视频: therunofsummer (十一月 2024)
密码的持续时间与复杂程度无关紧要:如果在多个站点中使用相同的密码,则遭受攻击的风险很高。
上个月,Trustwave的研究人员在位于荷兰的命令和控制服务器上发现了大约200万个用户名和密码。 Trustwave的Daniel Chechik当时写道,该服务器是Pony僵尸网络的一部分,已经从用户计算机上收集了各种网站以及电子邮件,FTP,远程桌面(RDP)和Secure Shell(SSH)帐户的凭据。 在200万份凭据中,约有150万份用于网站,包括Facebook,Google,Yahoo,Twitter,LinkedIn和在线薪资提供商ADP。
Trustwave的安全研究经理John Miller说,对密码列表进行更深入的分析后发现,拥有多个社交媒体帐户帐户的用户中有30%重复使用了他们的密码。 这些帐户中的每一个都容易受到密码重用攻击。
“通过少量的努力和一些聪明的Google查询,攻击者就可以找到其他在线服务,其中受感染的用户使用了类似的密码,然后也可以访问那些帐户,” Miller告诉 Security Watch 。
这是“ Just”社交媒体
攻击者可以访问受害者的FTP服务器和电子邮件帐户,这显然是不好的,但是为什么拥有他们的Facebook或LinkedIn密码很重要,这一点可能并不那么明显。 重要的是要记住,攻击者经常使用这些列表作为发动二次攻击的起点。 即使攻击者“只是”窃取了社交媒体密码,他们也可能最终进入您的Amazon帐户,或通过VPN闯入您的公司网络,因为用户名和密码与该社交媒体帐户上的用户名和密码相同。
Security Watch 经常警告密码重用的危险,因此我们请Trustwave分析此密码列表以量化问题的严重程度。 结果令人震惊。
在与社交媒体帐户关联的148万个用户名/密码中,米勒确定了228, 718个不同的用户拥有一个以上的社交媒体帐户。 Miller发现,在这些用户名中,有30%的用户在多个帐户中使用了相同的密码。
如果您想知道,是的,网络犯罪分子将在随机站点上尝试手动或通过脚本自动执行该过程的相同组合。
重用与弱密码一样糟糕
密码可能很难记住,对于大多数人认为很强的密码尤其如此。 尽管这些用户没有使用诸如“ admin”,“ 123456”和“ password”之类的弱密码(这在该组中仍然是一个问题)应该受到赞扬,但问题是,即使复杂的密码如果不使用,也会失去其有效性。独一无二。
米勒还发现了另一个重用问题。 虽然许多站点都有用户使用其电子邮件地址登录,但其他站点则允许用户创建自己的用户名。 在最初的148万个用户名/密码组合列表中,实际上有829, 484个不同的用户名,因为用户使用的是常用单词。 实际上,“ admin”作为用户名出现了4, 341次。 一半的“弱”用户名的密码也很弱,这使得攻击者更有可能在多个帐户之间强行攻击。
注意安全
安全密码对于确保我们的数据和身份安全在线至关重要,但是用户经常选择使用便捷性而非安全性。 这就是为什么我们建议您使用密码管理器为您使用的每个站点或服务创建和存储唯一的复杂密码。 这些应用程序还将自动登录,从而使键盘记录程序很难窃取您的信息。 一定要尝试Dashlane 2.0或LastPass 3.0,它们都是密码管理的“编辑选择奖”获奖者。
正如我们上个月指出的那样,Pony僵尸网络很可能通过键盘记录程序和网络钓鱼攻击收集了登录信息。 首先,请确保您的安全软件已更新,以防止被感染,Webroot SecureAnywhere AntiVirus(2014)或Bitdefender Antivirus Plus(2014),并遵循我们的准则来发现网络钓鱼攻击。
