Ce este parola de tip „passe-partout“ şi ce pericole implică. Avertismentul SRI: „Hackerii folosesc o gamă variată de tehnici“

Cum alegem parolele DESEN SRI

Utilizatorii tind să utilizeze parole uşor de ghicit sau să o folosească pe aceeaşi pentru mai multe conturi, cea mai uzuală fiind „ABC1234“.

Conform avertismentelor trase în Revista Intelligence a SRI, hackerii au la dispoziţie o gamă variată de tehnici pentru a fura parolele, de la shoulder-surfing sau snooping până la sniffing şi chiar guessing.

„Creşterea rapidă a numărului de servicii online a dus la creşterea numărului de identităţi digitale diferite pe care fiecare utilizator trebuie să le gestioneze. Cum utilizatorii tind să utilizeze parole uşor de ghicit sau să o folosească pe aceeaşi pentru mai multe conturi, hackerii au la dispoziţie o gamă variată de tehnici pentru a fura parolele, de la shoulder-surfing sau snooping până la sniffing şi chiar guessing“, arată autorul.

Autentificarea cu doi factori (Two Factor Authentication/2FA) a fost dezvoltată pentru a acoperi aceste breşe de securitate. O soluţie de 2FA este folosirea dispozitivelor fizice (hardware token) pentru generarea de parole unice. Metoda este stabilă, dar presupune costuri ridicate prin prisma achiziţionării, emiterii şi gestionării dispozitivelor. Un alt dezavantaj îl reprezintă riscul de pierdere sau de furt al acestor obiecte.

O altă metodă o reprezintă „One time password” (OTP), o soluţie sub forma unei aplicaţii (software token), folosită pe dispozitivele mobile, care elimină dezavantajele utilizării token-urilor hardware şi foloseşte, la fel ca acestea, două dintre principiile ce stau la baza mecanismului de autentificare: parola („ceea ce ştii”) şi token-ul software de pe dispozitiv („ceea ce ai”). Dezavantajele rezidă în necesitatea instalării pe dispozitivele mobile a software-ului OTP, precum şi în sincronizarea permanentă a amprentei de timp dintre dispozitivul mobil şi server. În momentul de faţă majoritatea serviciilor web importante oferă utilizatorilor o gamă largă de metode de autentificare cu doi factori, însă la capitolul eficienţei protejării datelor personale, diferenţele dintre acestea sunt nesemnificative, ceea ce face ca 2FA să fie insuficientă pentru securizarea procesului de autentificare.

Apărut în anul 2013, site-ul twofactorauth.org evidenţiază şi sugerează îmbunătăţiri site-urilor care nu oferă autentificare cu doi factori. De exemplu, Netflix, Spotify, Viber, dar şi Airbnb sau Wikipedia nu oferă utilizatorilor 2FA. În schimb, toate aplicaţiile de cryptocurrency şi toate serviciile importante de e-mail oferă metode de autentificare cu doi factori.

Începând cu anul 2014, atacurile vizând ocolirea autentificării cu doi factori au luat amploare. Metodele folosite de atacatori variază de la interceptarea token-urilor software, până la spargerea conturilor operatorilor de telefonie mobilă şi redirecţionarea mesajelor trimise prin serviciul OTP către atacatori. Autentificarea cu doi factori este, evident, un proces mai anevoios decât simpla utilizare a unei parole mai ales când vorbim de multe identităţi digitale şi multe aplicaţii în care ne logăm zilnic. 

Totuşi, aceste dezavantaje nu trebuie folosite ca scuze pentru a evita această măsură suplimentară de siguranţă. Trebuie să fim conştienţi că protejarea superficială a identităţii în mediul virtual s-ar putea întoarce la un moment dat împotriva noastră.