Миллиарды случаев кражи идентификаторов пользователей из Интернета встревожили общественность и вызвали дебаты об ответственности. Поскольку пользователь не может защитить себя от такой кражи, ответственность должны нести операторы серверов и веб-сайтов.
Недостаточно защищенные серверы и веб-сайты предлагают множество вариантов атак и шлюзов: хакерам нужно только проверить, существуют ли и какие бреши в безопасности на серверах и веб-сайтах. Быть использованным для атак:
незакрытые уязвимости и, в частности, пробелы в безопасности, которые еще не были выявлены
Данные клиента легко читаются
В случае атаки через эти бреши в системе безопасности все данные клиентов, такие как пароли, адреса, информация об учетной записи и т. д., хранящиеся у провайдеров, могут быть легко считаны.
A - часто рекомендуется - смена пароля контрпродуктивна до тех пор, пока не будут устранены эксплуатируемые бреши в безопасности серверов и веб-сайтов - пароли могут быть считаны снова в любое время. Известные бреши в системе безопасности можно просмотреть в базах данных в любое время, а атаки кражи можно воссоздать.
Для защиты серверов и веб-сайтов бреши в безопасности должны быть устранены после процесса тестирования безопасности (с последующим исправлением). Только тогда они защищены от атак и, таким образом, от кражи паролей.
Операторы слишком мало инвестируют
Хартмут Поль, представитель президиума рабочей группы по защите данных и ИТ-безопасности в Gesellschaft für Informatik (GI): «Возлагать ответственность исключительно на пользователя совершенно неправильно в случае кражи всех данных. Операторы серверов и веб-сайтов знают, что в течение многих лет они слишком мало инвестировали в безопасность. Однако безопасность не может быть бесплатной, провайдеры должны вкладывать средства, чтобы предлагать надежные серверы и веб-сайты».
Только провайдеры несут ответственность за эти меры безопасности против обсуждаемой в настоящее время кражи личных данных и в целом против кражи данных. По словам Пола, пользователь не может ничего здесь добавить.
Но рабочая группа прямо указывает на множество других атак, от которых пользователь может защитить себя: используя длинный, не личный, «искусственный» пароль (буквы, цифры, специальные символы), который также часто меняется соответствующим образом. Кроме того, двухфакторная аутентификация должна предлагаться провайдером и использоваться пользователем. Современным является шифрование всех важных данных - в любом случае паролей; это требование было известно во всем мире после взлома Sony Play Station в апреле 2011 года.