Video: Premladi, da bi razumeli (Oktober 2024)
Ne glede na to, kako dolgo in zapleteno je vaše geslo: če isto geslo uporabljate na več mestih, imate veliko tveganje za napad.
Prejšnji mesec so raziskovalci Trustwave odkrili ponudbo približno dveh milijonov uporabniških imen in gesel na strežniku za upravljanje in nadzor s sedežem na Nizozemskem. Strežnik, ki je bil del bonetnega omrežja Pony, je imel na uporabniških računalnikih pridobljene poverilnice za različna spletna mesta, pa tudi e-pošto, FTP, oddaljeno namizje (RDP) in varne Shell (SSH) račune, je takrat zapisal Daniel Chechik iz Trustwave-a. Od 2 milijona pridobljenih poverilnic je bilo približno 1, 5 milijona za spletna mesta, vključno s Facebook, Google, Yahoo, Twitter, LinkedIn in spletnim ponudnikom plačil ADP.
Poglobljena analiza seznama gesel je pokazala, da je 30 odstotkov uporabnikov, ki so imeli račune prek več računov družbenih medijev, ponovno uporabili gesla, je dejal John Miller, vodja raziskav varnosti v Trustwaveu. Vsak od teh računov bi bil ranljiv za napad ponovne uporabe gesla.
"Z majhnim naporom in nekaj pametnimi Googlovimi poizvedbami bi napadalec lahko našel dodatne spletne storitve, kjer je ogroženi uporabnik uporabil podobno geslo in lahko nato dobil dostop tudi do teh računov, " je Miller povedal za Security Watch .
Gre za "Samo" socialne medije
Očitno je slabo, da so napadalci imeli dostop do strežnikov FTP in e-poštnih računov žrtev, vendar morda ni tako očitno, zakaj je bilo njihovo geslo za Facebook ali LinkedIn veliko težavo. Pomembno si je zapomniti, da napadalci te sezname pogosto uporabljajo kot odskočno točko za začetek sekundarnih napadov. Tudi če napadalci ukradejo "samo" geslo za socialne medije, lahko pridejo do vašega računa Amazon ali vdrejo v vaše omrežje prek VPN-ja, ker sta uporabniško ime in geslo enaka tistim, ki ste ju imeli na računu družbenih medijev.
Varnostni nadzor pogosto opozarja na nevarnost ponovne uporabe gesla, zato smo prosili Trustwave, naj analizira ta seznam gesel, da količinsko ovrednoti obseg težave. Nastale številke so bile presenetljive.
Od 1, 48 milijona uporabniških imen / gesel, povezanih z računi v družbenih medijih, je Miller identificiral 228.718 ločenih uporabnikov z več kot enimi računi v socialnih medijih. Med temi uporabniškimi imeni jih je 30 odstotkov uporabljalo isto geslo v več računih, je ugotovil Miller.
V primeru, da se sprašujete, da, kibernetski kriminalci preizkusijo isto kombinacijo na naključnih mestih, bodisi ročno bodisi prek skripta za avtomatizacijo postopka.
Ponovno uporabite tako slabo kot šibka gesla
Gesla si je težko zapomniti, še posebej pa to velja za gesla, za katera večina ljudi meni, da so močna. Medtem ko je treba te uporabnike pohvaliti, da ne uporabljajo šibkih gesel, kot so "admin", "123456" in "geslo" (kar je bila še vedno težava te skupine), je težava v tem, da tudi zapletena gesla izgubijo svojo učinkovitost, če niso " t edinstven.
Miller je odkril še eno težavo pri ponovni uporabi. Medtem ko se na številnih spletnih mestih uporabniki prijavijo s svojimi e-poštnimi naslovi, druga omogočajo uporabnikom, da ustvarijo lastna uporabniška imena. V prvotnem seznamu 1, 48 milijona kombinacij uporabniškega imena in gesla je bilo dejansko 829, 484 različnih uporabniških imen, ker so uporabniki uporabljali običajne besede. Dejansko se je "admin" pojavil kot uporabniško ime 4, 341 krat. Polovica "šibkih" uporabniških imen je imela tudi šibka gesla, zato je še večja verjetnost, da se bodo napadalci lahko prebili na več računov.
Ostani varen
Varna gesla so ključnega pomena za varovanje naših podatkov in identitete v spletu, vendar se uporabniki pogosto odločajo za udobje nad varnostjo. Zato priporočamo, da z upraviteljem gesel ustvarite in shranite edinstvena, zapletena gesla za vsako spletno mesto ali storitev, ki jo uporabljate. Te aplikacije se bodo tudi samodejno prijavile, kar bo ključnim zapisovalcem bistveno otežilo vaše podatke. Prepričajte se, da preizkusite Dashlane 2.0 ali LastPass 3.0, oba sta naša nagrajenca za izbiro urednika za upravljanje gesla.
Kot smo ugotovili prejšnji mesec, je Pnet botnet verjetno zbiral podatke o prijavi s pomočjo keyloggerjev in phishing napadov. Posodobite varnostno programsko opremo, da preprečite okužbo, Webroot SecureAnywhere AntiVirus (2014) ali Bitdefender Antivirus Plus (2014) in sledite našim smernicam za odkrivanje lažnih napadov.
