Καμπανάκι σε 2,5 δισ. χρήστες
Για δεκαετίες, οι κωδικοί πρόσβασης ήταν το βασικό μέσο προστασίας των ψηφιακών μας λογαριασμών. Ωστόσο, οι πρόσφατες κυβερνοεπιθέσεις δείχνουν ότι πλέον δεν είναι αρκετοί για να διασφαλίσουν τα προσωπικά μας δεδομένα.
Την προηγούμενη εβδομάδα αποκαλύφθηκε ότι μια διαβόητη ομάδα χάκερ έχει θέσει στο στόχαστρο κατόχους λογαριασμών Google, αξιοποιώντας μια τεράστια βάση δεδομένων που διέρρευσε μέσω τρίτης πλατφόρμας. Η αρχή του προβλήματος εντοπίζεται σε σοβαρό περιστατικό παραβίασης ασφαλείας στο cloud της Salesforce, το οποίο επηρέασε και χρήστες των υπηρεσιών της Google.
Με περισσότερους από 2,5 δισεκατομμύρια χρήστες του Gmail και του Google Cloud παγκοσμίως, η Google προειδοποιεί: οι χρήστες πρέπει να βρίσκονται σε αυξημένη επιφυλακή και να εφαρμόσουν πιο αυστηρά μέτρα προστασίας, όπως η πολυπαραγοντική ταυτοποίηση (MFA).
Γιατί οι κωδικοί δεν αρκούν πλέον
«Αν δεν έχεις έναν καλό κωδικό στο email σου, τότε πρακτικά όλη σου η ψηφιακή ζωή είναι εκτεθειμένη, καθώς κάθε υπηρεσία επαναφέρει τους κωδικούς μέσω email», τονίζει ο Γκράχαμ-Κάμινγκ, ειδικός στην κυβερνοασφάλεια. «Αν καταφέρω να παραβιάσω το email σου, μπορώ να αποκτήσω πρόσβαση σχεδόν σε όλα τα υπόλοιπα».
Γι’ αυτό και η Google προχωρά σε ένα βήμα παραπέρα: προτρέπει τους χρήστες Gmail να σταματήσουν να χρησιμοποιούν κωδικούς πρόσβασης.
Κατά τη διαρροή, οι κυβερνοεγκληματίες απέκτησαν πρόσβαση σε εταιρικά δεδομένα που σχετίζονται με Gmail, όπως λίστες επαφών, συνεργασίες και metadata από email. Η Google επιβεβαίωσε ότι υπάρχει άμεση σύνδεση ανάμεσα στο περιστατικό της Salesforce και την έξαρση στοχευμένων επιθέσεων ηλεκτρονικού «ψαρέματος».
Οι χάκερ εμφανίζονται πλέον ως υπάλληλοι της Google, τμήματα πληροφορικής ή αξιόπιστοι συνεργάτες, χρησιμοποιώντας τα κλεμμένα στοιχεία για να κάνουν τα μηνύματά τους πιο πειστικά από ποτέ.
Από τους κωδικούς στις passkeys
Αντί να περιορίζεται στη συμβουλή για «ισχυρούς κωδικούς», η Google στρέφεται σε μια διαφορετική λύση: τις λεγόμενες passkeys. Πρόκειται για τεχνολογία που καταργεί τους κωδικούς και βασίζεται στη βιομετρική ταυτοποίηση της συσκευής του χρήστη.
«Για τον χρήστη, η passkey μοιάζει με το δακτυλικό αποτύπωμα ή το Face ID στο κινητό», εξηγεί ο Τζεφ Σάινερ, CEO της 1Password. «Το εντυπωσιακό είναι ότι δεν έχεις ποτέ κωδικό για την υπηρεσία. Απλώς χρησιμοποιείς το βιομετρικό στοιχείο και δημιουργείται η passkey. Από πλευράς ασφάλειας, είναι πιο ισχυρή και από τον πιο σύνθετο κωδικό, καθώς δεν μπορεί να υποκλαπεί με phishing».
Παρά την ώθηση προς τις passkeys, η Google εξακολουθεί να συστήνει την τακτική αλλαγή κωδικών σε περίπτωση παραβίασης. Το κεντρικό της μήνυμα, όμως, είναι σαφές: έχει έρθει η ώρα να αφήσουμε πίσω τους κωδικούς πρόσβασης.
Παράλληλα, προωθεί και την πολυπαραγοντική αυθεντικοποίηση. Όταν γίνεται είσοδος σε λογαριασμό, η χρήση εφαρμογών για two-factor authentication (2FA) θεωρείται πολύ πιο ασφαλής από τα SMS, που είναι ευάλωτα σε υποκλοπές και πλαστογραφήσεις.
Σύνοψη άρθρου
- Η Google προειδοποιεί τους 2,5 δισ. χρήστες να αλλάξουν κωδικούς και να χρησιμοποιήσουν πολυπαραγοντική ταυτοποίηση για αυξημένη ασφάλεια.
- Η πρόσφατη παραβίαση στο cloud της Salesforce συνδέεται με επιθέσεις phishing εναντίον κατόχων λογαριασμών Google.
- Η Google προωθεί τη χρήση passkeys, που βασίζονται στη βιομετρική ταυτοποίηση, ως πιο ασφαλή εναλλακτική των κωδικών.
- Παράλληλα, συνιστά την τακτική αλλαγή κωδικών και τη χρήση εφαρμογών two-factor authentication αντί για SMS.
