Прощайте, пароли, вы больше никогда их не используете: новый метод борьбы с хакерами и киберпреступниками

1 мая будет не только Днем труда ( какой состав участников в Concertone: от Элоди до Акилле Лауро и... ), но и Всемирным днем ​​пароля. Защита, которую все используют против угроз со стороны хакеров и киберпреступников, но также и «крест» многих людей, которые часто забывают о них среди тысяч сайтов и приложений, которые они используют. Но эти пароли, секретные коды становятся все менее и менее... секретными и все более и более уязвимыми даже при попытке придумать сложные коды доступа .

Анализ компании Sophos, мирового лидера и новатора в области передовых решений безопасности для нейтрализации киберпреступников, фактически подчеркивает ограничения, присущие использованию паролей и методов аутентификации на основе знаний. И он делает прогноз, который встревожит пользователей Интернета и социальных сетей: в 2025 году использование сложных TTP (приемов, тактик и процедур) позволит злоумышленникам легко обходить традиционные методы аутентификации.

Неслучайно второй год подряд в отчете Sophos Active Adversary Report за 2025 год скомпрометированные учетные данные указаны как основная причина атак (41% рассмотренных случаев). Поэтому пользователям и предприятиям следует выйти за рамки паролей и использовать более надежные методы защиты своих данных от кражи учетных данных.

Пароли, пределы защиты, основанной на знаниях

Широко используется двойная или многофакторная аутентификация (2FA/MFA). Однако, как и в случае с паролями, эти дополнительные уровни защиты часто основаны на знании секретных кодов, отправляемых по SMS или через приложения-аутентификаторы. К сожалению, многие из этих методов остаются уязвимыми: теперь в распоряжении киберпреступников есть инструменты, которые, как и evilginx2, позволяют им легко обходить эти средства защиты, автоматизируя фишинговые действия или кражу сеансовых cookie-файлов.

Это означает, что постоянное откладывание окончания использования пароля с помощью нестабильных дополнений является опасным решением. Реальность киберугроз должна подтолкнуть компании к смене парадигмы, которая откажется от модели, основанной на паролях и знании общих секретов.

Всемирный день паролей — WebAuthn и ключи доступа: более надежная многофакторная аутентификация?

Для защиты от фишинга эксперты по кибербезопасности теперь принимают протокол WebAuthn, который использует ключи доступа или пароли. При использовании этого метода при создании новой учетной записи генерируется пара криптографических ключей: один открытый и один закрытый. Ключи хранятся локально: открытый ключ на сервере сайта, закрытый ключ на терминале пользователя вместе с именем сайта и его идентификатором пользователя.

Для входа в систему вам больше не нужно вводить пароль или секретный код, отправленный по SMS или через приложение для аутентификации; Вместо этого сервер отправляет запрос на цифровую аутентификацию, который может быть удовлетворен только в том случае, если пользователь физически владеет определенным устройством и может доказать владение закрытым ключом, например, с помощью биометрической проверки. Таким образом, аутентификация по-прежнему основывается на двух факторах, но они зависят не от знания чего-либо, а от физического обладания устройством и биометрических характеристик самого пользователя: элементов, которые в принципе невозможно украсть с помощью традиционных методов фишинга.

Кроме того, процесс аутентификации включает двустороннюю проверку, которая позволяет пользователю проверить подлинность сервиса через домен сайта, который отправляется, когда сервер запрашивает аутентификацию. В отличие от методов, основанных на знании паролей и секретных кодов, теперь пользователь не единственный, кто обязан доказывать свою легитимность.

Меры предосторожности для надежной и упрощенной аутентификации

Этот новый отраслевой стандарт, основанный на стандарте FIDO2, по-видимому, обеспечивает защиту от фишинга — основного метода кражи учетных данных — и одновременно упрощает аутентификацию пользователей.

Тем не менее, хотя WebAuthn представляет собой значительный шаг вперед, все еще остается несколько уязвимостей и необходимо проявлять осторожность:

Крайне важно обеспечить безопасность устройства или облака, где хранятся ключи; Переход на WebAuthn требует от компаний внедрения этой технологии; Кража сеансовых cookie-файлов по-прежнему остается вектором атаки, позволяющим обойти этот тип защиты.

Важно помнить, что киберпреступники постоянно совершенствуют методы своих атак. Вот почему внедрение этих технологий должно стать приоритетом для корпоративной кибербезопасности.