Skip to main content

Çelësat e sigurisë fizike eliminojnë phishing në Google


Çelësat e sigurisë fizike eliminojnë phishing në Google
Përpjekjet e suksesshme të phishing janë eliminuar në mesin e punonjësve të Google duke ndjekur një kërkesë për të përdorur çelësat e sigurisë fizike në mënyrë që të kenë qasje në të gjitha llogaritë e Google.  
Google pretendon se ka eliminuar plotësisht sulme të suksesshme phishing ndaj punonjësve të saj përmes përdorimit të çelësave të sigurisë fizike dhe Universal Second Factor.
Google filloi të futë dhe të vlerësojë çelësat e sigurisë fizike në 2014 dhe deri në fillim të vitit 2017 të gjithë 85.000 punonjës të Google-it iu kërkua t'i përdorin ato kur hynë në llogaritë e kompanisë. Në kohën që, kompania i tha Brian Krebs, asnjë punonjës nuk është marrë me sukses phishing. Një zëdhënës i Google tha se vendimi për të përdorur çelësat e sigurisë fizike të Universal Second Factor (U2F) në vend të legalizimit me një fjalëkalim të bazuar në softuer (OTP) u bazua në testimin e brendshëm.
"Ne besojmë se çelësat e sigurisë ofrojnë mbrojtje më të forta kundër phishing", - shkroi një zëdhënës i Google përmes postës elektronike. "Ne bëmë një studim dyvjeçar që tregoi se autentifikimi me bazë OTP kishte një normë mesatare dështimi prej 3% dhe me çelësat e sigurisë U2F, kemi përjetuar dështim zero për qind".
Lane Thames, studiues i lartë i sigurisë në Tripwire, me seli në Portland, Ore, tha se arsyeja kryesore për këto aplikacione të bazuara në softuer janë më pak të sigurta është "sepse sulmuesit mund t'i kapin këto OTP nga distanca".
"Një çështje tjetër është prodhimi pjesa më e madhe e OTP-ve që përdoruesit mund të ruajnë në nivel lokal ose madje të shtypen. Kjo bëhet për të bërë procesin e legalizimit të dyfishtë të lehtë për përdoruesit përfundimtarë ose në mënyrë që përdoruesit e fundit të mund të ruajnë OTP-të për përdorim të mëvonshëm , nëse nuk kanë qasje në telefonat e tyre kur të jetë e nevojshme kodi, "shkroi Thames përmes postës elektronike. "Kjo është e ngjashme me një problem të ngjashëm ku përdoruesit shkruajnë fjalëkalime dhe i lënë ata rreth hapësirës së tyre të punës".
Sidoqoftë, John Callahan, CTO në Veridium, një shitës i softuerit për menaxhimin e identitetit dhe qasjes bazuar në Quincy, Mass., Vuri në dukje se ka edhe përfitime për përdoruesit që vendosin për 2FA nëpërmjet smartphone.
"Disa njerëz që përdorin një çelës U2F kanë frikë ta humbasin atë ose ta dëmtojnë atë. Kjo biometrikë mund të luajë një rol kyç. Metoda të përdorimit të biometrikës ndihmojnë për të parandaluar sulmet," shkroi Callahan përmes postës elektronike. "Përdorimi i biometrikës me aplikacionin Google Authenticator është një zgjidhje e sigurt, sepse një telefon celular gjithmonë është afër për të vërtetuar një transaksion".
Kompanitë në lëvizje për çelësat e sigurisë fizike
Çelësat e sigurisë fizike që zbatojnë U2F ishin pjesë thelbësore e Programit të Avancuar të Mbrojtjes të Google, i cili u zhvillua si një mënyrë për përdoruesit me rrezik të lartë për të mbrojtur llogaritë e tyre të Google. Një çelës sigurie fizik, si një YubiKey, mund të vërtetojë një përdorues thjesht duke futur çelësin në një kompjuter, duke e goditur atë me një smartphone të aftë për NFC ose duke u lidhur me një pajisje iOS nëpërmjet Bluetooth.
Nadav Avital, menaxher i kërkimit të kërcënimeve në Imperva, me seli në Redwood Shores, Kaliforni, tha, "në një botë ideale", më shumë kompani do të kërkonin autentifikim shumëfaktor (MFA).
Në përgjithësi, çelësat fizikë ofrojnë siguri më të mirë, sepse vërtetimi i bazuar në softuer bazohet në një sekret të përbashkët ndërmjet klientit dhe ofruesit që mund të zbulohet.
Menaxheri i hulumtimit kërkues Nadav Avital në Imperva  "Në përgjithësi, çelësat fizikë ofrojnë siguri më të mirë, sepse vërtetimi i bazuar në softuer mbështetet në një sekret të përbashkët midis klientit dhe ofruesit që mund të zbulohet. Për fat të keq, shumica e njerëzve nuk përdorin [2FA ose MFA] sepse ata nuk i kuptojnë implikimet ose sepse preferojnë thjeshtësinë për sigurinë, "shkruante Avital me anë të postës elektronike. "Klientët mund të vuajnë nga mashtrimet, vjedhjet e të dhënave ose vjedhjet e identitetit, ndërkohë që kompania mund të pësojë dëmtime të reputacionit, dëmtime financiare nga paditë e mundshme dhe më shumë."
Richard Ford, shkencëtari kryesor në Forcepoint, një kompani kibernetike me seli në Austin, Texas, tha se shqetësimet rreth mënyrës më të mirë për të zbatuar 2FA mund të jenë të parakohshme, pasi "ne ende kemi kompani që ende përdorin përdoruesit dhe fjalëkalimet e thjeshta".
"Duke u nisur nga ajo kombinim i thjeshtë për diçka më të sigurt, siguron një rritje të menjëhershme për sigurinë. Shikoni profilin tuaj të rrezikut dhe përpiquni të shikoni pak në të ardhmen", tha Ford. "Mbani mend, se çfarë planifikoni sot nuk do të jetë realitet për një kohë, kështu që ju doni të luani aty ku do të luajë kutia. Me këtë, ju lutem mos lejoni që përsosja të jetë armiku i së mirës". Ekspertët vunë në dukje se jo të gjitha ekipet e IT-së do të kenë një kohë sa më të lehtë për të bindur bord për të investuar në çelësat e sigurisë fizike ose një formë tjetër të legalizimit multifaktor një kërkesë siç do të ishte Google.
Mateu Gardiner, ekspert për cybersecurity në Mimecast, një kompani e sigurisë në internet dhe e-mail me qendër në Lexington, Mass., Sugjeroi inkuadrimin e çështjes në drejtim të reduktimit të rrezikut. "Është e vështirë të përcaktoni rrezikun nëse nuk keni përjetuar një shkelje të kohëve të fundit. Përdorimi i MFA nuk është një ide teorike, tani është një praktikë më e mirë e sigurisë që është jashtëzakonisht e lirë dhe e lehtë për t'u përdorur nga shitësit e shumtë dhe ofruesit e shërbimeve cloud"
Gardiner shkroi me email. "Unë vetëm mund të supozoj se nëse organizatat ende përdorin vetëm një faktor të vetëm të legalizimit në mbështetje të aplikacioneve B-to-B ose B-to-E, ata duhet të mendojnë se nuk kanë asgjë me vlerë për sulmuesit". Ford tha se ndoshta ishte më mirë të mos e shtynte bordin për efekt, "pa marrë parasysh se sa joshëse mund të ishte." "Unë, megjithatë, do të sugjeroja që vetë të dhënat e Google mund të jenë të një vlere të jashtëzakonshme. Bordet e kuptojnë rrezikun në fushën e biznesit dhe mendoj se ka shumë të dhëna tani për të mbështetur investimet në mekanizmat më të sofistikuara të legalizimit" shkroi. "Filloni me një diskutim rreth Google dhe sukseset e tyre të fundit në këtë hapësirë, dhe gjithashtu keni një diskutim të arsyetuar dhe të bazuar në para në lidhje me të dhënat që keni në rrezik. ka gjasa të bëjë vendimin e duhur. "

Comments

Post a Comment

Popular posts from this blog

Oracle SQL92_SECURITY parameter

The Oracle SQL92_SECURITY parameter must be set to TRUE. The configuration option SQL92_SECURITY specifies whether table-level SELECT privileges are required to execute an update or delete that references table column values. If this option is disabled (set to FALSE), the UPDATE privilege can be used to determine values that should require SELECT privileges. The SQL92_SECURITY setting of TRUE prevents the exploitation of user credentials with only DELETE or UPDATE privileges on a table from being able to derive column values in that table by performing a series of update/delete statements using a where clause, and rolling back the change.  In the following example, with SQL92_SECURITY set to FALSE, a user with only delete privilege on the scott.emp table is able to derive that there is one employee with a salary greater than 3000. With SQL92_SECURITY set to TRUE, that user is prevented from attempting to derive a value.  SQL92_SECURITY = FALSE SQL> delete from s...
Post a Comment
Read more

Ofruesit e sistemeve të menaxhimit të bazës së të dhënave

Ofruesit e sistemeve të menaxhimit të bazës së të dhënave Cila është mënyra më e mirë për të përcaktuar se cili lloj i shërbimit të bazës së të dhënave ose bazës së të dhënave është më e mira për ndërmarrjen tuaj? E gjitha varet nga lloji i rastit të përdorimit që ju nevojitet. Zbuloni më shumë në këtë artikull , dhe artikujt vijues. Sistemi I menaxhimit të të dhenave Në thelb të gjitha informacionet digjitale që përdorim në baza ditore janë në një sistem të menaxhimit të bazës së të dhënave ose një grupi ruajtës diku në botë. Këto mund të shkojnë nga një pajisje e vogël e ruajtjes si një smartphone   ose a aq i madh sa një sistem ruajtje relativisht i pakufizuar i cloud. Më së miri është të zbuloni se cila DBMS është për ndërmarrjen tuaj? A duhet të abonoheni në një shërbim në AWS, Azure, Google ose ofrues tjetër cloud ose duhet të blini magazinimin e qendrës së të dhënave dhe serverat dhe ta ekzekutoni atë vetë? E gjitha varet nga lloji i rastit të përdorimit që ju ...
Post a Comment
Read more

Autentifikimi, Autorizimi dhe Llogaritja (AAA)- Authentication, Authorization, and Accounting (AAA)

Autentifikimi, Autorizimi dhe Llogaritja (AAA)- Authentication, Authorization, and Accounting (AAA) Autentifikimi, autorizimi dhe llogaritja (AAA) është një term për një kornizë për kontrollin inteligjent të qasjes në burimet kompjuterike, zbatimin e politikave, përdorimin e auditimit dhe sigurimin e informacionit të nevojshëm për të faturuar shërbimet. Këto procese të kombinuara konsiderohen të rëndësishme për menaxhimin efektiv të rrjetit dhe sigurinë. Si proces i parë, autentifikimi siguron një mënyrë për identifikimin e një përdoruesi, zakonisht duke i dhënë përdoruesit një emër përdoruesi të vlefshëm dhe një fjalëkalim të vlefshëm përpara se qasja të jepet. Procesi i legalizimit bazohet në secilin përdorues që ka një grup të kritereve unike për të fituar akses. Serveri AAA krahason kredencialet e identifikimit të përdoruesit me kredencialet e tjera të përdoruesit të ruajtura në një bazë të dhënash. Nëse kredencialet përputhen, përdoruesit i jepet aksesi në rrjet. Nëse kre...
Post a Comment
Read more