Video: Pidempi parempi: Näin teet kestävän salasanan (Marraskuu 2024)
Sillä ei ole väliä kuinka pitkä ja monimutkainen salasanasi on: jos käytät samaa salasanaa useilla sivustoilla, sinulla on suuri hyökkäysriski.
Viime kuussa Trustwave-tutkijat löysivät Alankomaissa sijaitsevasta komento- ja hallintapalvelimesta noin kahden miljoonan käyttäjänimen ja salasanan. Palvelin, joka oli osa Pony-bottiverkkoa, oli kerännyt käyttöoikeustiedot useille verkkosivustoille sekä sähköpostit, FTP, Remote Desktop (RDP) ja Secure Shell (SSH) -tilit käyttäjän tietokoneilta, Trustwave'n Daniel Chechik kirjoitti tuolloin. Korjatusta 2 miljoonasta käyttöoikeustiedosta noin 1, 5 miljoonaa oli verkkosivustoille, mukaan lukien Facebook, Google, Yahoo, Twitter, LinkedIn ja online-palkkahallinnon tarjoaja ADP.
Salasanaluettelon perusteellisempi analyysi havaitsi, että 30 prosenttia käyttäjistä, joilla oli tilejä useilla sosiaalisen median tileillä, oli käyttänyt salasanansa uudelleen, kertoi Trustwaven tietoturvatutkimuspäällikkö John Miller. Jokainen näistä tileistä olisi alttiita salasanan uudelleen hyökkäykselle.
"Hyvin pienellä vaivalla ja joillakin älykkäillä Google-kyselyillä hyökkääjä voi löytää uusia verkkopalveluita, joissa vaarantunut käyttäjä oli käyttänyt samanlaista salasanaa ja päästä sitten samaan tiliin myös", Miller kertoi Security Watchille .
Se on "vain" sosiaalinen media
On selvästi huonoa, että hyökkääjät pääsivät uhrien FTP-palvelimiin ja sähköpostitileihin, mutta se ei ehkä ole yhtä ilmeistä, miksi heidän Facebook- tai LinkedIn-salasanojensa hankkiminen oli iso juttu. On tärkeää muistaa, että hyökkääjät käyttävät näitä luetteloita usein hyppypisteenä toissijaisten hyökkäysten käynnistämiseen. Vaikka hyökkääjät varastavatkin "vain" sosiaalisen median salasanan, he saattavat lopettaa pääsyn Amazon-tilillesi tai murtautua yritysverkkoosi VPN: n kautta, koska käyttäjänimi ja salasana on samat olleet samat kuin sinä kyseisellä sosiaalisen median tilillä..
Security Watch varoittaa usein salasanojen uudelleenkäytön vaaroista, joten pyysimme Trustwavea analysoimaan tämän salasanaluettelon ongelman laajuuden määrittämiseksi. Tuloksena olevat luvut olivat yllättäviä.
Sosiaalisen median tileihin liittyvistä 1, 48 miljoonasta käyttäjänimestä / salasanasta Miller tunnisti 228 718 erillistä käyttäjää, joilla on useampi kuin yksi sosiaalisen median tili. Näistä käyttäjänimistä 30 prosenttia oli käyttänyt samaa salasanaa useilla tileillä, Miller totesi.
Jos mietit kyllä, tietoverkkorikolliset kokeilevat samaa yhdistelmää satunnaisten sivustojen välillä joko manuaalisesti tai komentosarjan avulla prosessin automatisoimiseksi.
Käytä uudelleen niin heikkoja kuin heikkoja salasanoja
Salasanat voivat olla vaikea muistaa, ja se pätee erityisesti salasanoihin, joita useimmat ihmiset pitävät vahvoina. Näitä käyttäjiä on kiitettävä siitä, etteivät he käyttäneet heikkoja salasanoja, kuten "järjestelmänvalvoja", "123456" ja "salasana" (mikä oli edelleen ongelma tämän ryhmän keskuudessa), ongelmana on, että jopa monimutkaiset salasanat menettävät tehokkuutensa, jos he eivät ole " t ainutlaatuinen.
Miller havaitsi myös toisen uudelleenkäyttöongelman. Vaikka monilla sivustoilla käyttäjät kirjautuvat sisään sähköpostiosoitteillaan, toiset sallivat käyttäjien luoda omia käyttäjätunnuksiaan. Alkuperäisessä 1, 48 miljoonan käyttäjän ja salasanan yhdistelmäluettelossa oli todella 829 484 erillistä käyttäjänimeä, koska käyttäjät käyttivät yleisiä sanoja. Itse asiassa "admin" esiintyi käyttäjätunnuksena 4 341 kertaa. Puolella "heikoista" käyttäjänimistä oli myös heikot salasanat, mikä teki entistä todennäköisemmäksi, että hyökkääjät voisivat pakottaa tietään useille tileille.
Pysy turvassa
Suojatut salasanat ovat kriittisen tärkeitä tietojen ja henkilöllisyyden suojaamiseksi verkossa, mutta käyttäjät valitsevat usein turvallisuudesta johtuvat mukavuudet. Siksi suosittelemme salasananhallintaa luomaan ja tallentamaan yksilöllisiä, monimutkaisia salasanoja jokaiselle käyttämällesi sivustolle tai palvelulle. Nämä sovellukset kirjautuvat myös sinut automaattisesti sisään, mikä tekee avainlokkijoista paljon vaikeampaa salata tietojasi. Kokeile ehdottomasti Dashlane 2.0: ta tai LastPass 3.0: ta, jotka molemmat ovat Editors 'Choice -palkinnon voittajat salasanan hallinnassa.
Kuten viime kuussa huomautimme, Pony-bottiverkko todennäköisesti haki kirjautumistiedot avainlokkureiden ja tietojenkalasteluhyökkäysten kautta. Pidä tietoturvaohjelmistosi päivitettynä estääksesi saastumisen ensisijaisesti, Webroot SecureAnywhere AntiVirus (2014) tai Bitdefender Antivirus Plus (2014), ja noudata tietojenkalasteluhyökkäysten havaitsemisohjeitamme.