Parolele rămân o ţintă majoră pentru hackeri şi alţi actori din sfera ameninţărilor cibernetice, iar în acest context aplicaţiile de tip manager de parole şi metode de autentificare cu doi factori (2FA) reprezintă soluţii foarte bune pentru reînnoirea cheilor de acces, notează specialiştii Eset, într-un articol publicat pe blogul din România al companiei.

„În ultimii ani, s-a vorbit mult despre potenţialul tot mai mare al autentificării fără parolă şi al cheilor de securitate. Datorită omniprezenţei funcţiei de recunoaştere faciale bazată pe smartphone, posibilitatea de a vă conecta la aplicaţiile preferate sau la alte servicii doar printr-o simplă privire (sau folosind o altă metodă de autentificare biometrică, de exemplu) este acum o realitate şi o modalitate simplă şi sigură de acces pentru mulţi utilizatori. Dar încă nu este regula, mai ales în lumea desktop-urilor, iar mulţi dintre utilizatori încă se bazează pe vechile parole (…) Până nu cu mult timp în urmă, se recomanda o rotaţie regulată a parolelor pentru a reduce riscul de furt sau de compromitere de către infractorii cibernetici. Perioada vehiculată de schimbarea a parolei era între 30 şi 90 de zile. Cu toate acestea, vremurile se schimbă, iar cercetările sugerează că schimbarea frecventă a parolelor, mai ales urmând un program stabilit, nu îmbunătăţeşte neapărat securitatea conturilor. Cu alte cuvinte, nu există un răspuns universal la întrebarea când ar trebui să vă schimbaţi parolele. (…) acum trăim într-o lume în care găsim aplicaţii de tip manager de parole şi metode de autentificare cu doi factori (2FA)”, explică specialistul Eset, Phil Muncaster, într-o analiză detaliată.

Potrivit acestuia, în cazul managerului de parole, ajută utilizatorul să stocheze şi să-şi amintească parolele lungi, puternice şi unice pentru fiecare cont. Unele aplicaţii de tip manageri de parole au acum încorporată funcţia de monitorizare dark web pentru a semnala automat când datele de conectare ar putea fi compromise şi distribuite pe site-urile dark web.

În ceea ce priveşte autentificarea cu doi factor, se adaugă un strat suplimentar de securitate procesului de logare cu parolă.

Experţii din cadrul Institutului Naţional de Standarde şi Tehnologie din SUA (NIST) şi ai Centrului Naţional de Securitate Cibernetică din Marea Britanie (NCSC) nu recomandă ca utilizatorii să fie obligaţi să îşi schimbe parolele la fiecare câteva luni, cu excepţia cazului în care sunt îndeplinite anumite criterii.

„Conform NIST, utilizatorii au tendinţa de a alege şi memora parole mai slabe atunci când ştiu că vor trebui să le schimbe în viitorul apropiat. Iar atunci când aceste schimbări au loc, ei aleg adesea parole care sunt similare cu vechile parole memorate prin aplicarea unui set de transformări comune, cum ar fi schimbarea unui număr din parolă. Această practică oferă un fals sentiment de securitate, deoarece, dacă o parolă anterioară a fost compromisă şi nu o înlocuiţi cu una puternică şi unică, atacatorii o vor putea sparge din nou cu uşurinţă. De asemenea, parolele noi, mai ales dacă sunt create la fiecare câteva luni, sunt mai susceptibile de a fi notate undeva scrise şi/sau uitate, potrivit NCSC. Mai mult de atât, „această ipoteză reprezintă unul dintre acele scenarii de securitate contra-intuitive; cu cât utilizatorii sunt forţaţi să schimbe parolele mai des, cu atât mai mare este vulnerabilitatea generală la atacuri. Ceea ce părea a fi un sfat perfect raţional, stabilit de mult timp, se pare că nu rezistă la o analiză riguroasă a întregului sistem”, susţine NCSC”, se menţionează în articolul Eset.

Cu toate acestea, există mai multe scenarii care necesită schimbarea parolei, în special pentru conturile cele mai importante, precum: o breşă de securitate a datelor suferită de către o terţă parte, parolă slabă şi uşor de ghicit sau de spart, refolosirea parolei în mai multe conturi, partajarea parolei cu o altă persoană, conectarea pe un computer public (de exemplu, într-o bibliotecă) sau pe dispozitivul altei persoane.

„Dacă nu folosiţi parolele aleatorii şi puternice sugerate de managerul dvs. de parole (sau de generatorul de parole ESET), consultaţi această listă de sfaturi compilată de către Agenţia de securitate cibernetică şi a infrastructurii (CISA) din SUA. CISA sugerează utilizarea celei mai lungi parole permise sau a unor passphrase-uri (8-64 de caractere), acolo unde este posibil, şi includerea de litere majuscule şi minuscule, numere şi caractere speciale. Ţelul pe termen lung este ca, în timp, passkeys – cu sprijinul Google, Apple, Microsoft şi al altor actori importanţi din ecosistemul tehnologic – să reprezinte sfârşitul erei parolelor. Dar, până atunci, asiguraţi-vă că vă menţineţi conturile cât se poate de sigure cu instrumentele deja existente”, atenţionează expertul.

Eset a fost fondată în anul 1992 în Bratislava (Slovacia) şi se situează în topul companiilor care oferă servicii de detecţie şi analiză a conţinutul malware, fiind prezentă în peste 180 de ţări.

AGERPRES/(AS – autor: Daniel Badea, editor: Nicoleta Bănciulea, editor online: Adrian Dădârlat)