Često je slučaj da najjednostavniji alati imaju najdužu trajnost, jer oni na kraju obave posao.
Uzmimo za primjer selotejp: to je čvrsti kućni klasik koji nije izmišljen da bude elegantan ili visokotehnološki. Napravljen je da funkcionira bilo da se radi o propuštanju šatora ili nezgodnoj rupi – pouzdan način da se posao obavi u neugodnoj situaciji.
Ukradeni kredencijali igraju sličnu ulogu u taktici napadača. To je stara metoda koja je i dalje efikasna.
Kada je u pitanju masovno usvajanje, jednostavnost će uvijek pobijediti sofisticiranost. A u doba deepfake- ova i hakovanja uz pomoć vještačke inteligencije, ukradeni akreditivi su i dalje omiljeno oruđe sajber kriminalaca.
Preispitivanje uloge lozinki
Iz sličnih razloga, lozinke su i dalje s nama: inovacije moraju biti jednostavne za usvajanje. Ljudima je potrebno daleko bolje iskustvo da bi zaista prihvatili promjenu. I uprkos svim iritacijama koje lozinke nose, s čitavim rutinama stvorenim iz potrebe za brojevima i simbolima, one su svakodnevni alat koji svi razumiju.
2FA dodaje dodatni sloj sigurnosti i uprkos najboljim naporima proizvođača da proces učine glatkim i jednostavnim, ljude će i dalje iritirati potreba da posežu za svojim telefonom. Lozinke dobijaju na popularnosti, ali se još uvijek ne koriste široko. Dakle, u bliskoj budućnosti možemo očekivati da će mnogi servisi i dalje imati prijavu korisničkim imenom i lozinkom.
Naravno, ovo nije samo pritisak korisnika. Jednostavnost korisničkog imena i lozinke olakšava stvari programerima: nema potrebe da se obraćaju dobavljaču za napredno rješenje bez lozinke kada se lozinke lako implementiraju.
Lozinke su popularne i među kriminalcima
Nažalost, to znači da su lozinke vrlo čest način na koji hakeri dobijaju pristup mjestima na kojima ne bi trebali biti. Većina hakova dolazi iz baza podataka ukradenih korisničkih imena i lozinki, poznatih kao “kombolisti”, jer su jeftine, efikasne i lako dostupne.
Teško je procijeniti tačan broj lozinki koje prosječna osoba može zapamtiti. Iako se korisnicima više puta govori da ne koriste lozinke ponovo i o prednostima upravitelja lozinki, nažalost, istina je da će mnogi ići putem najmanjeg otpora. Ako ne mogu koristiti jednostavnu, lako pogođenu lozinku (a većina današnjih servisa to ne dozvoljava), učinit će sljedeću najbolju stvar – koristit će istu složenu lozinku više puta.
Ova nesretna činjenica ljudske prirode čini ukradene lozinke neizostavnom preprekom u arsenalu prijetnji. Jednostavne su za korištenje. Dok većina hakera automatizira provjeru lozinki, vi ili ja bismo mogli jednostavno kupiti neke danas i početi ih provjeravati na različitim servisima. I dok vam možda treba malo znanja o mračnom webu da biste pristupili mnogim kombiniranim listama, Genesis Market je postojao na “čistoj mreži” (tj. “običnom” internetu) sve dok nije ugašen 2023. godine. Mnoga alternativna tržišta postoje na kombinaciji interneta, mračnog weba i Telegram kanala.
Nedostatak dvofaktorske ili višefaktorske autentifikacije znači da možemo proširiti metaforu – kombolisti, kada sadrže ponovo korištene lozinke, često se ne “zaglavljuju” na dodatnim sigurnosnim provjerama. Čak i ako to čine, hakeri ih mogu koristiti na drugim servisima kao dio pokušaja da dobiju širi pristup nečijim privatnim informacijama.
Zašto je to i dalje važno u 2025. godini
U sajber sigurnosti je lako ometi nas najnovija prijetnja: nova ranjivost, sofisticirana tehnika, hakerski kolektiv s dosad najapsurdnijim imenom. Ali moramo se fokusirati na osnove.
Bez obzira na najnovije vijesti , skromna lozinka će ostati ranjiva tačka još neko vrijeme. Čak i ako kompanija implementira najbolju dostupnu MFA tehnologiju , loša sigurnost na drugim mjestima mogla bi omogućiti napade socijalnim inženjeringom.
Ljudsku prirodu možemo promijeniti samo do određene mjere i zato bismo trebali nastaviti naglašavati princip dobre higijene lozinki. Ako ljudi shvate da su njihovi lični podaci i usluge ugroženi, to može pomoći u stimulisanju boljeg pristupa koji će se primjenjivati i na radnom mjestu.
Moramo prevazići trenje koje dolazi s višestrukom faznom autentifikacijom (MFA) i učiniti je obaveznom za sve, od generalnog direktora nadolje, bez ikakvih izgovora. Dobra sigurnosna kultura zahtijeva uključenost svih.
Poput pouzdane ljepljive trake, combolist će dugo biti tu, kao efikasan alat u arsenalu cyber kriminalaca. Bez obzira na nove prijetnje koje se pojave, stručnjaci za cyber sigurnost moraju imati ovu tehniku na umu.
Izvor:Help Net Security
