ビデオ: The LivingSocial Taxi (十一月 2024)
先週金曜日、LivingSocialは、攻撃者が5, 000万を超えるアカウントにアクセスしたことを明らかにしました。 人気の取引ウェブサイトのユーザーにとっては、財務情報は安全であり、パスワードは暗号化されたままですが、それは怖いです。 しかし、パスワードマネージャーを使用すると、将来の攻撃の可能性を減らし、損害を減らすことができます。
リスク:ドミノ効果
LivingSocialに対する攻撃は、パスワードが公開されていなくても、ユーザーに大きな影響を与えます。 生年月日、電子メールアドレス、攻撃で公開された情報は、重要な情報とは思えないかもしれません。結局、ディナーパーティーでこの情報を提供することをためらわないでしょう。 しかし、ターゲットを絞ったフィッシングキャンペーンを作成する攻撃者にとって非常に便利です。これは、少しの個人情報から始めて、だましてさらに多くの情報を提供するように設計されています。
電子メールアドレスは、パスワードの紛失または忘れを回復するためにWebサイトでも使用されます。 LivingSocialの攻撃者、または攻撃者から情報を購入した人が、アカウントに関連付けられた電子メールアドレスの制御を取得したとしましょう。 彼はこれを使用して、他のWebサイト(おそらくは金融サイトであっても)でパスワードリセットをトリガーし、同様にそれらを制御することができました。
攻撃者はより多くの作業を行う必要がありますが、複数のサイトで同じユーザー名(またはメールアドレス)とパスワードを使用する場合、LivingSocialの攻撃者はそれらのサイトのすべてのログイン資格情報の半分を持っていると考えてください。 さらに悪いことに、暗号化されたパスワードは、そもそも暗号化されていませんでした。
3月、ソフォスのシニアセキュリティアドバイザーであるChester WisniewskiはSecurityWatchに対して、Webサイトがハッシュおよびソルトパスワードを使用している場合でも、意欲的な攻撃者が脆弱なパスワードや一般的なパスワードを発見できる可能性があると説明しました。 「犯罪者は本当に簡単なものをハッシュ化するつもりであり、他の人に迷惑をかけないかもしれない」とWisniewskiは言った。
パスワードマネージャーがお手伝いします
パスワードマネージャーは、パスワードを保存するだけでなく、複雑で安全なパスワードを生成します。 最適なものには、パスワードへの即時アクセスを可能にし、アプリのログイン情報を保存するモバイルコンポーネントもあります。
PC Magでは、多数のパスワードマネージャーを確認しました。 執筆時点で、エディターズチョイスアワードは、どちらもモバイルアプリを備えたDashlaneとLastPassで共有されています。 どちらも無料ですが、LastPassアプリの使用を計画している場合は、年間わずか12ドルをポニーアップする必要があります。 Dashlaneについても同じことが言えますが、プレミアムアカウントの費用は年額39.99ドルです。 ただし、Dashlaneにはいくつかの異なる価格ポイントがあり、「ロイヤリティポイント」でロックを解除できます。
また、Norton Identity Safe(4つ星、無料)は、情報を保存し、デバイス間で(iOSやAndroidアプリ経由でも)同期します。 クラウドを使用するサービスを恐れている人のために、MyLOK Personal(4つ星、89.95ドル)は、スマートカードと高度な暗号化を使用してデータを安全に保ちます。 Password Genie(3.5つ星、15ドル)とRoboForm Everywhere 7(4.5つ星、19.99ドル/年)は、2つの堅実なオプションです。
原則として、ログイン情報を自動的にキャプチャおよび入力しないパスワードマネージャーは使用しないでください。 シームレスなプロセスである必要があり、キーロガーやあなた自身の怠inessからあなたを守ります。 パスワードマネージャーは、ログイン情報を更新し、新しいデータの記録を提案したときにも通知する必要があります。 別のセキュリティレイヤーを追加するには、トークンマネージャーや生体認証スキャンなどのセカンダリログインデバイスをパスワードマネージャーのログインプロセスに使用することを検討してください。
もっと安全になりますか?
パスワードマネージャーには、攻撃者が侵入した場合、すべての情報が手に入れる可能性があるという固有のリスクが伴います。 それは事実ですが、セキュリティに関しては、パスワードマネージャーが他のサイトよりも多くのことを行ない、データを保護するために多くのことを行うことを考慮してください。 サービスのアカウントが危険にさらされている場合は、パスワードを変更するだけで問題ありません。 パスワードマネージャの制御を失った場合、そのサービスを二度と使用することはありません。
攻撃者も数字ゲームをプレイしており、あなたが個々に提供しなければならないことにあまり関心がありません。 通常、ページビューやアフィリエイトへの紹介を通じて、現金を獲得するために使用できる多くの侵入があります。 銀行口座を狙う人もいるかもしれませんが、そうすることで、攻撃者ははるかに高いレベルの警察の利益にさらされ、そもそも機能しなくなる可能性があります。
パスワードマネージャーを使用しても、攻撃を受けにくくすることはできませんが、将来の攻撃による被害を制限し、攻撃をはるかに困難にします。 ほとんどの人間と同様に、攻撃者は怠け者であり、物事を少し難しくすることで、はるかに安全になります。