Virtual-IT.pl - data center cloud computing SDx AI storage network cybersecurity

Chcielibyśmy, żeby chmura…, czyli oczekiwania wobec dostawcy
Chcielibyśmy, żeby chmura…, czyli oczekiwania wobec dostawcy

Wyniki badania PMR dla Polskiej Chmury wskazują, że ponad 2/3 firm korzysta z rozwiązań chmurowych, a około 1/3 jest w trakcie ich wdrażania. Tym samym chmura to już stały element ekosystemu i działalności przedsiębiorstw w Polsce. Rynek ten dojrzał i firmy szukają w chmurze korzyści oraz rozwiązań dopasowanych wprost ...

Czytaj więcej...

Historia oszukiwania ludzi przez sztuczną inteligencję
Historia oszukiwania ludzi przez sztuczną inteligencję

Wraz z rozwojem nowoczesnych technologii rozwijają się również złośliwe schematy. Od niedawna do długiej listy oszustw dołączyła sztuczna inteligencja (Artificial Intelligence, AI). Wykorzystanie technologii sztucznej inteligencji i uczenia maszynowego (Machine Learning, ML) przenosi phishing i inne oszustwa cyb...

Czytaj więcej...

Integracja AIOps w kompleksowym monitorowaniu IT: Site24x7
Integracja AIOps w kompleksowym monitorowaniu IT: Site24x7

Środowiska IT stają się coraz bardziej rozbudowane. Firmy korzystają z infrastruktury on-premise jak również z rozwiązań chmurowych, często z wielu chmur (multicloud). W takiej sytuacji kluczem dla zapewnienia niezawodnego działania systemów IT jest monitoring infrastruktury. Właściwe rozwiązanie do monit...

Czytaj więcej...

Brak wykwalifikowanej kadry i starzejące się systemy główną barierą cyfryzacji
Brak wykwalifikowanej kadry i starzejące się systemy główną barierą cyfryzacji

Według opublikowanego przez Veeam raportu Data Protection Trends Report 2022, największym wyzwaniem dla firm związanym z cyfryzacją są braki wykwalifikowanej kadry IT i starzejące się systemy. Aż 1/3 przedsiębiorstw w razie awarii i braku dostępu do zasobów planuje przywracać działanie serwerów w trybie r...

Czytaj więcej...

Broadcom upraszcza ofertę i model licencjonowania VMware
Broadcom upraszcza ofertę i model licencjonowania VMware

W ciągu ostatnich dwóch lat firma VMware podejmowała wysiłki mające na celu uproszczenie swojego portfolio rozwiązań i przejście z modelu licencji wieczystych na model subskrypcji, który branża przyjęła już jako standard korzystania z chmury. Firma zaznaczyła, że takie zmiany przyniosą klientom większe ko...

Czytaj więcej...

FRITZ!Box 6850 5G - router gotowy na sieć piątej generacji
FRITZ!Box 6850 5G - router gotowy na sieć piątej generacji

Przed kilkoma tygodniami w skromnych progach naszej Virtual-nej redakcji pojawiła się przesyłka zawierająca router FRITZ!Box 6850 5G od firmy AVM. Router wprowadzony na rynek latem ubiegłego roku, za pomocą wbudowanego modemu obsługuje zakresy 5G w paśmie poniżej 6 GHz, a także LTE Advanced Pro we wszystkich obecnie wy...

Czytaj więcej...

Aktualności

Wyciek danych LastPass pokazał ogromny problem związany z cyberbezpieczeństwem

HackerPod koniec grudnia ubiegłego roku pojawiła się informacja o wycieku danych użytkowników menedżera haseł LastPass. W ręce cyberprzestępców mogły wpaść zarówno adresy e-mail, loginy, jak i klucze dostępu do danych przechowywanych w chmurze. Chester Wisniewski, ekspert firmy Sophos, podsumowuje sytuację, w jakiej znalazły się miliony klientów LastPass oraz przedstawia największe przeszkody w walce o bezpieczne sposoby logowania.

Do wycieku informacji z LastPass doszło dzięki uzyskaniu przez hakerów już w sierpniu 2022 r. dostępu do danych firmy przechowywanych w chmurze. Według zapewnień przedsiębiorstwa informacje, które dostały się w ręce cyberprzestępców, są szyfrowane 256-bitowym kluczem AES i pozostaną nienaruszone bez dostępu do haseł głównych, znanych wyłącznie użytkownikom.

Twórcy menedżera haseł przekonują, że klienci, którzy zabezpieczyli wirtualne sejfy unikalnym i silnym hasłem głównym o długości przynajmniej 12 znaków, mogą spać spokojnie. LastPass uspokaja, że złamanie takich haseł za pomocą ogólnodostępnych technologii zajęłoby miliony lat.

Komentarz Chestera Wisniewskiego, eksperta firmy Sophos
Korzystający z rozwiązań LastPass mimo wszystko powinni zakładać najgorszy scenariusz. Środkami zaradczymi, które należy podjąć w pierwszej kolejności, są zmiana haseł oraz aktywacja uwierzytelniania dwuskładnikowego.

Wyciek unaocznił ważny problem w zapewnianiu bezpieczeństwa wszystkich użytkowników - brak standaryzacji dotyczącej używanych haseł oraz wymaganych zabezpieczeń. Jakie są tego przyczyny?

Koszty wdrożenia nowych rozwiązań
Tokeny w formie elektronicznych urządzeń do generowania haseł nie należą do najtańszych rozwiązań. Przystępne cenowo nie są również smartfony, które mimo swojej powszechności, wykluczają m.in. osoby z niektórymi niepełnosprawnościami. Do tego urządzenia mobilne są podatne na ataki hakerskie. Dlatego technologiczni giganci stawiają na nowe metody kryptografii, takie jak klucze biometryczne. Minie jednak sporo czasu, zanim narzędzia te zostaną spopularyzowane na szeroką skalę. Nie jest też pewne, czy przyjmą się one wśród zwykłych użytkowników.

Brak wymagań, brak wspólnych rozwiązań
Klucze U2F (Universal Second Factor), czyli urządzenia służące do bezpiecznego logowania z wykorzystaniem dodatkowego składnika uwierzytelniającego, są skutecznym narzędziem chroniącym przed skutkami phishingu. Nie ma jednak przepisów, które nakazywałyby korzystanie z takich rozwiązań na wszystkich stronach internetowych wymagających logowania. Podobnych regulacji nie ma także w zakresie wymaganej długości haseł czy konieczności stosowania weryfikacji dwuskładnikowej.

Niektóre serwisy dopuszczają krótkie i proste hasła, inne wymagają od użytkownika stworzenia naprawdę skomplikowanego kodu dostępu. Brak jednolitego standardu utrudnia zapewnienie bezpieczeństwa oraz opóźnia wprowadzanie nowych, skuteczniejszych rozwiązań ochronnych.

Brak gotowości na zmiany
Wielu użytkowników postrzega weryfikację dwuskładnikową jako niedogodność. Z tego powodu nawet w niektórych bankach wciąż nie jest ona obowiązkowa. To samo dotyczy innych usług - firmy wolą narażać swoich klientów na niższy poziom zabezpieczeń niż stracić ich ze względu na wydłużony proces logowania do swoich usług. Ponadto, potencjalne problemy wynikające np. z uzyskaniem dostępu do konta przez token zostawiony przez klienta w domu, generują koszty, których firmy nie chcą brać na siebie. Aby sytuacja uległa zmianie, potrzebne jest odgórne nakazanie stosowania odpowiednich zabezpieczeń.

Uruchomienie dwuskładnikowej weryfikacji zdecydowanie zwiększa bezpieczeństwo użytkownika i jego danych. Warto stosować ją wszędzie, gdzie to tylko możliwe, w szczególności przy logowaniu do skrzynki e-mail, mediów społecznościowych czy bankowości internetowej.

Silne hasło nie oznacza skutecznej ochrony
Przypadek wycieku danych LastPass powinien skłonić użytkowników do zwracania jeszcze większej uwagi na bezpieczeństwo informacji przechowywanych u dostawców usług związanych z cyberbezpieczeństwem. Nie oznacza to jednak, że powinniśmy zrezygnować z samych rozwiązań ochronnych.

Ranking zabezpieczeń stosowanych przy weryfikacji dwuskładnikowej (w kolejności od najbardziej bezpiecznych rozwiązań, po te najbardziej wrażliwe na ataki):
• Klucz U2F/token
• Zabezpieczenia biometryczne (skaner odcisku palca, skaner twarzy)
• Aplikacje mobilne do weryfikacji dwuskładnikowej, jak Google Authenticator lub Microsoft Authenticator
• Kod logowania dostarczany w wiadomości SMS
• Hasło bez dodatkowych zabezpieczeń

Hasło to zdecydowanie za mało, nawet jeśli jest długie i silne, czyli składające się z małych i dużych liter oraz znaków specjalnych. Zwłaszcza jeśli jedna kombinacja używana jest jako klucz dostępu do kilku różnych serwisów. Dlatego polecanym rozwiązaniem wciąż pozostają menedżery haseł. Wirtualny sejf, zabezpieczony trudnym do złamania hasłem i dwuskładnikową weryfikacją, jest o wiele bezpieczniejszy, niż dobrze schowany notatnik z zapisanymi danymi dostępowymi.

Należy też pamiętać, że tożsamości online i offline nie są już dwoma różnymi bytami. Włamanie na skrzynkę e-mail może poważnie zagrozić życiu prywatnemu, jak i zawodowemu.

Informacje o wycieku danych LastPass.

Źródło: Sophos

Logowanie i rejestracja