Video: Million Dollar Password Game Controller [Keynote] (Oktober 2024)
Tidligere denne uken slapp Trustwave studien sin om et massivt botnet, en av mange klarte å bruke Pony botnet-kontrolleren. Forskerne fikk kontroll over botnet og tok plassen til sin Command and Control-server. Når de var i kontroll oppdaget de at botnet hadde klart å stjele omtrent to millioner passord fra infiserte datamaskiner. De oppdaget også noe som de fleste av oss allerede vet: at folk er forferdelig med passord.
Få tilgang til passordene
De to millionene kompromitterte kontoene ble spredt mellom 1, 58 millioner legitimasjonsinformasjon på nettstedet, 320 000 e-postpålogginger, 41 000 FTP-kontoer, 3000 eksterne skrivebordsopplysninger og 3000 sikkerhetsopplysninger om Secure Shell-kontoer er et betydelig trekk. Bekymringen er selvfølgelig hvor mange av de berørte brukerne som hadde valgt det samme passordet for andre nettsteder.
Forskere fant 318.121 Facebook-opplysninger som utgjorde hele 57 prosent av totalen. Yahoo var neste med rundt 60 000 kontoer, etterfulgt av 21 708 Twitter-kontoer, 8 490 LinkedIn-passord og 7 978 kontoer for lønnstilbyderen ADP. Denne siste er litt uvanlig, men også ganske skadelig da den gir angripere tilgang til ofrenes personlige opplysninger.
Det som skremte meg mest var 16.095 Google.com-legitimasjon og 54.437 Google-konto-legitimasjon. Disse kan gi angripere tilgang til Gmail, og derfra tilbakestille andre passord ved å bruke "glemt passordet" -funksjonen på nettsteder. Det kan også gi angripere tilgang til private filer i Google Drive, eller betalingsinformasjon i Google Wallet.
Alt dette betyr ikke at det var et massivt angrep mot disse nettstedene. Det er mer sannsynlig at kriminelle klarte å høste disse adressene på flere måter, for eksempel phishing og keyloggers, og hadde lagret dem på disse serverne. De kan selge dem til andre kjøpere eller lagre dem for fremtidig bruk.
Forferdelig passord, igjen
Trustwave delte passordene i kategorier: seks prosent av dem var "forferdelig", mens 28 prosent av dem var "dårlige." Kombinerte 22 prosent var enten "gode" eller "utmerkede", og 44 prosent var "middels." Blant de verste var: 123456, 123456789, 1234 og "passord."
De fleste passordene blandet ikke bokstaver og tall. Flertallet av passordene var enten alle bokstaver (samme bokstav) eller alle tall, etterfulgt av passord som hadde to typer (blanding av store og små bokstaver, eller små bokstaver med for eksempel tall), sa Trustwave.
Et godt funn var at nesten halvparten - 46 prosent - av passordene hadde lange passord, på 10 tegn eller mer. Flertallet av passordene var innenfor området seks til ni tegn, sier Trustwave.
Høyprofilmål
For så vidt Lucas Zaichkowsky, en bedriftsdataarkitekt ved AccessData, var bekymret, desto større bekymring er at kriminelle vil se etter kontoer som tilhører mennesker "med høy verdi målorganisasjoner." Hvis det viser seg at disse menneskene brukte de samme passordene på disse nettstedene så vel som for arbeidsrelaterte ressurser, kan angripere bryte seg inn i bedriftsnettverket via VPN eller e-post via en nettbasert klient, bemerket Zaichkowksy.
"De kan selge verdifulle kontoer til andre på det svarte markedet som betaler store penger for gyldig legitimasjon som får dem inn i lønnsomme målorganisasjoner, " sa Zaichkowksy.
Folk bruker e-postadressene på jobben sin for personlige aktiviteter, for eksempel å registrere seg for kontoer på Facebook. Cesar Cerrudo, CTO for IOActive, fant forskjellige militært ansatte, inkludert generaler og løytnantgeneraler ("fremtidige generaler", kalte Cerrudo dem) hadde brukt sine.mil-e-postadresser for å opprette kontoer på reisesiden Orbitz, GPS-selskapet garmin.com, Facebook, Twitter og Skype, for å nevne noen. Dette gjør utsiktene til gjenbruk av passord enda mer problematiske, siden disse personene er veldig verdifulle som mål og har tilgang til mye sensitiv informasjon.
Qualys direktør for ingeniør Mike Shema sa imidlertid at han ser håp i fremtiden. "Ser vi mot 2014, vil tofaktorautentisering fortsette å få fart gjennom bedrifts- og forbrukerteknologi, og mange apper vil også begynne å ta i bruk tofaktorer. Vi vil også se økningen av smart kryptoteknikk for passord for flere autentisering. " To-faktor autentisering krever et andre godkjenningstrinn, som en spesiell kode sendt via tekstmelding.
Forbli trygg
Den generelle enigheten er at disse passordene ble høstet fra brukermaskiner, og ikke stjålet innloggingsinformasjon fra nettsteder - noe som er en hyggelig tempoendring. Keyloggers er en sannsynlig mistenkt og spesielt farlig. Disse ondsinnede applikasjonene kan ikke bare fange tastetrykk, men kan fange skjermbilder, innholdet på utklippstavlen, programmene du starter, nettstedene du besøker, og til og med sile gjennom chat-samtaler og e-posttråder. Heldigvis bør de fleste antivirusprogrammer ha deg dekket. Vi anbefaler Editors 'Choice-prisvinnere Webroot SecureAnywhere AntiVirus (2014) eller Bitdefender Antivirus Plus (2014).
Merk at noen AV-programmer ikke blokkerer "gråvare" eller "potensielt uønskede programmer som standard. Keyloggers faller noen ganger inn i denne kategorien, så husk å aktivere denne funksjonen.
Det er vanskeligere å blokkere phishing og andre taktikker for å lure ofre til å gi ut passordinfo. Heldigvis har vi mange tips om hvordan du oppdager phishing-angrep og hvordan du kan unngå det
Det viktigste er at folk bruker en passordbehandling. Disse applikasjonene lager og lagrer unike, komplekse passord for hvert nettsted eller tjeneste du bruker. De vil også automatisk logge deg på, noe som gjør det mye vanskeligere for keyloggers å snappe informasjonen din. Sørg for å prøve ut Dashlane 2.0 eller LastPass 3.0, begge er vinnerne av Editors 'Choice-prisen for passordhåndtering.
