Tidligere på måneden sendte NortonLifeLock online identitetsbeskyttelsestjenesten, ejet af det Arizona-baserede teknologifirma Gen Digital, en sikkerhedsadvarsel til mange af sine kunder.
Advarselsbrevet kan ses online, for eksempel på hjemmesiden for Kontoret for Vermont Attorney General, hvor det står under titlen NortonLifeLock – Gen Digital Data Breach Meddelelse til forbrugere.
Brevet starter med en frygtindgydende hilsen, der siger:
Vi skriver for at underrette dig om en hændelse, der involverer dine personlige oplysninger.
Det fortsætter som følger:
[Vores systemer til registrering af indtrængen] advarede os om, at en uautoriseret part sandsynligvis har kendskab til den e-mail og adgangskode, du har brugt med din Norton-konto […] og din Norton Password Manager. Vi anbefaler, at du med det samme ændrer dine adgangskoder hos os og andre steder.
Som de indledende afsnit går, er denne ret ligetil og indeholder ukomplicerede, hvis potentielt tidskrævende råd: en anden end dig kender sandsynligvis din Norton-kontos adgangskode; de har måske også været i stand til at kigge ind i din adgangskodemanager; skift venligst alle adgangskoder så hurtigt som muligt.
Hvad er der sket her?
Men hvad skete der egentlig her, og var dette et brud i konventionel forstand?
Når alt kommer til alt, annoncerede LastPass, et andet velkendt navn i adgangskodehåndteringsspillet, for nylig ikke kun, at det havde været udsat for et netværksindbrud, men også at kundedata, inklusive krypterede adgangskoder, var blevet stjålet.
I LastPass' tilfælde var de stjålne adgangskoder heldigvis ikke til direkte og øjeblikkelig brug for angriberne, fordi hver brugers adgangskodeboks var beskyttet af en hovedadgangskode, som ikke blev gemt af LastPass og derfor ikke blev stjålet på samme tid. .
Svindlerne skal stadig knække disse hovedadgangskoder først, en opgave, der kan tage uger, år, årtier eller endda længere, for hver bruger, afhængigt af hvor klogt disse adgangskoder var blevet valgt.
Dårlige valg som f.eks 123456
, iloveyou
var formentlig buldret inden for de første par timer efter krakning, men mindre forudsigelige kombinationer som f.eks DaDafD$&RaDogS
or tVqFHAAPTjTUmOax
vil næsten helt sikkert holde ud i meget længere tid, end det ville tage at ændre adgangskoderne i din boks.
Men hvis LifeLock lige har lidt et brud, og virksomheden advarer om, at en anden allerede kendte nogle brugeres kontoadgangskoder, og måske også hovedadgangskoden til alle deres andre adgangskoder...
… er det ikke meget værre?
Er disse adgangskoder allerede blevet knækket på en eller anden måde?
En anden form for brud
Den gode nyhed er, at denne sag ser ud til at være en ganske anden form for "brud", sandsynligvis forårsaget af den risikable praksis med at bruge den samme adgangskode til flere forskellige onlinetjenester for at gøre det lidt hurtigere at logge ind på dine almindeligt anvendte websteder. og lettere.
Umiddelbart efter LifeLocks tidlige råd om at gå og ændre dine adgangskoder, foreslår virksomheden, at:
[B]fra omkring 2022-12-01, havde en uautoriseret tredjepart brugt en liste over brugernavne og adgangskoder hentet fra en anden kilde, såsom det mørke web, til at forsøge at logge ind på Norton-kundekonti. Vores egne systemer blev ikke kompromitteret. Vi er dog overbevist om, at en uautoriseret tredjepart kender og har brugt dit brugernavn og din adgangskode til din konto.
Problemet med at bruge den samme adgangskode på flere forskellige konti er indlysende – hvis en af dine konti bliver kompromitteret, så er alle dine konti så godt som også kompromitteret, fordi den ene stjålne adgangskode fungerer som en skeletnøgle til de andre involverede tjenester .
Legitimationsfyldning forklaret
Faktisk er processen med at teste, om en stjålet adgangskode fungerer på tværs af flere konti, så populær blandt cyberskurke (og er så let automatiseret), at den endda har et specielt navn: legitimationsstopning.
Hvis en online kriminel gætter, køber på det mørke web, stjæler eller phisher en adgangskode til enhver konto, du bruger, selv noget så lavt som dit lokale nyhedssite eller din sportsklub, vil de næsten øjeblikkeligt prøve den samme adgangskode på andre sandsynlige konti i dit navn.
Kort sagt tager angriberne dit brugernavn, kombinerer det med den adgangskode, de allerede kender, og ting dem Legitimationsoplysninger ind på login-siderne på så mange populære tjenester, som de kan komme i tanke om.
Mange tjenester i disse dage kan lide at bruge din e-mailadresse som et brugernavn, hvilket gør denne proces endnu mere forudsigelig for Bad Guys.
Det hjælper i øvrigt heller ikke meget at bruge en enkelt, svær at gætte adgangskode "stamme" og tilføje ændringer til forskellige konti.
Det er her, du forsøger at skabe falsk "kompleksitet" ved at starte med en fælles komponent is kompliceret, som f.eks Xo3LCZ6DD4+aY
, og derefter tilføje ukomplicerede modifikatorer som f.eks -fb
til Facebook, -tw
til Twitter og -tt
til Tik Tok.
Adgangskoder, der varierer med selv et enkelt tegn, vil ende med en helt anderledes kodet kodeords-hash, så stjålne databaser med adgangskode-hash vil ikke fortælle dig noget om, hvor ens forskellige adgangskodevalg er...
…men legitimationsfyldningsangreb bruges når angriberne kender allerede klarteksten til din adgangskode, så det er vigtigt at undgå at gøre hvert enkelt kodeord til et praktisk tip til alle de andre.
Almindelige måder, hvorpå ukrypterede adgangskoder falder i kriminelle hænder, omfatter:
- Phishing-angreb, hvor du uforvarende skriver det rigtige kodeord ind på det forkerte websted, så det bliver sendt direkte til de kriminelle i stedet for til den tjeneste, hvor du egentlig havde tænkt dig at logge ind.
- Keylogger spyware, ondsindet software, der bevidst registrerer de rå tastetryk, du indtaster i din browser eller i andre apps på din bærbare computer eller telefon.
- Dårlig loghygiejne på serversiden, hvor kriminelle, der bryder ind i en onlinetjeneste, opdager, at virksomheden ved et uheld har logget plaintext-adgangskoder til disken i stedet for kun at opbevare dem midlertidigt i hukommelsen.
- RAM-skraber malware, som kører på kompromitterede servere for at holde øje med sandsynlige datamønstre, der vises midlertidigt i hukommelsen, såsom kreditkortoplysninger, ID-numre og adgangskoder.
Giver du ikke ofrene skylden?
Selvom det ser ud til, at LifeLock ikke selv blev brudt, i den konventionelle forstand, at cyberkriminelle bryder ind i virksomhedens egne netværk og snuser efter data indefra, så at sige...
…vi har set en del kritik af, hvordan denne hændelse blev håndteret.
For at være retfærdig kan cybersikkerhedsleverandører ikke altid forhindre deres kunder i at "gøre det forkerte" (i Sophos-produkter gør vi f.eks. vores bedste for at advare dig på skærmen, klart og dristigt, hvis du vælger konfigurationsindstillinger, der er mere risikabelt end vi anbefaler, men vi kan ikke tvinge dig til at acceptere vores råd).
Det er bemærkelsesværdigt, at en onlinetjeneste ikke nemt kan forhindre dig i at indstille nøjagtig den samme adgangskode på andre websteder – ikke mindst fordi den ville være nødt til at samarbejde med de andre websteder for at gøre det, eller for at udføre sine egne legitimationsfyldningstests, og dermed krænke din adgangskodes hellighed.
Ikke desto mindre har nogle kritikere antydet, at LifeLock kunne have opdaget disse masseangreb med adgangskodefyld hurtigere end det gjorde, måske ved at opdage det usædvanlige mønster af loginforsøg, formentlig inklusive mange, der mislykkedes, fordi i det mindste nogle kompromitterede brugere ikke genbrugte adgangskoder, eller fordi databasen med stjålne adgangskoder var upræcis eller forældet.
Disse kritikere bemærker, at der gik 12 dage mellem de falske login-forsøg startede, og firmaet opdagede uregelmæssigheden (2022-12-01 til 2022-12-12), og yderligere 10 dage mellem den første opdagelse af problemet og fandt ud af, at problemet var næsten helt sikkert ned til brudte data erhvervet fra en anden kilde end virksomhedens egne netværk.
Andre har undret sig over, hvorfor virksomheden ventede til nytår 2023 (2022-12-12 til 2023-01-09) med at udsende sin "brud"-meddelelse til berørte brugere, hvis den var opmærksom på masseforsøg med adgangskodefyld før jul 2022.
Vi vil ikke forsøge at gætte på, om virksomheden kunne have reageret hurtigere, men det er værd at huske - i tilfælde af at dette nogensinde sker for dig - at det kan være en mammut at fastslå alle de fremtrædende fakta, efter du har modtaget påstande om "en overtrædelse". tilsagn.
Irriterende, og måske ironisk nok, at finde ud af, at man er blevet direkte krænket af såkaldte aktive modstandere er ofte deprimerende let.
Enhver, der har set hundredvis af computere samtidigt vise en ret-i-dit-ansigt-ransomware-afpresningsseddel, der kræver tusinder eller millioner af dollars i kryptomønter, vil desværre bevidne det.
Men at finde ud af, hvad cyberskurke gjorde bestemt ikke til dit netværk, hvilket i det væsentlige viser sig at være negativt, er ofte en tidskrævende øvelse, i hvert fald hvis du vil gøre det videnskabeligt og med en tilstrækkelig grad af nøjagtighed til at overbevise dig selv, dine kunder og tilsynsmyndighederne.
Hvad skal jeg gøre?
Med hensyn til offer-bebrejdelse, er det ikke desto mindre vigtigt at bemærke, at så vidt vi ved, er der intet, som LifeLock eller nogen andre tjenester, hvor adgangskoder blev genbrugt, kan gøre nu, på egen hånd, for at rette op på den underlydende årsag til dette problem.
Med andre ord, hvis skurke kommer ind på dine konti på anstændigt sikre tjenester P, Q og R, blot fordi de opdagede, at du brugte den samme adgangskode på ikke-så-sikre websted S, kan disse mere sikre websteder ikke forhindre dig i at tage samme slags risiko i fremtiden.
Så vores umiddelbare tips er:
- Hvis du har for vane at genbruge adgangskoder, så lad være med at gøre det mere! Denne hændelse er blot en af mange i historien, der gør opmærksom på de involverede farer. Husk, at denne advarsel om at bruge en anden adgangskode for hver konto gælder for alle, ikke kun for LifeLock-kunder.
- Brug ikke relaterede adgangskoder på forskellige websteder. En kompleks adgangskodestamme kombineret med et suffiks, der let kan huskes, unikt for hvert websted, vil bogstaveligt talt give dig en forskellig adgangskode på hvert websted. Men denne adfærd efterlader ikke desto mindre et åbenlyst mønster, som skurke sandsynligvis vil finde ud af, selv fra et enkelt kompromitteret kodeordseksempel. Dette "trick" giver dig bare en falsk følelse af sikkerhed.
- Hvis du har modtaget en meddelelse fra LifeLock, skal du følge rådene i brevet. Det er muligt, at nogle brugere kan modtage notifikationer på grund af usædvanlige logins, der alligevel var legitime (f.eks. mens de var på ferie), men læs det omhyggeligt igennem alligevel.
- Overvej at slå 2FA til for alle konti, du kan. LifeLock anbefaler selv 2FA (to-faktor-godkendelse) til Norton-konti og for alle konti, hvor to-faktor-login er understøttet. Vi er enige, fordi stjålne adgangskoder i sig selv er meget mindre nyttige for angribere, hvis du også har 2FA i vejen. Gør dette uanset om du er LifeLock-kunde eller ej.
Vi kan stadig ende i en digital verden uden nogen adgangskoder overhovedet - mange onlinetjenester forsøger allerede at bevæge sig i den retning, idet de udelukkende ser på at skifte til andre måder at tjekke din online identitet på, såsom at bruge specielle hardware-tokens eller tage biometriske mål i stedet.
Men adgangskoder har allerede været hos os i mere end et halvt århundrede, så vi formoder, at de vil være med os i mange år endnu, for nogle eller mange, hvis ikke længere alle, vores onlinekonti.
Mens vi stadig sidder fast med adgangskoder, lad os gøre en målrettet indsats for at bruge dem på en måde, der giver så lidt hjælp til cyberkriminelle som muligt.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- Platoblokkæde. Web3 Metaverse Intelligence. Viden forstærket. Adgang her.
- Kilde: https://nakedsecurity.sophos.com/2023/01/17/serious-security-unravelling-the-nortonlifelock-hacked-passwords-story/
- 1
- 10
- 2022
- 2023
- 2FA
- a
- I stand
- Om
- absolutte
- Acceptere
- Konto
- Konti
- nøjagtighed
- erhvervede
- tværs
- handlinger
- faktisk
- adresse
- rådgivning
- Efter
- Alle
- allerede
- altid
- ,
- annoncerede
- En anden
- vises
- apps
- Arkiv
- omkring
- Angreb
- forsøgt
- Forsøg på
- opmærksomhed
- advokat
- Godkendelse
- forfatter
- auto
- Automatiseret
- background-billede
- Bad
- fordi
- før
- Tro
- BEDSTE
- mellem
- biometrisk
- Bit
- Afpresning
- At skyde skylden
- grænse
- Bund
- brud
- Pause
- Breaking
- browser
- Buys
- kort
- omhyggeligt
- tilfælde
- Årsag
- forårsagede
- center
- Århundrede
- sikkert
- lave om
- karakter
- kontrol
- valg
- Vælg
- valgt
- jul
- fordringer
- klub
- farve
- kombinationer
- kombinerer
- kombineret
- Fælles
- selskab
- Selskabs
- komplekse
- kompliceret
- komponent
- Kompromitteret
- computere
- Adfærd
- Konfiguration
- indeholder
- fortsætter
- konventionelle
- overbevise
- kunne
- dæksel
- sprække
- skabe
- KREDENTIAL
- kredit
- kreditkort
- Criminal
- Kriminelle
- kritik
- Kritikere
- kunde
- kundedata
- Kunder
- cyberkriminelle
- Cybersecurity
- farer
- mørk
- Mørk Web
- data
- bruddet
- Database
- databaser
- Dage
- årtier
- krævende
- Afhængigt
- detaljer
- Detektion
- bestemmes
- bestemmelse
- DID
- forskellige
- digital
- digital verden
- direkte
- retning
- direkte
- opdage
- opdaget
- Skærm
- Er ikke
- dollars
- Dont
- ned
- hver
- Tidligt
- lettere
- nemt
- indsats
- enten
- andetsteds
- krypteret
- væsentlige
- Endog
- NOGENSINDE
- alle
- præcist nok
- eksempel
- udelukkende
- Dyrke motion
- mislykkedes
- retfærdig
- falsk
- Fall
- få
- Figur
- finde
- Fornavn
- Fix
- følger
- følger
- Tving
- Heldigvis
- fra
- yderligere
- fremtiden
- spil
- Gen
- få
- Giv
- giver
- Go
- gå
- godt
- Halvdelen
- hænder
- praktisk
- skete
- sker
- Hardware
- hash
- højde
- hjælpe
- link.
- historie
- hold
- HOURS
- hover
- Hvordan
- Men
- HTTPS
- Hundreder
- Identity
- umiddelbar
- straks
- in
- hændelse
- omfatter
- Herunder
- oplysninger
- i stedet
- involverede
- ironisk
- spørgsmål
- IT
- selv
- bare en
- holde
- Nøgle
- Kend
- viden
- laptop
- LastPass
- brev
- Niveau
- Sandsynlig
- Liste
- lidt
- lokale
- længere
- leder
- UDSEENDE
- lave
- maerker
- malware
- ledelse
- leder
- mange
- Margin
- Master
- max-bredde
- målinger
- Hukommelse
- måske
- millioner
- Modifikationer
- Måned
- mere
- bevæge sig
- flere
- navn
- Behov
- negativ
- netværk
- net
- Ikke desto mindre
- Ny
- nye år
- nyheder
- normal
- underretning
- meddelelser
- numre
- opnået
- Obvious
- ONE
- online
- åbning
- ordrer
- Andet
- Andre
- egen
- ejede
- part
- Adgangskode
- Adgangskodehåndtering
- Password Manager
- Nulstilling/ændring af adgangskoder
- Mønster
- mønstre
- paul
- måske
- personale
- telefon
- plato
- Platon Data Intelligence
- PlatoData
- Vær venlig
- Populær
- position
- mulig
- Indlæg
- potentielt
- praksis
- Forudsigelig
- smuk
- forhindre
- sandsynligvis
- Problem
- behandle
- Produkter
- beskyttet
- beskyttelse
- sætte
- hurtigere
- hurtigt
- ransomware
- Raw
- Læs
- modtage
- modtaget
- for nylig
- anbefaler
- anbefaler
- optegnelser
- Regulators
- relaterede
- huske
- huske
- Risiko
- Risikabel
- samme
- sikkerhed
- synes
- forstand
- alvorlig
- Servere
- tjeneste
- Tjenester
- indstilling
- indstillinger
- flere
- lignende
- ganske enkelt
- samtidigt
- enkelt
- websted
- Websteder
- snooping
- So
- Software
- solid
- nogle
- Nogen
- noget
- Kilde
- taler
- særligt
- Sport
- spyware
- Starter
- starter
- stjæler
- Stem
- Stadig
- stjålet
- Stands
- opbevaret
- Historie
- ligetil
- kraftigt
- udstopning
- sådan
- tilstrækkeligt
- foreslår
- Understøttet
- SVG
- Systemer
- Tag
- tager
- Opgaver
- Teknologier
- Test
- tests
- deres
- derfor
- Tredje
- tusinder
- Gennem
- Tik Tok
- tid
- tidskrævende
- tips
- Titel
- til
- Tokens
- top
- HELT
- overgang
- gennemsigtig
- Drejning
- under
- enestående
- URL
- us
- brug
- Bruger
- brugere
- udnyttet
- ferie
- Vault
- leverandører
- Vermont
- ofre
- Overtrædelse
- afgørende
- advarsel
- Ur
- måder
- web
- Hjemmeside
- uger
- Kendt
- Hvad
- hvorvidt
- som
- mens
- WHO
- vilje
- inden for
- uden
- ord
- virker
- world
- værd
- ville
- skrivning
- Forkert
- år
- år
- Du
- Din
- dig selv
- zephyrnet