„Passwords are like underwear:
You should change them often!
You shouldn't share them!
You shouldn't leave them out for others to see!“

În fine, toată lumea ştie că parolele trebuie schimbate frecvent şi că sunt strict de „uz personal“. Şi că nu trebuie să fie uşor de ghicit.

Chiar toată lumea?

Luna trecută, Vodafone s-a supărat pe clienţii săi din Cehia care foloseau celebra parolă „1234“, lucru care le-a permis hacker-ilor să le acceseze conturile şi să facă o pagubă de vreo 30.000 USD. (Dacă vreţi să aflaţi cum s-a întâmplat, aruncaţi un ochi aici: „Vodafone Tells Hacked Customers with "1234" Password to Pay Back Money“)

Pe undeva însă, nu este doar vina clienţilor...

Ca dovadă, statul California a hotărât să le interzică prin lege producătorilor de gadget-uri să mai folosească parole slabe precum „admin“ sau „1234“. („Weak passwords such as ‘admin’ and ‘1234’ will be BANNED în California from 2020 as part of a crackdown on cyber attacks“)

Şi chiar clienţii sunt oarecum de înţeles...

Când jonglezi zilnic cu peste 10 conturi (mail-uri, device-uri, aplicaţii, carduri etc.) nu îţi e uşor să memorezi pentru fiecare câte o parolă de 10 caractere alfanumerice și non-alfanumerice. Așa că este explicabil de ce mai folosesc înca parole precum „1234“ sau mai elaborata variantă „12345789“ sau „123abc“ sau...

Dar, totuși, prin definiție o parolă trebuie să fie greu de ghicit.
Și atunci cel mai simplu e să îţi creezi una, două, hai trei parole mai complicate şi să le reutilizezi. Iar dacă eşti chiar preocupat de securitatea ta le aduci şi mici modificări pe care încerci să le memorezi. (Dacă nu reuşeşti, nu-i bai, că tot nimereşti parola până la urmă prin încercări succesive...)

Şi ce-i rău în asta?

Rău e că atunci când hackerii reuşesc să subtilizeze o bază de date cu parole ‒ iar chestia asta le reuşeşte tot mai frecvent ‒ nu obţin acces doar la un singur cont, ci la mai multe. Să luăm un exemplu de manual: în 2016 Dropbox a recunoscut că hackerii au reuşit să pună mâna pe 68 de milioane de adrese şi parole de mail.
Ştiţi când s-a întâmplat catastrofa? În 2012! Când Dropbox a anunţat doar că au fost furate câteva adrese de mail. Niciun motiv deci să vă alarmaţi. Așa că aţi stat liniştiţi patru ani. Timp în care hackerii v-au putut accesa nu doar contul de mail, ci şi altele în cazul în care sunteţi un adept al refolosirii/reciclării parolelor.
Dropbox nu este o excepţie. Anunţurile de genul acesta continuă să apară şi în zilele noastre. „Another Day, Another Hack“...

Problema e că, atunci când sunt compromise parolele în mediul business situaţia se complică.
Şi lucrul acesta se întâmplă deja de mult timp pentru că peste 75% dintre utilizatorii de aplicaţii enterprise folosesc aceleaşi date de logare în mai multe conturi personale şi profesionale.
Urmarea ‒ 81% dintre breşele de securitate cu care se confruntă organizaţiile au la bază parole furate şi/sau sisteme de autentificare ineficiente (conform „Verizon 2017 Data Breach Investigations Report“).
Iar de când cu intrarea în vigoare a noului regulament european privind protecţia datelor cu caracter personal (GDPR) situația s-a complicat şi mai mult. Cel puţin pentru administratorii IT care trebuie să depisteze ce conturi şi credentiale sunt compromise înainte să le bată la ușă ANSPDCP...

Dar cum a preveni este mai uşor şi, adesea, mai ieftin decât a vindeca, noi la PRAS recomandăm ca „remediu preventiv“ soluţia Microsoft Authenticator.
De ce? Pentru că folosind Microsoft Authenticator nu mai trebuie să reţii şi tastezi nicio parolă complicată atunci când ai nevoie să să te autentifici. O poţi face doar folosind telefonul mobil: îţi introduci numele de utilizator şi apoi foloseşti device-ul, care ‒ prin amprentă sau recunoaştere facială (în cazul că nu aveţi niciuna dintre aceste funcţionalităţi disponibile pe mobil funcționează şi cu codul PIN) ‒ îţi confirmă identitatea şi apoi mai trebuie doar să accepţi accesarea contului. Dacă totuşi preferaţi să introduceţi parola, Microsoft Authenticator poate funcţiona ca un token şi emite un cod nou de verificare la fiecare 30 de secunde. Dacă şi aşa vi se pare prea puţin şi/sau vă e teamă de ce s-ar putea întâmpla dacă vă dispare telefonul, Microsoft Authenticator poate fi setat astfel încât să facă o verificare suplimentară.
Avantajul e că soluţia de dublă autentificare funcţionează pe Android, iOS şi Windows Phone la fel de bine şi eficient. Iar dacă utilizaţi aplicaţii Microsoft (Office 365, Outlook, Skype etc.) sau servicii Azure, le puteţi accesa cu ajutorul autentificatorului dintr-un singur click. Puteţi folosi însă Microsoft Authenticator şi cu conturi non-Microsoft.
Noi vă putem ajuta să configuraţi şi setați soluţia şi să utilizaţi toate noile funcţionalităţi pe care Microsoft le va aduce. Şi o va face în mod sigur ‒ deja de vreo două luni Microsoft Authenticator poate fi utilizat şi pe iWatch şi au început să apară informaţii despre un experiment care combină utilizarea soluţiei cu tehnologia Blockchain pentru a crea un sistem de identificare mai puternic și care oferă mai mult control utilizatorilor finali.

Aşa că, dacă vreţi să scăpaţi de stresul parolelor şi al datelor de logare compromise și să beneficiați de cele mai moderne funcționalități de securitate, contactaţi-ne.