Video: Zapomínáte heslo? Víme, jak to vyřešit (Listopad 2024)
Nezáleží na tom, jak je vaše heslo dlouhé a složité: pokud používáte stejné heslo na více webech, hrozí vysoké riziko útoku.
Minulý měsíc vědci společnosti Trustwave objevili na velitelském serveru se sídlem v Nizozemsku trojici zhruba dvou milionů uživatelských jmen a hesel. Server, který byl součástí botony Pony, shromáždil přihlašovací údaje pro různé weby, stejně jako e-mailové, FTP, vzdálené plochy (RDP) a účty Secure Shell (SSH) z uživatelských počítačů, napsal Trustwave Daniel Chechik. Z 2 milionů získaných údajů bylo asi 1, 5 milionu na webové stránky, včetně Facebooku, Google, Yahoo, Twitteru, LinkedIn a poskytovatele online mzdových služeb ADP.
Hlubší analýza seznamu hesel zjistila, že 30 procent uživatelů, kteří měli účty napříč více účty sociálních médií, znovu použilo svá hesla, řekl John Miller, manažer výzkumu bezpečnosti v Trustwave. Každý z těchto účtů by byl náchylný k útoku na opakované použití hesla.
"Útočník by s trochou úsilí a chytrými dotazy Google mohl najít další online služby, kde by kompromitovaný uživatel použil podobné heslo, a pak by také mohl získat přístup k těmto účtům, " řekl Miller Security Watch .
Je to „jen“ sociální média
Je zjevně špatné, že útočníci měli přístup k FTP serverům a e-mailovým účtům obětí, ale nemusí být tak zřejmé, proč mít jejich hesla Facebook nebo LinkedIn byla velká věc. Je důležité si uvědomit, že útočníci často používají tyto seznamy jako odrazový můstek pro zahájení sekundárních útoků. I když útočníci ukradnou „jen“ heslo pro sociální média, mohou se dostat do svého účtu Amazon nebo se vloupat do vaší firemní sítě přes VPN, protože uživatelské jméno a heslo se shodovalo s tím, co jste měli na tomto účtu sociálních médií.
Bezpečnostní hlídka často varuje před nebezpečím opakovaného použití hesla, proto jsme požádali Trustwave, aby analyzoval tento seznam hesel a kvantifikoval rozsah problému. Výsledné údaje byly překvapivé.
Z 1, 48 milionu uživatelských jmen / hesel spojených s účty sociálních médií identifikoval Miller 228 718 různých uživatelů s více než jedním účtem sociálních médií. Z těchto uživatelských jmen použilo 30 procent stejné heslo pro více účtů, Miller zjistil.
V případě, že vás zajímá, ano, počítačoví zločinci vyzkouší stejnou kombinaci napříč náhodnými weby, a to buď ručně, nebo skriptem, aby se tento proces automatizoval.
Opětovné použití jako špatná hesla
Hesla si lze jen těžko zapamatovat, a to zejména u hesel, která většina lidí považuje za silná. Přestože by tito uživatelé měli být oceněni za to, že nepoužívají slabá hesla, jako jsou „admin“, „123456“ a „heslo“ (což byl v této skupině stále problém), problém je v tom, že i složitá hesla ztratí svou účinnost, pokud nejsou „ t jedinečný.
Miller také identifikoval další problém s opětovným použitím. Zatímco mnoho webů se uživatelé přihlašují pomocí svých e-mailových adres, jiní umožňují uživatelům vytvářet si vlastní uživatelská jména. V původním seznamu kombinací uživatelského jména a hesla 1, 48 milionu existovalo ve skutečnosti 829 484 různých uživatelských jmen, protože uživatelé používali běžná slova. Ve skutečnosti se „admin“ objevil jako uživatelské jméno 4 341krát. Polovina „slabých“ uživatelských jmen měla také slabá hesla, což ještě více zvyšuje pravděpodobnost, že by útočníci mohli brutálně vynutit cestu přes více účtů.
Zůstat v bezpečí
Bezpečná hesla jsou nezbytná pro zachování našich dat a identity v bezpečí online, ale uživatelé si často volí pohodlí nad bezpečností. Z tohoto důvodu doporučujeme použít správce hesel k vytvoření a uložení jedinečných komplexních hesel pro každý web nebo službu, kterou používáte. Tyto aplikace se také automaticky přihlásí, takže je mnohem těžší pro keyloggery chytit vaše informace. Nezapomeňte vyzkoušet Dashlane 2.0 nebo LastPass 3.0, což jsou vítězi ceny Editors 'Choice za správu hesel.
Jak jsme poznamenali minulý měsíc, botonie Pony pravděpodobně shromáždil přihlašovací informace pomocí keyloggerů a phishingových útoků. Aktualizujte svůj bezpečnostní software, abyste zabránili infikování na prvním místě, Webroot SecureAnywhere AntiVirus (2014) nebo Bitdefender Antivirus Plus (2014) a postupujte podle našich pokynů pro zjištění phishingových útoků.
