguo za MFA za maunzi," aliongeza. "Kwa biashara na watu binafsi ambao wanajali usalama, ningependekeza pia wavuti isiyo na maana. huduma ya ufuatiliaji ili kukujulisha ikiwa taarifa za kibinafsi kukuhusu zinapatikana na zinauzwa kwenye wavuti isiyo na giza."
Kwa mbinu zaidi ya mtindo wa Mission Impossible, FIDO2 mpya ya kawaida iliyo na Webauthn hutumia uthibitishaji wa kibayometriki, Freeman anasema. "Mtumiaji huunganisha kwenye tovuti ya fedha, huingiza jina la mtumiaji, tovuti huwasiliana na kifaa cha mkononi cha mtumiaji, programu salama kwenye simu [ya] kisha humwuliza mtumiaji kupata kitambulisho [chao] cha usoni au alama ya vidole. Inapofanikiwa, basi huthibitisha. kikao cha wavuti," alisema.
Kwa vitisho vingi sana vinavyowezekana, inaweza kuwa wakati wa kuanza kutafuta njia salama zaidi za kuingia kwenye tovuti zinazohifadhi taarifa za kibinafsi. Wadukuzi wanaweza kuvizia kwenye wavuti wakingoja tu kunasa nenosiri lako.
