Virtual-IT.pl - wirtualizacja cloud computing storage SDx data center

Co wiemy o sztucznej inteligencji? Niewiele, a i tak za mało
Co wiemy o sztucznej inteligencji? Niewiele, a i tak za mało

Ponad 40% z nas ma codziennie do czynienia ze sztuczną inteligencją, ale tylko co druga osoba jest w stanie wytłumaczyć czym w ogóle ów termin właściwie jest, podaje firma Entrata. Być może dlatego coraz częściej zdarza się, że zaawansowane algorytmy zaskakują ludzi swoimi wnioskami, a przecież to syntety...

Czytaj więcej...

Chmura nad Wisłą - tak, ale powoli [Cloud comupting w Polsce]
Chmura nad Wisłą - tak, ale powoli [Cloud comupting w Polsce]

OVHcloud oraz Intel przyjrzały się rynkowi MŚP sprawdzając stopień wykorzystania cloud. Badanie  wykazało, że podczas pandemii chmurą zainteresowało się 41 proc. firm, a 71 proc. planuje kolejne wdrożenia. Ankietowanych zapytano także o plany, motywacje i kryteria wyboru usług chmurowych oraz o to jak decydenci oc...

Czytaj więcej...

BDRSuite - Scentralizowany backup punktów końcowych
BDRSuite - Scentralizowany backup punktów końcowych

BDRSuite, kompleksowe rozwiązanie do tworzenia kopii zapasowych i odzyskiwania po awarii, zostało zaprojektowane do ochrony środowisk działających w wielu modelach, od platform wirtualizacji (VMware vSphere i Microsoft Hyper-V), przez systemy fizyczne (Windows, Linux i Mac), po środowiska chmurowe (AWS) i SaaS (Microso...

Czytaj więcej...

W zdrowiu i chorobie, czyli jak wybrać dobrego dostawcę chmury?
W zdrowiu i chorobie, czyli jak wybrać dobrego dostawcę chmury?

Wraz z popularnością chmury obliczeniowej, pojawia się na rynku coraz więcej dostawców usług cloud. Niestety jak ze wszystkim - im większy wybór, tym trudniej podjąć decyzję. To, jak ocenisz niezawodność i możliwości dostawcy usług chmurowych, któremu planujesz powierzyć dane i aplikacje swojej fir...

Czytaj więcej...

Zrozumieć Kubernetes
Zrozumieć Kubernetes

Jednym z coraz popularniejszych tematów w branży IT są systemy kontenerowe, a w szczególności Kubernetes. Raport VMware na temat Kubernetes za rok 2021 pokazuje, że z jednej strony platforma ta jest coraz chętniej wykorzystywana, choć z drugiej strony brak jest jednak specjalistycznej wiedzy na jej temat,...

Czytaj więcej...

Kto jest odpowiedzialny za bezpieczeństwo firmowej chmury?
Kto jest odpowiedzialny za bezpieczeństwo firmowej chmury?

Cyberatak na firmę prawie zawsze zaczyna się (a często też kończy…) dochodzeniem, kto zawinił powstałej sytuacji. Gdy ofiarą padną systemy w infrastrukturze chmurowej, niemal automatycznie za winnego uznany zostaje dostawca usługi, kontrakt jest przerywany, a zaatakowana aplikacja przenoszona z powrotem do lokal...

Czytaj więcej...

Aktualności

Wyciek danych LastPass pokazał ogromny problem związany z cyberbezpieczeństwem

HackerPod koniec grudnia ubiegłego roku pojawiła się informacja o wycieku danych użytkowników menedżera haseł LastPass. W ręce cyberprzestępców mogły wpaść zarówno adresy e-mail, loginy, jak i klucze dostępu do danych przechowywanych w chmurze. Chester Wisniewski, ekspert firmy Sophos, podsumowuje sytuację, w jakiej znalazły się miliony klientów LastPass oraz przedstawia największe przeszkody w walce o bezpieczne sposoby logowania.

Do wycieku informacji z LastPass doszło dzięki uzyskaniu przez hakerów już w sierpniu 2022 r. dostępu do danych firmy przechowywanych w chmurze. Według zapewnień przedsiębiorstwa informacje, które dostały się w ręce cyberprzestępców, są szyfrowane 256-bitowym kluczem AES i pozostaną nienaruszone bez dostępu do haseł głównych, znanych wyłącznie użytkownikom.

Twórcy menedżera haseł przekonują, że klienci, którzy zabezpieczyli wirtualne sejfy unikalnym i silnym hasłem głównym o długości przynajmniej 12 znaków, mogą spać spokojnie. LastPass uspokaja, że złamanie takich haseł za pomocą ogólnodostępnych technologii zajęłoby miliony lat.

Komentarz Chestera Wisniewskiego, eksperta firmy Sophos
Korzystający z rozwiązań LastPass mimo wszystko powinni zakładać najgorszy scenariusz. Środkami zaradczymi, które należy podjąć w pierwszej kolejności, są zmiana haseł oraz aktywacja uwierzytelniania dwuskładnikowego.

Wyciek unaocznił ważny problem w zapewnianiu bezpieczeństwa wszystkich użytkowników - brak standaryzacji dotyczącej używanych haseł oraz wymaganych zabezpieczeń. Jakie są tego przyczyny?

Koszty wdrożenia nowych rozwiązań
Tokeny w formie elektronicznych urządzeń do generowania haseł nie należą do najtańszych rozwiązań. Przystępne cenowo nie są również smartfony, które mimo swojej powszechności, wykluczają m.in. osoby z niektórymi niepełnosprawnościami. Do tego urządzenia mobilne są podatne na ataki hakerskie. Dlatego technologiczni giganci stawiają na nowe metody kryptografii, takie jak klucze biometryczne. Minie jednak sporo czasu, zanim narzędzia te zostaną spopularyzowane na szeroką skalę. Nie jest też pewne, czy przyjmą się one wśród zwykłych użytkowników.

Brak wymagań, brak wspólnych rozwiązań
Klucze U2F (Universal Second Factor), czyli urządzenia służące do bezpiecznego logowania z wykorzystaniem dodatkowego składnika uwierzytelniającego, są skutecznym narzędziem chroniącym przed skutkami phishingu. Nie ma jednak przepisów, które nakazywałyby korzystanie z takich rozwiązań na wszystkich stronach internetowych wymagających logowania. Podobnych regulacji nie ma także w zakresie wymaganej długości haseł czy konieczności stosowania weryfikacji dwuskładnikowej.

Niektóre serwisy dopuszczają krótkie i proste hasła, inne wymagają od użytkownika stworzenia naprawdę skomplikowanego kodu dostępu. Brak jednolitego standardu utrudnia zapewnienie bezpieczeństwa oraz opóźnia wprowadzanie nowych, skuteczniejszych rozwiązań ochronnych.

Brak gotowości na zmiany
Wielu użytkowników postrzega weryfikację dwuskładnikową jako niedogodność. Z tego powodu nawet w niektórych bankach wciąż nie jest ona obowiązkowa. To samo dotyczy innych usług - firmy wolą narażać swoich klientów na niższy poziom zabezpieczeń niż stracić ich ze względu na wydłużony proces logowania do swoich usług. Ponadto, potencjalne problemy wynikające np. z uzyskaniem dostępu do konta przez token zostawiony przez klienta w domu, generują koszty, których firmy nie chcą brać na siebie. Aby sytuacja uległa zmianie, potrzebne jest odgórne nakazanie stosowania odpowiednich zabezpieczeń.

Uruchomienie dwuskładnikowej weryfikacji zdecydowanie zwiększa bezpieczeństwo użytkownika i jego danych. Warto stosować ją wszędzie, gdzie to tylko możliwe, w szczególności przy logowaniu do skrzynki e-mail, mediów społecznościowych czy bankowości internetowej.

Silne hasło nie oznacza skutecznej ochrony
Przypadek wycieku danych LastPass powinien skłonić użytkowników do zwracania jeszcze większej uwagi na bezpieczeństwo informacji przechowywanych u dostawców usług związanych z cyberbezpieczeństwem. Nie oznacza to jednak, że powinniśmy zrezygnować z samych rozwiązań ochronnych.

Ranking zabezpieczeń stosowanych przy weryfikacji dwuskładnikowej (w kolejności od najbardziej bezpiecznych rozwiązań, po te najbardziej wrażliwe na ataki):
• Klucz U2F/token
• Zabezpieczenia biometryczne (skaner odcisku palca, skaner twarzy)
• Aplikacje mobilne do weryfikacji dwuskładnikowej, jak Google Authenticator lub Microsoft Authenticator
• Kod logowania dostarczany w wiadomości SMS
• Hasło bez dodatkowych zabezpieczeń

Hasło to zdecydowanie za mało, nawet jeśli jest długie i silne, czyli składające się z małych i dużych liter oraz znaków specjalnych. Zwłaszcza jeśli jedna kombinacja używana jest jako klucz dostępu do kilku różnych serwisów. Dlatego polecanym rozwiązaniem wciąż pozostają menedżery haseł. Wirtualny sejf, zabezpieczony trudnym do złamania hasłem i dwuskładnikową weryfikacją, jest o wiele bezpieczniejszy, niż dobrze schowany notatnik z zapisanymi danymi dostępowymi.

Należy też pamiętać, że tożsamości online i offline nie są już dwoma różnymi bytami. Włamanie na skrzynkę e-mail może poważnie zagrozić życiu prywatnemu, jak i zawodowemu.

Informacje o wycieku danych LastPass.

Źródło: Sophos