Flash & Reset Upaya phishing yang berhasil mungkin segera sebagai sesuatu dari masa kemudian, jika upaya oleh Google, Microsoft, dan perusahaan lain terbukti bermanfaat.
Google dan mitranya memimpin langkah menjauh berdasarkan kata sandi dan menuju kunci keamanan USB fisik, kata peneliti Google Neal Mueller dan Collin Frierson pada konferensi keamanan BSides SF pada sini Senin (16 April). Google sendiri mendistribusikan kunci keamanan USB ke karyawannya sendiri beberapa tahun yg lalu, dengan hasil yang baik.
"Dalam empat tahun semenjak kunci keamanan Google dikerahkan," istilah Mueller, "kami tidak berhasil melaksanakan phishing di Google."
Itu nir berarti bahwa phisher tidak mencoba. Bahkan orang yg sadar keamanan akan jatuh sebab yaitu agresi phishing yg dibentuk dengan baik, serta phisher membentuk halaman phishing yang lebih baik setiap waktu. Koresponden Anda yang terbaru diambil sang satu orang, dan hanya peranti lunak antivirusnya yang mencegah identitasnya dicuri.
Phishing tidak memerlukan peretasan apa pun, sebab yaitu pada dasarnya ini yaitu pekerjaan - "rekayasa sosial", buat memakai istilah industri. Yang harus Anda lakukan yaitu menipu seorang semoga menerangkan username serta passwordnya.
Karena itu bergantung pada sifat manusia, yg sulit diperbaiki, phishing masih menjadi penyebab primer pelanggaran data, pencurian online, dan pengambilalihan akun. Mueller serta Frierson mengungkapkan bahwa survei data Gmail mengungkapkan 12 juta orang telah sebagai korban serangan phishing yang sukses pada satu tahun - jauh lebih berdasarkan 788.000 orang yg menjadi korban malware keylogging.
Otentikasi 2 faktor (2FA) tidak selalu membantu mengalahkan phishing, terutama jikalau faktor ke 2 yaitu aba-aba kanal satu kali yg dikirim melalui pesan teks SMS. Sebelumnya dalam hari Senin, Jerrod Chong dari Yubico menampakan agresi phishing yg sangat meyakinkan yang menargetkan Gmail dan meminta korban buat memasukkan nomor ponselnya buat keperluan verifikasi - yg akan memungkinkan penyerang buat mencegat serta menangkap aba-aba pas satu kali SMS. .
Baca : Apa Itu Otentikasi Dua Faktor / Dua Faktor Otentikasi (2FA) Dan Bagaimana Cara Mengaktifkannya
Bahkan mengetahui nomor telepon korban tidak dibutuhkan buat satu kali istirahat, Mueller serta Frierson memperlihatkan. Ketika seseorang phisher menipu korban buat memasukkan kredensial Google-nya ke halaman login Google palsu, penyerang bisa segera memasukkan kredensial yang dicuri ke laman login Google yang sebenarnya. Google akan mengirimkan aba-aba kanal satu kali ke telepon korban - yang akan dimasukkan korban ke halaman login palsu.
Yubico membangun kunci keamanan Yubikey yang populer, dan bersama menggunakan Google memimpin Aliansi FIDO (Fast IDentity Online) untuk menstandardisasi metode otentikasi non-istilah sandi. Kunci keamanan USB menyerupai Yubikey atau kunci keamanan Google sendiri telah terbukti sebagai pertahanan yang efektif terhadap serangan phishing, serta mereka didukung oleh Facebook, Dropbox, Salesforce serta banyak perusahaan lainnya.
Hanya pengguna yg absah yg akan mempunyai kunci fisik buat dicolokkan ke port USB atau menyentuh telepon seluler. (Banyak kunci keamanan pula mempunyai fungsi NFC buat terhubung secara nirkabel menggunakan perangkat seluler dalam jarak sangat pendek.)
Aliansi FIDO sedang dalam proses menggantikan standar U2F (Universal Two-Factor) yang ada menggunakan apa yang diklaim FIDO 2, istilah Chong. Bagian dari FIDO dua yaitu standar WebAuthn yg akan tiba, yang diumumkan awal bulan ini, yg akan memungkinkan pengguna masuk ke situs web tanpa kata sandi. Dengan FIDO dua, Microsoft dan Mozilla bergabung menggunakan FIDO Alliance.
Hasil terselesaikan FIDO dua yaitu menciptakan orang tidak memakai istilah sandi sama sekali, kata Chong. Namun ketika kami bertanya bagaimana seorang pengguna mendaftar untuk akun web pada wilayah pertama tanpa kata sandi, Chong nir memiliki tanggapan yg bertenaga. Dia hanya bisa mengungkapkan bahwa Aliansi FIDO sedang melihat "pilihan yang berbeda."
Namun, baku FIDO U2F ketika ini memberitahuakn banyak proteksi, Mueller dan Frierson menyampaikan, penerapan Google sendiri terhadap baku memverifikasi pengguna menggunakan menyelidiki 38 faktor yang tidak sama.
Sebagai model, sistem operasi yang disukai pengguna, browser pilihan, tingkat enkripsi browser dan lokasi umum telah diketahui sang Google. Apabila aku umumnya menggunakan Chrome dalam Windows 7 berdasarkan New York, tetapi seseorang yg masuk alasannya adalah yaitu saya memakai Edge dalam Windows 10 dari Kiev, Google akan menolak upaya tadi hingga orang itu sanggup memasukkan kunci keamanan USB saya.
"Kunci keamanan jauh lebih mudah dipakai daripada kata sandi satu kali," kata Mueller.
Berikan Komentar
<i>KODE</i><em>KODE YANG LEBIH PANJANG</em>Notify meuntuk mendapatkan notifikasi balasan komentar melalui Email.