Tên người dùng và mật khẩu đã trở nên lỗi thời? Chuyên gia bảo mật có trọng lượng

Anonim

Gần đây tôi đã bắt gặp chuyên gia an ninh mạng Eric Vanderburg, giám đốc hệ thống thông tin và bảo mật tại Geronov, để giải quyết một số vấn đề với hệ thống tên người dùng và mật khẩu và tìm hiểu xem có phải đã đến lúc thay đổi hay không.

Rất nhiều người đang nói mật khẩu đã chết - hoặc chính khái niệm về mật khẩu đang trở thành thụ động. Bạn có ý kiến ​​gì về việc này?

$config[code] not found

Eric Vanderburg: Những gì nó thực sự đi xuống là những khó khăn người dùng đã chấp nhận một số công nghệ thay thế. Đồng thời, rất nhiều hệ thống cũ vẫn phụ thuộc vào tên người dùng và mật khẩu. Vấn đề là mọi người phải nhớ ngày càng nhiều mật khẩu theo thời gian - đôi khi, đó là 40 mật khẩu mà họ đang cố nhớ. Họ viết chúng xuống. Họ sử dụng cùng một mật khẩu cho tất cả mọi thứ. Họ đưa chúng vào một ứng dụng quản lý mật khẩu, có khả năng chuyển rủi ro từ máy tính cục bộ sang ứng dụng đám mây. Vì vậy, tôi không biết rằng liệu tôi có thể nói rằng mật khẩu đã chết hay không, nhưng họ chắc chắn cần một sự thay thế.

Nhấp vào trình phát bên dưới để nghe toàn bộ cuộc phỏng vấn của Eric Vanderburg ngay bây giờ:

Nhưng các nhà quản lý mật khẩu có dễ bị tấn công không?

Vanderburg: Vâng, họ là. Nếu nó trên máy cục bộ của bạn, bạn có khả năng bị nhiễm phần mềm độc hại có trình ghi nhật ký chính trong đó. Ngay khi bạn đăng nhập vào ứng dụng quản lý mật khẩu của mình, phần mềm độc hại sẽ có mật khẩu của bạn và nó sẽ trích xuất phần còn lại của mật khẩu từ người quản lý và bắt đầu sử dụng chúng. Nếu bạn sử dụng ứng dụng đám mây, nó có thể có các biện pháp bảo vệ nhưng, nếu có một cuộc tấn công vào nhà cung cấp đám mây, thông tin đăng nhập của bạn có thể bị lộ.

Bạn nghĩ về điều gì xác thực hai yếu tố (2FA), nơi các nỗ lực đăng nhập vào tài khoản trực tuyến được xác minh thông qua một thiết bị thứ hai thuộc sở hữu của người dùng, chẳng hạn như điện thoại thông minh?

Vanderburg: 2FA chắc chắn tốt hơn là chỉ có tên người dùng và mật khẩu. Tuy nhiên, tại Geronov, chúng tôi không khuyến khích sử dụng tin nhắn văn bản hoặc email cho 2FA vì nguy cơ bị chặn. Nó tương đối dễ dàng cho tội phạm mạng để lấy thành phần văn bản đơn giản của thông tin có trong tin nhắn văn bản và email.

Bạn nghĩ gì đang xảy ra về mặt công nghệ mới như sinh trắc học?

Vanderburg: Điều thú vị về những công nghệ đó là chúng đã trở nên dễ dàng hơn cho người dùng. Khi sinh trắc học lần đầu tiên xuất hiện, vì một điều chúng thực sự đắt đỏ, và hai, nó đòi hỏi một số loại phần cứng bổ sung mà người dùng weren quen thuộc. Vì vậy, đã có tất cả các khóa đào tạo bổ sung này và các hệ thống sẽ bị hỏng hoặc trục trặc và người dùng sẽ không thể thực hiện công việc của mình. Nhưng trong vài năm gần đây, chúng tôi đã thấy những thứ như điện thoại iPhone và Android nhận dạng vân tay và Windows Hello cung cấp nhận dạng khuôn mặt. Và bạn không cần phải mua thêm bất cứ thứ gì để sử dụng tính năng này. Phần mềm hỗ trợ sinh trắc học và điều đó giúp người dùng dễ dàng áp dụng công nghệ hơn rất nhiều.

Có điều gì mới dưới ánh mặt trời khi nói đến thực tiễn quản lý mật khẩu tốt nhất không? Bạn có lời khuyên nào cho mọi người?

Vanderburg: Tôi vẫn thích cụm từ cho mật khẩu. Của tôi là dài, ngớ ngẩn và hỗn độn. Nhưng bạn nói điều đó một hoặc hai lần và bạn nhận ra, ‘oh ya, tôi có thể nhớ điều này. Cố gắng và cố gắng làm cho mỗi cụm từ rất khác nhau. Mọi người chỉ muốn thay thế một từ hoặc một cái gì đó tương tự khi tạo cụm mật khẩu mới. Nhưng bạn đã phải nhớ nếu một cụm mật khẩu bị lộ, một tên tội phạm mạng sẽ thử các biến thể tương tự trên mật khẩu đó sau này.

Norman Guadagno là Giám đốc truyền giáo và Phó chủ tịch tiếp thị cao cấp tại Carbonit . Các phần của cuộc phỏng vấn này đã được chỉnh sửa cho rõ ràng.

Mật khẩu Ảnh qua Shutterstock

Thêm trong: Tài trợ 1