إلى حد بعيد ، كان الخبر الرئيسي في الأسبوع الماضي هو تسرب "المجموعة رقم 1" - قاعدة بيانات تتكون من 2.7 مليار بريد إلكتروني: أزواج كلمات المرور ، أو 773 مليون إدخال فريد. تمت تغطية التسرب بالفعل بالتفصيل
هنا على Habré ، وفي
المدونة الإلكترونية ، ربما من أشهر مجموعة كلمات المرور غير الآمنة Troy Hunt. لن نكرر ، من الأفضل أن نتحدث عن ما يجب القيام به؟
طالما تم
التعرف على كلمات المرور كوسيلة غير موثوقة لحماية الحسابات عبر الإنترنت. مع الاحتمالية العالية ، يمكن الوصول إلى جميع كلمات المرور الخاصة بك منذ عقد من الزمن بالفعل للمهاجمين بفضل كتلة التسريبات الكبيرة والصغيرة من
Linkedin و
Vkontakte و
Twitter و
Tumblr و MySpace و بالطبع
Yahoo . Spoiler: لا يوجد حل بسيط لهذه المشكلة ، ولكن هناك مجموعة من الإجراءات التي ستساعد في تقليل خطر اقتحام حسابات مهمة.
إذا كنت مشتركًا في خدمة HaveIBeenPwned لـ Troy Hunt ، فقد تلقيت رسالة مماثلة باحتمال 34٪ في الأسبوع الماضي:
حسنًا ، كان بريدك الإلكتروني في قاعدة البيانات ، ما هو التالي؟ يمكنك الذهاب إلى
الموقع ومعرفة أين ظهر هذا العنوان في وقت سابق. وتحقق من عنوان آخر. وها هو. في حالة العناوين المستخدمة منذ فترة طويلة ، لاحظ محرر مكلف قائمة من عشرات قواعد بيانات كلمات المرور المسربة المختلفة. يطرح سؤال منطقي: أي كلمات المرور تسربت؟ ما الخدمات التي أحتاجها لتغيير كلمة المرور الخاصة بي؟ في حالة وقوع حادث مع خدمة معينة ، يمكنك الإجابة على السؤال الثاني على الأقل. في حالة المجموعة # 1 التي تم تسريبها ، لن تتلقى إجابة من هذا القبيل. تسرب جديد هو تجميع من مصادر مختلفة من أصل غير معروف.
حسنًا ، في نفس الخدمة ، يمكنك التحقق من كلمات المرور الخاصة بك. إذا كنت لا تثق في Troy Hunt ، فيمكنك تنزيل قاعدة بيانات كلمة مرور التجزئة والتحقق من كلمات المرور الخاصة بك في وضع عدم الاتصال. أو فقط قرر أن شخصًا على الأقل في هذا العالم يحتاج إلى الثقة في بعض الأحيان.
يمكنك استخدام الخدمات الموحلة التي تُرجع سطرًا من قاعدة بيانات مسربة مقابل المال ، لكنك لا تحتاج إلى الوثوق بها. علاوة على ذلك ، يجب عدم تنزيل قاعدة البيانات المسربة نفسها ، والتي يبدو أنها منتشرة في جميع أنحاء الإنترنت. إذا كان التسرب الجديد يحتوي على كلمة مرور فريدة من خدمة واحدة ، فهذه مشكلة بالطبع. ولكن إذا كانت كلمة المرور هذه تنطبق أيضًا على جميع حساباتك بشكل عام ، فهذه كارثة محتملة.
على من يقع اللوم على حقيقة أن كلمة المرور الخاصة بك كانت في متناول المتسللين؟ قد يكون هناك أيضا العديد من الإجابات الممكنة. واضح - تسرب قاعدة بيانات كلمة المرور لبعض خدمات الشبكة. تحتوي
قائمة قواعد البيانات التي تشكل "المجموعة رقم 1" على عدد كبير من المواقع الصغيرة والمنتديات التي تم اختراقها في أوقات مختلفة. مرة واحدة كل عامين تقريبًا ، تحدث تسربات من الخدمات الكبيرة. لكن المشكلة ليست فقط في نفوسهم.
تم التقاط لقطة الشاشة من
هذا المنشور
بواسطة Troy Hunt ردًا على الشكوك حول سرقة قاعدة بيانات كلمة المرور من خدمة الموسيقى Spotify. لم يكن السبب وراء هذه الخدمة: باستخدام أزواج تسجيل الدخول وكلمة المرور المعروفة بالفعل من التسريبات الأخرى ، تمكن المهاجمون من كسر عدد لا بأس به من حسابات سبوتيفي ، بما في ذلك الحسابات ذات الاشتراك المدفوع. هذه نتيجة واضحة لإعادة استخدام نفس كلمة المرور. لكن هذا ليس كل شيء. يتم تخزين كلمات المرور الخاصة بك في متصفح ، يمكنك إدخالها على أجهزة كمبيوتر وأجهزة محمولة مختلفة. يمكن أيضًا سرقة هذه البيانات من جانبك. أخيرًا ، لا تتمتع العديد من المواقع بحماية ضعيفة ضد سرقة المعلومات الشخصية للمستخدمين فحسب - بل إنها لا تستخدم HTTPS ، مما يعني أن كلمة مرورك إلى هذه الخدمة يتم إرسالها بنص واضح ويمكن اعتراضها. قد تكون أيضًا ضحية للتصيد الاحتيالي في مرحلة ما ولا تلاحظ ذلك ("حسنًا ، لم أستطع تسجيل الدخول ، ثم سأحاول مرة أخرى").
كل هذا يخلق بيئة غير سارة إلى حد ما للمستخدم العادي ، عندما لا يكون هناك فهم واضح لما حدث وأين وما ستكون العواقب. يمكن أن يؤدي تسرب كلمات المرور من إحدى الخدمات إلى اختراق أخرى باستخدام نفس كلمة المرور. قد تتم محاولتك أنت (أو الأسوأ من ذلك ، أقاربك غير المستعدين تقنياً) للابتزاز ، باستخدام كلمة المرور الحقيقية لأحد حساباتك كوسيطة. من خلال خدمات الدفع المخترقة والمواقع التي تخزن تفاصيل بطاقة الائتمان الخاصة بك ، يمكنهم سرقة أموال حقيقية. من المحتمل أن تكون هنا كابتن Evidence وتوصي بنوع من مدير كلمات المرور لحل المشكلة الرئيسية - إعادة الاستخدام. ولكن في الواقع ، ليس كل شيء في غاية البساطة.
قصة التسرب الرئيسي التالي لكلمات المرور هي قصة عن
الأمن التشغيلي (مصطلح مستعار من الجيش). الهدف من OPSEC هو أن حماية البيانات الخاصة بك هي عملية مستمرة. لا توجد طريقة واحدة موثوقة تحل جميع المشاكل مرة واحدة وإلى الأبد. لنفترض أنك تستخدم مدير كلمات المرور. هل قمت بالتأكيد بتغيير كلمة المرور على جميع المواقع؟ ماذا عن المنتديات المنسية منذ زمن طويل؟ هل من الممكن تجاوز مدير كلمات المرور أو أي حماية أخرى باستخدام الخداع؟ نعم تماما.
تضيف المصادقة الثنائية عامل حماية آخر إلى حسابك. هل من الممكن للالتفاف حوله؟ يمكنك ذلك. كانت أمثلة تجاوز ترخيص الرسائل القصيرة ، باستخدام الهندسة الاجتماعية على سبيل المثال لاستنساخ بطاقة SIM كافية. تم مؤخرًا عرض دليل على اعتراض البيانات المدخلة من قبل المستخدم خلال ترخيص 2FA. في شهر ديسمبر ، تم اكتشاف
حصان طروادة لسرقة أموال من PayPal ، الذي لا يسرق كلمات المرور أو الرموز 2FA على الإطلاق ، ولكنه ينتظر تسجيل الدخول إلى أحد التطبيقات المشروعة ويعترض التحكم.
تتمثل الطريقة الصحيحة في استخدام مجموعة من الوسائل التقنية لحماية الحسابات ، مثل مدير كلمات المرور وتفويض عاملين ، بالإضافة إلى الاستخدام الموجه للأمان للبرامج والأجهزة. دون محاولة إعداد قائمة شاملة بالوسائل ، نقدم أمثلة. ربما ، ليس من الضروري ربط محاسبة أدوات العمل بالبريد الإلكتروني الشخصي. من الجدير بالتأكيد الحصول على بريد إلكتروني منفصل لخدمات الأمن الضعيفة - منتديات قديمة ولكنها مفيدة دون https وما شابه ذلك. أو بالعكس ، يمكنك إنشاء حساب بريد إلكتروني لأهم الخدمات ، وعدم تألقه على الإنترنت ، وعدم مطابقته وحمايته قدر الإمكان بكل الوسائل المتاحة. في حالة حدوث تسرب ، سيتلقى المهاجمون عنوان بريد إلكتروني للخدمات "غير الآمنة" ولن يتمكنوا من استخدامه لمهاجمة حساباتك الهامة. الشيء الرئيسي هو عدم الخلط في السراويل opsec الخاصة بك.
نضيف هنا رفض تثبيت التطبيقات المشكوك فيها على هاتف ذكي وسطح مكتب ، أو حتى أفضل ، تثبيت برنامج مكافحة الفيروسات ، الذي لا يحل جميع المشاكل أيضًا ، ولكنه يقدم مساهمة ملموسة لبنك حصالة الأمان الشامل. يستحق الهاتف عمومًا توفيره ، لأنه يحتوي عادةً على مفاتيح لجميع الأبواب. حتى هذه التدابير لا تمنع تغييرات كلمة المرور العادية على الأقل على الخدمات المستخدمة بشكل متكرر مع تردد معين. يعتمد تواتر هذا الإجراء على درجة جنونك الشخصية: مرة واحدة كل ستة أشهر يجب أن تكون أكثر من كافية. احتفظ بقائمة من الخدمات الهامة ، ضع تذكيرًا ، لا تقم بحفظ بيانات الدفع عندما يقدمونها لك ، حتى لو كانت eBay أو Aliexpress. هل توفر كل هذه الطرق ضمانًا مائة بالمائة لحماية بياناتك؟ لا ، لا يحدث أي شيء في مجال الحماية على الإطلاق. لكنهم سيحمونك ليس فقط من طريقة حشو بيانات الاعتماد ، عندما يحاولون تطبيق كلمات المرور المسربة من القائمة على أي خدمات ، ولكن أيضًا من بعض الطرق الأكثر صعوبة. في هذه الحالة ، عندما تتلقى الرسالة التالية من HaveIBeenPwned ، لن يكون هذا سببًا للهلع ، ولكنه سيكون سببًا لتنفيذ الإجراء المعتاد للتحقق من الأصول غير الملموسة.
إخلاء المسئولية: الآراء الواردة في هذا الملخص قد لا تتوافق دائمًا مع الموقف الرسمي لـ Kaspersky Lab. عزيزي المحررين يوصون عمومًا بمعالجة أي آراء بشك صحي.