当然,过去一周的主要新闻是“ Collection#1”的泄漏-该数据库包含27亿封电子邮件:密码对,或7.73亿个唯一条目。 漏洞已
在Habré和
博客中得到了详细介绍,这可能是最著名的不安全密码收藏家Troy Hunt所为。 我们不会重复,最好让我们谈一下该怎么做?
长期以来,密码一直被
认为是保护在线帐户
的不可靠手段。 由于
Linkedin ,
Vkontakte ,
Twitter ,
Tumblr和MySpace ,当然还有
Yahoo的大量大小泄漏,攻击者很可能已经可以使用十年前的所有密码。 剧透:没有简单的方法可以解决问题,但是可以采取一系列措施来减少进入重要帐户的风险。
如果您订阅了Troy Hunt的HaveIBeenPwned服务,则上周您收到类似消息的可能性为34%:
好的,您的电子邮件在数据库中,下一步是什么? 您可以转到该
站点 ,查看此地址较早出现的位置。 并检查另一个地址。 他在那里。 对于长期使用的地址,一位昂贵的编辑者观察到了十二个不同的泄露密码数据库的列表。 出现一个逻辑问题:哪些密码已泄漏? 我需要更改密码的哪些服务? 如果发生涉及特定服务的事件,您至少可以回答第二个问题。 对于第1个集合泄漏的情况,您不会收到这样的答案。 新的泄漏是来自未知来源的各种来源的汇编。
好吧,在同一服务上,您可以检查您自己的密码。 如果您不信任Troy Hunt,则可以下载哈希密码数据库并脱机检查密码。 或者只是决定有时至少需要信任这个世界上的某个人。
您可以使用浑浊的服务,该服务从泄漏的数据库中退回一行以赚钱,但您无需信任它们。 此外,您不应下载泄漏的数据库本身,该数据库似乎散布在整个Internet上。 如果新的泄漏包含来自单个服务的唯一密码,那么这当然是一个问题。 但是,如果此密码通常也适用于您的所有帐户,则可能是灾难。
入侵者可以访问您的密码,这是谁的罪魁祸首? 可能还有许多可能的答案。 显而易见-某些网络服务的密码数据库泄漏。 组成“集合1”的数据库
列表中包含大量在不同时间被黑客入侵的小型站点和论坛。 大约每两年一次,就会发生大型服务的数据泄漏。 但是问题不仅仅在于它们。
屏幕快照是Troy Hunt从此
帖子中截取的,以回应怀疑来自Spotify音乐服务的密码数据库被盗。 这项服务不是罪魁祸首:使用其他漏洞中已知的登录密码对,攻击者可以破解很多Spotify帐户,包括带有付费订阅的帐户。 这显然是重复使用相同密码的结果。 但这还不是全部。 您的密码存储在浏览器中,您可以在其他计算机和移动设备上输入它们。 这些数据也可能在您身边被盗。 最后,许多站点不仅不能很好地防止盗用用户的个人信息-它们甚至都没有使用HTTPS,这意味着您使用这种服务的密码以明文形式发送并且可以被截获。 您也可能在某个时候成为网络钓鱼的受害者,甚至没有注意到它(“好吧,我无法登录,然后我会再试一次”)。
当没有清楚了解发生了什么以及后果将在何处发生时,所有这些都会为普通用户创造一个相当不愉快的环境。 一种服务的密码泄漏可能导致使用相同密码的另一种服务被黑客入侵。 可能会尝试使用您帐户(其中一个帐户的真实密码)作为参数来勒索您(或更糟糕的是,您没有技术准备的亲戚)。 通过被黑的付款服务和存储您的信用卡详细信息的网站,他们可以窃取真钱。 在这里,您可能是Captain Evidence并推荐某种密码管理器来解决主要问题-重用。 但实际上,并非一切都那么简单。
密码的下一次重大泄漏是关于
操作安全性 (从军方借来的一个术语)的故事。 OPSEC的重点是保护您的数据是一个持续的过程。 没有一种可靠的方法可以立即解决所有问题。 假设您使用密码管理器。 您确定在所有站点上都更改过密码吗? 那被人们遗忘的论坛又如何呢? 是否可以绕过网络钓鱼绕过密码管理器或任何其他保护措施? 是的,相当。
两因素身份验证为您的帐户增加了另一层保护。 有可能解决吗? 可以的 使用例如社会工程学克隆SIM卡的SMS授权绕过示例就足够了。 最近,已经
显示了在2FA授权期间用户输入的数据被拦截的概念
证明 。 去年12月,一个
木马被发现从PayPal窃取资金,后者根本不窃取密码或2FA令牌,而是等待登录到合法应用程序并拦截控制权。
正确的方法是结合使用多种技术手段来保护帐户,例如密码管理器和两因素授权,以及面向安全性的软件和设备使用。 在不试图详尽列出方法的情况下,我们给出示例。 可能没有必要将工作工具的账目链接到个人电子邮件。 单独发送一封有关安全服务薄弱环节的电子邮件绝对值得,这是旧的但有用的论坛,没有https等内容。 反之亦然,您可以为最重要的服务创建一个电子邮件帐户,不要在Internet上发布该帐户,不要与之对应,并通过所有可用的方法尽可能地对其进行保护。 如果发生泄漏,攻击者将收到用于“不安全”服务的电子邮件地址,并且将无法使用它来攻击您的关键帐户。 最主要的是不要对自己的opsec裤子感到困惑。
我们在此处添加了拒绝在智能手机和台式机上安装有问题的应用程序的权限,或者甚至拒绝安装防病毒软件的权限,这也不能解决所有问题,但却为整体安全储钱罐做出了切实的贡献。 手机通常值得保存,因为它通常包含所有门的钥匙。 即使采取这些措施,也至少在经常使用的服务上以一定频率排除常规密码更改的可能性。 此过程的频率取决于您个人的偏执程度:每六个月一次应该足够了。 保留重要服务列表,提醒您,即使付款数据是eBay或Aliexpress,也不要保存它们,以免将其提供给您。 所有这些方法是否都能为您的数据保护提供百分之一百的保证? 不,他们没有,在保护领域根本没有发生任何事情。 但是,当他们尝试将列表中泄漏的密码应用于任何服务时,它们不仅会保护您免于凭据填充方法的侵害,而且还可以保护某些棘手的方法。 在这种情况下,当您收到HaveIBeenPwned发出的下一封信时,这并不是引起恐慌的原因,而是触发执行检查无形资产的常规过程的触发器。
免责声明:本摘要中表达的观点可能并不总是与卡巴斯基实验室的官方立场相符。 亲爱的编辑们通常建议以健康的怀疑态度对待任何观点。