Videó: LivingSocial Hacked, 50 Million Users' Data at Risk (November 2024)
A múlt pénteken a LivingSocial nyilvánosságra hozta, hogy egy támadó több mint 50 millió számlához fér hozzá. A népszerű ajánlatokkal foglalkozó webhely felhasználói számára félelmetes - bár a pénzügyi információk biztonságban voltak és a jelszavak titkosítva vannak. A jelszókezelő azonban a jövőbeli támadásokat kevésbé valószínűsítheti és kevésbé károsíthatja.
A kockázatok: egy dominóhatás
A LivingSocial elleni támadások hatalmas következményekkel járnak a felhasználókra, még akkor is, ha a jelszavadat még nem tették közzé. A születésnapok, az e-mail címek és a támadás során feltárt információk valószínűleg nem tűnnek kritikus információnak - elvégre nem habozzon, ha ezt az információt vacsorán rendezné. Ez azonban rendkívül hasznos azoknak a támadóknak, akik célzott adathalászati kampányokat készítenek, amelyeket úgy terveztek, hogy egy kevés személyes információval kezdődjenek, és becsapják Önt a sokkal több adatra.
Az e-mail címeket a webhelyek is használják, hogy segítsék az elveszett vagy elfelejtett jelszavak helyreállítását. Tegyük fel, hogy a LivingSocial támadónak, vagy bárkitől is, aki megvásárolja tőle az információkat, sikerül megszereznie a fiókjához társított e-mail címet. Most felhasználhatja arra, hogy más - akár talán pénzügyi - webhelyeken is újraindítsa a jelszavakat, és átvegye az irányítást is.
Ehhez a támadónak sokkal több munkát kell elvégeznie, de ha ugyanazt a felhasználónevet (vagy e-mail címet) és jelszót használja több webhelynél, akkor vegye figyelembe, hogy a LivingSocial támadónak most már a bejelentkezési hitelesítő adatok felének van ezen webhelyek minden egyes részére. Sőt, még rosszabb, hogy a titkosított jelszavak kezdetben nem voltak titkosítva.
Chester Wisniewski, Sophos vezető biztonsági tanácsadója márciusban elmagyarázta a SecurityWatch-nek, hogy még akkor is, ha a webhelyek hash- és sójelszavakat használnak, egy eltökélt támadó még mindig képes kitalálni a gyenge vagy általános jelszavakat. "A bűnözők kivonják az igazán könnyűket, és esetleg nem zavarják a többit" - mondta Wisniewski.
A jelszókezelők segíthetnek
A jelszókezelők nem csak a jelszavakat tárolják, hanem összetett, biztonságos jelszavakat generálnak az Ön számára. A legjobbak egy mobilkomponenssel is rendelkeznek, amely azonnali hozzáférést biztosít a jelszavakhoz, és időnként az alkalmazások bejelentkezési adatait tárolja.
A PC Magnál tucatnyi jelszókezelőt vizsgáltunk meg. Az írás megírásától kezdve a Szerkesztők Choice-díját Dashlane és a LastPass osztják meg, amelyeknek mindkettőnek van mobilalkalmazása. Mindkettő ingyenes, de ha a LastPass alkalmazást tervezi, akkor évente 12 dollárt kell költenie. Ugyanez vonatkozik a Dashlane-re, bár egy prémium számla költségei többek között 39, 99 dollár / év. A Dashlane-nak azonban számos különféle pontja van, és fel lehet oldani "hűségpontokkal".
A Norton Identity Safe (négycsillagos, ingyenes) információkat tárol majd, és szinkronizálja azokat eszközökön keresztül - akár iOS, akár Android alkalmazásokon keresztül. Azoknak, akik félnek a felhőt használó szolgáltatásoktól, a MyLOK Personal (négy csillag, 89, 95 USD) intelligens kártyát és fejlett kriptográfiát használ az adatok biztonságának megőrzése érdekében. A Password Genie (3, 5 csillag, 15 dollár) és a RoboForm Everywhere 7 (4, 5 csillag, 19, 99 dollár / év) két másik megbízható lehetőség.
Általános szabály, hogy kerülje a jelszókezelőket, amelyek nem automatikusan rögzítik és adják meg a bejelentkezési információkat. Zökkenőmentes folyamatnak kell lennie, védve téged a keyloggerektől és a saját lustaságától. A jelszókezelőnek észre kell vennie, amikor frissíti a bejelentkezési adatait, és felajánlja az új adatok rögzítését. Egy újabb biztonsági réteg hozzáadásához fontolja meg egy másodlagos bejelentkezési eszköz, például token vagy biometrikus beolvasás használatát a jelszókezelő bejelentkezési folyamatában.
Biztonságosabb leszel?
A jelszókezelők magában hordozzák azt a kockázatot, hogy ha egy támadó betör, akkor az összes információja megragadható. Bár ez igaz, vegye figyelembe, hogy a jelszókezelőknek sokkal több a vonaluk, mint a többi webhelyen a biztonság szempontjából, és sokat tesznek az adatok védelme érdekében. Ha valamelyik szolgáltatás fiókja veszélybe kerül, nos, változtassa meg a jelszót, és minden rendben legyen. Ha elveszíti az irányítást a jelszókezelő felett, akkor ezt a szolgáltatást minden bizonnyal soha nem fogja használni.
A támadók szintén numerikus játékot játszanak, és nem mindannyian érdekli őket, amit Önök, külön-külön, kínálhatnak. Sok olyan bejáratás után jönnek készpénzbe, általában oldalmegtekintések vagy leányvállalatokhoz történő áttétel útján. Néhányan utalhatnak a bankszámlájára, de ezzel a támadót sokkal magasabb rendőri érdeklődés nyitja meg, és előfordulhat, hogy nem működik is.
A jelszókezelők nem teszik áthatolhatatlanná a támadást, de ez korlátozza a jövőbeli támadások által okozott károkat, és sokkal nehezebbé teszi a támadást. Ne feledje, hogy a támadók, mint a legtöbb ember, lustaak, sőt a dolgok kicsit nehezebbé tétele sokkal, sokkal biztonságosabbá fog tenni.
