Salasanat on suunniteltu korvaamaan salasanoja ja torjumaan tietojenkalasteluhyökkäyksiä, mutta sekä Google että Microsoft varoittavat, että ne eivät ole riittäviä, jos heikompia palautusmenetelmiä käytetään edelleen. Microsoft totesi: ”Jokainen tili on vain niin turvallinen kuin sen heikoin valtuustieto”, mikä osoittaa, että salasanat ja tekstiviestien palautusvaihtoehdot voivat silti tarjota uusia hyökkäyspintoja jopa salasanan käyttöönoton jälkeen.

Google myöntää, että salasanat helpottavat ja turvallisempaa pääsyä verkkoon salasanoihin ja muihin perinteisiin monitekijätodennusmenetelmiin verrattuna. Yritys kuitenkin varoittaa, että käyttäjien on myös suojattava tilinsä kaksivaiheisella vahvistuksella (2SV) suojatakseen toisena henkilönä esiintymisen yrityksiä, jotka voivat hyödyntää kadonneita salasanoja.

Automaattisten palautusprosessien haavoittuvuudet voivat antaa hyökkääjille mahdollisuuden käyttää heikompia tunnistetietoja ohittaakseen salasanat kokonaan. Microsoftin mukaan salasana-avaimien käyttöönotto parantaa kirjautumisturvallisuutta, mutta monille tileille on edelleen linkitetty salasana- tai tekstiviestipalautusvaihtoehtoja, mikä ylläpitää mahdollisia hyökkäyspintoja. ”Salasanojen käyttöönotto parantaa sisäänkirjautumista”, Microsoft sanoi ja korosti heikkojen palautusmenetelmien aiheuttamia riskejä.

You Might Also Like
Kiinan uusi verkkotunnus: yksityisyys tai valvonta?
Kiinan uusi verkkotunnus: yksityisyys tai valvonta?
Google varoittaa, että uhkatekijä UNC6783 loukkaa maailmanlaajuisia palveluyrityksiä
Google varoittaa, että uhkatekijä UNC6783 loukkaa maailmanlaajuisia palveluyrityksiä
Serious Sam 4 wird seine brutalen und chaotischen Shootings im August auf PC und Stadia bringen
Serious Sam 4 wird seine brutalen und chaotischen Shootings im August auf PC und Stadia bringen

Optimaalinen palautusratkaisu sisältää tilin salasanan käyttämisen eri laitteessa. Microsoft totesi myös, että ylivoimainen palautusmenetelmä sisältää viranomaisten myöntämän henkilötodistuksen ja biometrisen vahvistuksen esittämisen, mikä vastaa NIST-suosituksia korkean varmuuden palauttamiseksi.

Microsoft kohdistaa opastuksensa ensisijaisesti yrityskäyttäjille, kun taas Google keskittyy kotikäyttäjiin. Tästä erosta huolimatta molemmat myöntävät, että Gmailin kaltaiset palvelut ovat edelleen houkuttelevia kohteita kyberrikollisille. Google kehottaa käyttäjiä ottamaan käyttöön 2SV:n lisäsuojauksen saamiseksi luvatonta käyttöä vastaan, etenkin kun otetaan huomioon riski, että hyökkääjät käyttävät väärin tilin palautusprosessia.

Google korostaa tarvetta käyttää kahta tiettyä 2SV-tyyppiä: Google-kehotteita ja Authenticator-sovellusta mobiililaitteissa. Sekä Google että Microsoft neuvovat olemaan luottamatta SMS-kertakäyttökoodeihin, koska ne luokitellaan heikoiksi monitekijätodennuksen muodoiksi, jotka pitäisi poistaa kokonaan käytöstä turvallisempien vaihtoehtojen vuoksi.

Vaikka salasanojen käyttöönotto lisääntyy, Microsoft varoittaa, että niiden tehokkuus riippuu siitä, ovatko käyttäjät poistaneet kokonaan tietojenkalasteluoikeudet. Google korostaa, että vaikka salasanat ovatkin ratkaiseva kehitysaskel, ne eivät ole idioottivarma ratkaisu, varsinkin kun hyökkääjät kohdistavat yhä enemmän palautuskulkuihin ja varatodennusmenetelmiin.