Videó: ELFELEJTETT JELKÓD? ITT A MEGOLDÁS! (November 2024)
Nem számít, mennyi és összetett a jelszó: ha ugyanazt a jelszót használja több webhelyen, akkor nagy a veszélye a támadásoknak.
A múlt hónapban a Trustwave kutatói körülbelül kétmillió felhasználónévvel és jelszóval fedezték fel a hollandiai székhelyű parancs-vezérlő szerveren. A Pony botnet részét képező szerver különféle webhelyekhez hitelesítő adatokat gyűjtött, valamint e-maileket, FTP-ket, Remote Desktop (RDP) és Secure Shell (SSH) fiókokat gyűjtött a felhasználói számítógépekről - írta akkoriban, a Trustwave-i Daniel Chechik. A begyűjtött 2 millió hitelesítő adatból körülbelül 1, 5 millió a webhelyekre vonatkozott, köztük a Facebook, a Google, a Yahoo, a Twitter, a LinkedIn és az online bérszámfejtő szolgáltató, az ADP számára.
A jelszavak listájának mélyebb elemzése azt mutatta, hogy a több szociális média-fiókkal rendelkező felhasználók 30% -a újrafelhasználta jelszavát - mondta John Miller, a Trustwave biztonsági kutatási igazgatója. A fiókok mindegyike sebezhető lenne a jelszó újbóli felhasználásának támadása ellen.
"Kicsi erőfeszítéssel és néhány okos Google-lekérdezéssel a támadó további online szolgáltatásokat találhat, ahol a veszélyeztetett felhasználó hasonló jelszót használt, majd hozzáférhet ezekhez a fiókokhoz" - mondta Miller a Security Watch-nak .
Ez "csak" közösségi média
Nyilvánvalóan rossz, hogy a támadók hozzáfértek az áldozatok FTP szervereihez és e-mail fiókjaihoz, de lehet, hogy nem olyan nyilvánvaló, hogy miért volt nagy ügy a Facebook vagy a LinkedIn jelszavak megléte. Fontos szem előtt tartani, hogy a támadók ezeket a listákat gyakran egy ugrópontként használják másodlagos támadások indításához. Még akkor is, ha a támadók "csak" egy közösségi média jelszót lopnak, akkor véget vethetnek az Amazon-fiókodba való belépésnek, vagy VPN-en keresztül betörhetnek a vállalati hálózatba, mert a felhasználónév és jelszó ugyanaz volt, mint amit a szociális média-fiókban használtál..
A Security Watch gyakran figyelmezteti a jelszó újrafelhasználásának veszélyeit, ezért felkértük a Trustwave-t, hogy elemezze ezt a jelszólistát a probléma mértékének meghatározása érdekében. A kapott adatok megdöbbentőek.
A szociális médiaszámlákhoz kapcsolódó 1, 48 millió felhasználónév / jelszó közül Miller 228 718 különálló felhasználót azonosított egynél több közösségi médiafiókkal. A felhasználónevek közül 30 százalék használt ugyanazt a jelszót több fiókban, találta Miller.
Ha kíváncsi, igen, a számítógépes bűnözők ugyanazt a kombinációt kipróbálják a véletlenszerű helyszíneken, akár manuálisan, akár egy szkript segítségével a folyamat automatizálásához.
Újrafelhasználás olyan rossz, mint a gyenge jelszavak
A jelszavak nehezen megjegyezhetők, és ez különösen igaz a jelszavakra, amelyeket a legtöbb ember erősnek tart. Míg e felhasználóknak dicséretet kell adni azért, mert nem használnak gyenge jelszavakat, például az „admin”, „123456” és „jelszó” (ami továbbra is problémát jelentett a csoportban), az a probléma, hogy még az összetett jelszavak is elveszítik hatékonyságukat, ha nem fejlesztik őket. t egyedülálló.
Miller egy másik újrafelhasználási problémát is azonosított. Míg sok webhelyen a felhasználók bejelentkeznek az e-mail címükkel, mások lehetővé teszik a felhasználók számára, hogy saját felhasználóneveiket hozzák létre. Az 1, 48 millió felhasználónév / jelszó kombináció eredeti listájában valójában 829 484 különálló felhasználónév volt, mert a felhasználók közös szavakat használtak. Valójában az "admin" felhasználónévként 4 341 alkalommal jelent meg. A "gyenge" felhasználónevek felének szintén gyenge jelszavai vannak, ami még inkább valószínűvé teszi, hogy a támadók több fiókra is erőszakkal tudják becsapni az utat.
Maradj biztonságban
A biztonságos jelszavak elengedhetetlenek az adatok és személyazonosság online biztonságának megőrzése érdekében, de a felhasználók gyakran a biztonság érdekében választják a kényelmet. Ezért javasoljuk, hogy jelszókezelő segítségével egyedi, összetett jelszavakat hozzon létre és tároljon minden használt webhelyhez vagy szolgáltatáshoz. Ezek az alkalmazások szintén automatikusan bejelentkeznek, így a kulcsfontosságú alkalmazók számára sokkal nehezebb az információ beragadása. Ne felejtsd el kipróbálni a Dashlane 2.0-t vagy a LastPass 3.0-t, amelyek mindkettő a szerkesztők választása díjnyertesünk a jelszókezelésért.
Amint a múlt hónapban megjegyeztük, a Pony botnet valószínűleg betakarította a bejelentkezési információkat keyloggerek és adathalász támadások útján. Tartsa naprakészen a biztonsági szoftvert, hogy elkerülje a fertőzést, a Webroot SecureAnywhere AntiVirus (2014) vagy a Bitdefender Antivirus Plus (2014), és kövesse az adathalász támadások észlelésére vonatkozó irányelveinket.
