视频: Диакритические знаки во французском. Accent aigu, accent grave, accent circonflexe. Видеоурок 1. (十一月 2024)
本周早些时候,Trustwave在一个大型僵尸网络上发布了他们的研究,僵尸网络是使用Pony僵尸网络控制器进行管理的众多僵尸网络之一。 研究人员获得了对该僵尸网络的控制权,从而取代了它的命令和控制服务器。 一旦受到控制,他们发现僵尸网络已成功从受感染的计算机窃取了大约200万个密码。 他们还发现了我们大多数人都已经知道的东西:人们密码太可怕了。
取得密码
这200万个受感染的帐户分散在158万个网站凭据,320, 000个电子邮件登录名,41, 000个FTP帐户,3, 000个远程桌面凭据和3, 000个Secure Shell帐户凭据之间,这是一个很大的收获。 当然,所关心的是有多少受影响的用户为其他站点选择了相同的密码。
研究人员发现318121个Facebook凭证,占总数的57%。 紧随其后的是雅虎,大约有60, 000个帐户,其次是工资提供者ADP的21, 708个Twitter帐户,8, 490个LinkedIn密码和7, 978个帐户。 这最后一个有点不寻常,但同时也给攻击者访问受害人的个人信息带来了极大的破坏。
最让我感到恐惧的是16, 095个Google.com凭据和54, 437个Google帐户凭据。 这些可能使攻击者能够访问Gmail,然后使用网站上的“忘记密码”功能从此处重置其他密码。 它还可以使攻击者访问Google云端硬盘中的私人文件或Google电子钱包中的付款信息。
所有这些并不意味着针对这些站点的大规模攻击。 犯罪分子更有可能通过网络钓鱼和键盘记录器等多种方式来获取这些地址,并将其存储在这些服务器上。 他们可能将其出售给其他买家,或者将其保存以备将来使用。
密码再次糟糕
Trustwave将密码分为几类:其中6%为“糟糕”,而28%为“不良”。 总计22%的人是“好”或“优秀”,而44%的人是“中”。 最差的是:123456、123456789、1234和“密码”。
大多数密码不包含字母和数字。 Trustwave说,大多数密码都是全字母(大小写)或全数字,其次是两种密码(例如大小写字母或数字混合的小写字母)。
一个很好的发现是,几乎一半(46%)的密码具有10个或更多字符的长密码。 Trustwave说,大多数密码在6到9个字符的范围内。
备受瞩目的目标
就AccessData的企业数据架构师Lucas Zaichkowsky而言,更大的担忧是,犯罪分子会寻找属于“高价值目标组织”人员的账户。 Zaichkowksy指出,如果事实证明这些人在这些站点以及与工作相关的资源上使用了相同的密码,则攻击者可以通过VPN或基于Web的客户端通过电子邮件侵入公司网络。
Zaichkowksy说:“他们可以将有价值的账户出售给黑市上的其他人,这些人为获得有效凭证而支付大笔钱,这些凭证可以使他们进入可盈利的目标组织。”
人们确实将工作电子邮件地址用于个人活动,例如在Facebook上注册帐户。 IOActive的CTO塞萨尔·塞鲁多(Cesar Cerrudo)发现了各种各样的军事人员,包括将军和中将(“未来将军”,Cerrudo称呼他们)已经使用.mil电子邮件地址在旅游网站Orbitz,GPS公司garmin.com,Facebook, Twitter和Skype,仅举几例。 这使得密码重用的前景更加成问题,因为这些人作为目标非常有价值,并且可以访问许多敏感信息。
Qualys工程总监Mike Shema表示,他对未来充满希望。 “展望2014年,两因素身份验证将在企业和消费者技术中继续获得动力,许多应用程序也将开始采用两因素身份验证。我们还将看到针对多身份验证密码的智能密码技术的兴起。 ” 双因素身份验证需要第二个身份验证步骤,例如通过文本消息发送的特殊代码。
保持安全
普遍的共识是,这些密码是从用户计算机中获取的,而不是从站点窃取登录信息,这是一个令人愉快的变化。 键盘记录程序可能是一个嫌疑人,并且特别危险。 这些恶意应用程序不仅可以捕获击键,还可以捕获屏幕截图,剪贴板的内容,启动的程序,您访问的站点,甚至通过IM对话和电子邮件线程进行筛选。 幸运的是,大多数防病毒软件都可以满足您的要求。 我们建议编辑选择奖获奖者Webroot SecureAnywhere AntiVirus(2014)或Bitdefender Antivirus Plus(2014)。
请注意,默认情况下,某些AV程序不会阻止“灰色软件”或“潜在有害程序。键盘记录程序有时属于此类,因此请确保启用此功能。
网络钓鱼和其他诱骗受害者提供密码信息的策略很难阻止。 幸运的是,我们有很多技巧,可以发现网络钓鱼攻击以及如何避免
最重要的是让人们使用密码管理器。 这些应用程序为您使用的每个站点或服务创建并存储唯一的复杂密码。 他们还将自动登录您,使键盘记录程序更难窃取您的信息。 一定要尝试Dashlane 2.0或LastPass 3.0,它们都是密码管理的“编辑选择奖”获奖者。
