Tietoturvatutkijat sanovat nyt, että salasanojen pituus, vahvuus ja monimutkaisuus ovat merkityksettömiä.
Tekniset sivustot ovat jo vuosia tarjonneet samoja salasanavinkkejä, mukaan lukien pitkiä ja monimutkaisia salasanoja. Häpeällistä on, että kaikilla näillä neuvoilla useiden vuosien ajan on ollut vain vähän tai ei ollenkaan vaikutusta siihen, kuinka keskiverto kotikäyttäjäsi valitsee salasanansa. Turvallisuustutkijoiden nykyinen konsensus on se, että salasanan vahvalla, pitkällä tai monimutkaisemmalla tasolla ei läheskään aina ole väliä todellisessa maailmassa. paljastaminen: Osa tästä artikkelista perustuu tähän
Yleisin salasanahyökkäystyyppi on tunnistetietojen täyttäminen, jossa käytetään tietomurtojen yhteydessä varastettuja salasanoja. Se toimii, koska on niin yleistä, että ihmiset käyttävät samaa salasanaa uudelleen kahdessa paikassa, eikä salasanan vahvuus vaikuta siihen. Seuraavaksi yleisin hyökkäys on salasanojen ruiskuttaminen, jossa rikolliset käyttävät lyhyitä luetteloita hyvin yksinkertaisista salasanoista mahdollisimman monella tietokoneella. Molemmissa tilanteissa naurettavan yksinkertainen mutta ainutlaatuinen salasana on tarpeeksi hyvä hyökkäyksen päihittämiseen.
On olemassa harvinaisia hyökkäyksiä – offline-salasanojen arvaus – joissa vahva salasana saattaa auttaa, mutta kompromissi on, että vahvoja salasanoja on paljon vaikeampi muistaa, mikä saa heidät käyttämään samaa salasanaa kaikessa, mikä tekee heistä paljon alttiimpia tunnistetietojen täyttämiselle ~ <target”a>>
Tietenkin salasanojen hallintaohjelmat ovat kelvollinen ratkaisu, mutta tosiasia on, että kaikista vuosien myönteisistä arvosteluista ja suosituksista huolimatta suurin osa keskimääräisistä kotikäyttäjistäsi ei edelleenkään käytä niitä. Joten mikä on vastaus?
Kaksitekijäinen todennus (2FA)
Aloitan lainaamalla otteen vuoden 2019 artikkeli, jonka on kirjoittanut Microsoftin Alex Weinert, joka sanoo…” Tutkimuksemme perusteella tilisi vaarantumisriski on yli 99,9 % pienempi, jos käytät MFA:ta”.
Alex kutsuu sitä MFA:ksi (multi-factor authentication) ja Google 2SV:ksi. (kaksivaiheinen vahvistus), mutta ne kaikki tarkoittavat täsmälleen samaa asiaa – henkilöllisyytesi todistamista useammalla kuin yhdellä tavalla.
Salasana vaaditaan tietysti aina sekä toissijainen tunnistamiskeino, joka on yleensä yksilöllisen 6-numeroisen koodin muodossa, joka lähetetään puhelimeesi. Nyt, kun olen aiemmin suositellut 2FA:ta, olen melkein aina saanut kommentin joltakulta, joka suhtautuu skeptisesti matkapuhelinnumeronsa paljastamiseen, enkä voi sanoa syyttäväni heitä. Olen kuitenkin määrittänyt 2FA:n (matkapuhelinnumeroni kautta) useille tileille jokin aika sitten, enkä ole KOSKAAN saanut minkäänlaista roskapostia tai ei-toivottuja viestejä/puheluita. Ainoa kerta, kun kuulen näistä tileistä, on, kun kirjaudun sisään ja 2FA tulee peliin.
Matkapuhelimeni on aina hallussani ja pääsy on suojattu, joten se on mielestäni erittäin turvallinen tapa varmistaa, että kukaan muu ei pääse käyttämään tilejäni. Olen aina ollut vastahakoinen käyttämään puhelinta tai iPadia rahoitustapahtumiin, mutta kun 2FA on käytössä, minulla ei ole tällaisia epäilyksiä. Jos suoritan maksun esimerkiksi PayPalin kautta, minua kehotetaan jatkamaan syöttämällä vahvistuskoodi. Olen iloinen voidessani noudattaa sitä, koska tiedän, että riippumatta siitä, kuinka turvallinen yhteys voi olla, vain minä voin vastaanottaa ja syöttää koodin.
ALARIVI:
Ilmeisesti 4. toukokuuta oli Maailman salasanapäivä, josta en ollut tietoinen. Jos et kuitenkaan tee mitään muuta tänä vuonna, harkitse 2FA:n perustamista mahdollisimman monelle tilille ja mahdollisimman pian. 2FA, MFA, 2SV, miksi he haluavat sitä kutsua, on ehdottomasti paras tapa suojata tilejäsi, paljon tehokkaampi kuin pelkkä salasana, riippumatta sen vahvuudesta tai monimutkaisuudesta.
Jotkin tilit tarjoavat 2FA:n. valinnaisena, muut eivät ollenkaan, mutta vaatimattoman mielipiteeni mukaan 2FA:n pitäisi olla pakollinen vaatimus kaikille verkkotileille.
—