Video: Hướng dẫn mua hosting Godaddy miễn phí tên miền 1$/tháng (Tháng mười một 2024)
Không quan trọng mật khẩu của bạn dài bao nhiêu và phức tạp: nếu bạn sử dụng cùng một mật khẩu trên nhiều trang web, bạn có nguy cơ bị tấn công cao.
Tháng trước, các nhà nghiên cứu của Trustwave đã phát hiện ra một kho chứa khoảng hai triệu tên người dùng và mật khẩu trên một máy chủ chỉ huy và kiểm soát có trụ sở tại Hà Lan. Máy chủ, là một phần của mạng botnet Pony, đã thu thập thông tin đăng nhập cho các trang web khác nhau cũng như các tài khoản email, FTP, Remote Desktop (RDP) và Secure Shell (SSH) từ máy tính của người dùng, Daniel Chechik của Trustwave đã viết vào thời điểm đó. Trong số 2 triệu thông tin được thu hoạch, khoảng 1, 5 triệu thông tin dành cho các trang web, bao gồm Facebook, Google, Yahoo, Twitter, LinkedIn và nhà cung cấp bảng lương trực tuyến ADP.
Một phân tích sâu hơn về danh sách mật khẩu cho thấy 30% người dùng có tài khoản trên nhiều tài khoản truyền thông xã hội đã sử dụng lại mật khẩu của họ, John Miller, giám đốc nghiên cứu bảo mật tại Trustwave cho biết. Mỗi tài khoản này sẽ dễ bị tấn công sử dụng lại mật khẩu.
"Với một chút nỗ lực và một số truy vấn thông minh của Google, kẻ tấn công có thể tìm thấy các dịch vụ trực tuyến bổ sung nơi người dùng bị xâm nhập đã sử dụng mật khẩu tương tự và sau đó cũng có thể truy cập vào các tài khoản đó", Miller nói với Security Watch .
Đó là "Chỉ" Truyền thông xã hội
Rõ ràng là những kẻ tấn công đã truy cập vào máy chủ FTP và tài khoản email của nạn nhân, nhưng có thể không rõ ràng tại sao có mật khẩu Facebook hoặc LinkedIn của họ là một vấn đề lớn. Điều quan trọng cần nhớ là những kẻ tấn công thường sử dụng các danh sách này như một điểm xuất phát để khởi động các cuộc tấn công thứ cấp. Ngay cả khi kẻ tấn công đánh cắp "chỉ" mật khẩu phương tiện truyền thông xã hội, chúng vẫn có thể truy cập vào tài khoản Amazon của bạn hoặc xâm nhập vào mạng công ty của bạn thông qua VPN vì tên người dùng và mật khẩu giống như những gì bạn có trên tài khoản truyền thông xã hội đó .
Security Watch thường xuyên cảnh báo về sự nguy hiểm của việc sử dụng lại mật khẩu, vì vậy chúng tôi đã yêu cầu Trustwave phân tích danh sách mật khẩu này để định lượng mức độ của vấn đề. Những con số kết quả đã gây sửng sốt.
Trong số 1, 48 triệu tên người dùng / mật khẩu được liên kết với các tài khoản truyền thông xã hội, Miller đã xác định 228.718 người dùng khác biệt với nhiều hơn một tài khoản truyền thông xã hội. Trong số những tên người dùng đó, 30 phần trăm đã sử dụng cùng một mật khẩu trên nhiều tài khoản, Miller tìm thấy.
Trong trường hợp bạn đang tự hỏi, vâng, tội phạm mạng sẽ thử kết hợp tương tự trên các trang web ngẫu nhiên, bằng tay hoặc thông qua một tập lệnh để tự động hóa quy trình.
Tái sử dụng xấu như mật khẩu yếu
Mật khẩu có thể khó nhớ và điều đó đặc biệt đúng với mật khẩu mà hầu hết mọi người cho là mạnh mẽ. Mặc dù những người dùng này nên được khen ngợi vì không sử dụng các mật khẩu yếu như "admin", "123456" và "password" (vẫn còn là một vấn đề trong nhóm này), vấn đề là ngay cả mật khẩu phức tạp cũng mất hiệu lực nếu chúng không phát sinh ' t độc đáo.
Miller cũng xác định một vấn đề tái sử dụng khác. Mặc dù nhiều trang web có người dùng đăng nhập bằng địa chỉ email của họ, những trang khác cho phép người dùng tạo tên người dùng của riêng họ. Trong danh sách ban đầu gồm 1, 48 triệu kết hợp tên người dùng / mật khẩu, thực tế đã có 829.484 tên người dùng riêng biệt vì người dùng đang sử dụng các từ phổ biến. Trên thực tế, "quản trị viên" đã xuất hiện dưới dạng tên người dùng 4.341 lần. Một nửa số tên người dùng "yếu" cũng có mật khẩu yếu, khiến nhiều khả năng kẻ tấn công có thể mạnh tay hơn trên nhiều tài khoản.
Giữ an toàn
Mật khẩu an toàn là rất quan trọng để giữ an toàn cho dữ liệu và danh tính của chúng tôi, nhưng người dùng thường chọn sự thuận tiện cho bảo mật. Đây là lý do tại sao chúng tôi khuyên bạn nên sử dụng trình quản lý mật khẩu để tạo và lưu trữ mật khẩu phức tạp, duy nhất cho mọi trang web hoặc dịch vụ bạn sử dụng. Các ứng dụng này cũng sẽ tự động đăng nhập bạn, khiến cho các keylogger khó lấy thông tin của bạn hơn nhiều. Hãy chắc chắn dùng thử Dashlane 2.0 hoặc LastPass 3.0, cả hai đều là người chiến thắng giải thưởng Sự lựa chọn của ban biên tập của chúng tôi để quản lý mật khẩu.
Như chúng tôi đã lưu ý vào tháng trước, botnet Pony có khả năng thu thập thông tin đăng nhập thông qua các cuộc tấn công bằng keylogger và lừa đảo. Luôn cập nhật phần mềm bảo mật của bạn để tránh bị lây nhiễm ngay từ đầu, Webroot SecureAnywhere AntiVirus (2014) hoặc Bitdefender Antivirus Plus (2014) và làm theo hướng dẫn của chúng tôi để phát hiện các cuộc tấn công lừa đảo.