ビデオ: Faith Evans feat. Stevie J – "A Minute" [Official Music Video] (九月 2024)
パスワードの長さと複雑さは関係ありません。複数のサイトで同じパスワードを使用すると、攻撃のリスクが高くなります。
先月、Trustwaveの研究者は、オランダに本拠を置くコマンドアンドコントロールサーバーで、約200万人のユーザー名とパスワードの集団を発見しました。 TrustwaveのDaniel Chechikは、Ponyボットネットの一部であるサーバーは、ユーザーコンピューターから電子メール、FTP、リモートデスクトップ(RDP)、およびSecure Shell(SSH)アカウントだけでなく、さまざまなWebサイトの資格情報を収集しました。 収集された200万の資格情報のうち、約150万は、Facebook、Google、Yahoo、Twitter、LinkedIn、およびオンライン給与計算プロバイダーADPを含むWebサイト用でした。
TrustwaveのセキュリティリサーチマネージャーであるJohn Millerによると、パスワードリストの詳細な分析により、複数のソーシャルメディアアカウントにアカウントを持っているユーザーの30%がパスワードを再利用していることがわかりました。 これらの各アカウントは、パスワード再利用攻撃に対して脆弱です。
「わずかな労力と巧妙なGoogleクエリにより、攻撃者は侵害されたユーザーが同様のパスワードを使用していた追加のオンラインサービスを見つけ、それらのアカウントにもアクセスできるようになりました」とMillerは Security Watchに 語りました。
それは「ジャスト」ソーシャルメディアです
攻撃者が被害者のFTPサーバーとメールアカウントにアクセスできたことは明らかに悪いことですが、FacebookまたはLinkedInのパスワードを持っていることが大したことではないのは明らかではないかもしれません。 攻撃者はこれらのリストを頻繁に使用して二次攻撃を開始するための出発点として使用することを覚えておくことが重要です。 攻撃者がソーシャルメディアパスワードを「ただ」盗んだとしても、ユーザー名とパスワードがソーシャルメディアアカウントにあったものと同じであったため、Amazonアカウントに侵入したり、VPN経由で企業ネットワークに侵入したりする可能性があります。
セキュリティウォッチ はパスワードの再利用の危険性について頻繁に警告するため、Trustwaveにこのパスワードリストを分析して問題の範囲を定量化するよう依頼しました。 結果の数字は驚くべきものでした。
ソーシャルメディアアカウントに関連付けられた148万のユーザー名/パスワードのうち、Millerは複数のソーシャルメディアアカウントを持つ228, 718人のユーザーを特定しました。 Miller氏は、これらのユーザー名のうち、30%が複数のアカウントで同じパスワードを使用していたことを発見しました。
あなたが疑問に思っている場合、はい、サイバー犯罪者は手動またはプロセスを自動化するスクリプトを介して、ランダムなサイト間で同じ組み合わせを試します。
弱いパスワードと同じくらい悪い再利用
パスワードは覚えにくい場合があります。これは、ほとんどの人が強力と考えるパスワードに特に当てはまります。 これらのユーザーは、「admin」、「123456」、「password」などの脆弱なパスワードを使用しないことで賞賛されるべきですが(このグループではまだ問題でした)、問題は複雑なパスワードでも有効でない場合です。 tユニーク。
Millerは、別の再利用の問題も特定しました。 多くのサイトではユーザーが自分のメールアドレスでログインしていますが、他のサイトではユーザーが独自のユーザー名を作成できます。 148万のユーザー名/パスワードの組み合わせの元のリストでは、ユーザーが一般的な単語を使用していたため、実際には829, 484の異なるユーザー名がありました。 実際、「admin」はユーザー名として4, 341回表示されました。 「弱い」ユーザー名の半分は弱いパスワードも持っていたため、攻撃者が複数のアカウントをブルートフォースする可能性がさらに高くなりました。
おげんきで
安全なパスワードは、当社のデータとIDをオンラインで安全に保つために重要ですが、ユーザーはしばしばセキュリティよりも便利を選択します。 このため、パスワードマネージャーを使用して、使用するすべてのサイトまたはサービスの一意で複雑なパスワードを作成および保存することをお勧めします。 また、これらのアプリケーションは自動的にログインするため、キーロガーが情報を取得するのがはるかに困難になります。 パスワード管理でエディターズチョイス賞を受賞したDashlane 2.0またはLastPass 3.0をぜひお試しください。
先月お伝えしたように、Ponyボットネットはキーロガーやフィッシング攻撃を介してログイン情報を収集した可能性があります。 そもそもWebroot SecureAnywhere AntiVirus(2014)またはBitdefender Antivirus Plus(2014)に感染しないようにセキュリティソフトウェアを更新し、フィッシング攻撃を発見するためのガイドラインに従ってください。
