Tidigare denna månad skickade NortonLifeLock-tjänsten för identitetsskydd online, som ägs av det Arizona-baserade teknikföretaget Gen Digital, en säkerhetsvarning till många av sina kunder.
Varningsbrevet kan ses online, till exempel på webbplatsen för Kansliet för Vermonts åklagare, där det står under rubriken NortonLifeLock – Gen Digital dataintrångsmeddelande till konsumenter.
Brevet börjar med en fruktansvärd hälsning som säger:
Vi skriver för att meddela dig om en incident som involverar din personliga information.
Det fortsätter enligt följande:
[Våra intrångsdetekteringssystem] varnade oss om att en obehörig part troligen har kunskap om e-postadressen och lösenordet du har använt med ditt Norton-konto […] och din Norton Password Manager. Vi rekommenderar att du omedelbart ändrar dina lösenord hos oss och någon annanstans.
Som inledande stycken går, är den här ganska okomplicerad och innehåller okomplicerade om potentiellt tidskrävande råd: någon annan än du känner förmodligen till ditt Norton-kontolösenord; de kanske har kunnat kika in i din lösenordshanterare också; vänligen ändra alla lösenord så snart du kan.
Vad hände här?
Men vad hände egentligen här, och var detta ett brott i konventionell mening?
Trots allt meddelade LastPass, ett annat välkänt namn i lösenordshanteringsspelet, nyligen inte bara att det hade drabbats av ett nätverksintrång, utan också att kunddata, inklusive krypterade lösenord, hade blivit stulen.
I LastPass fall, lyckligtvis, var de stulna lösenorden inte till direkt och omedelbar användning för angriparna, eftersom varje användares lösenordsvalv skyddades av ett huvudlösenord, som inte lagrades av LastPass och därför inte stals samtidigt .
Skurvarna måste fortfarande knäcka dessa huvudlösenord först, en uppgift som kan ta veckor, år, decennier eller till och med längre, för varje användare, beroende på hur klokt dessa lösenord hade valts.
Dåliga val som t.ex 123456
och iloveyou
var förmodligen mullrade inom de första timmarna efter sprickbildning, men mindre förutsägbara kombinationer som t.ex DaDafD$&RaDogS
or tVqFHAAPTjTUmOax
kommer nästan säkert att hålla ut mycket längre än det skulle ta att ändra lösenorden i ditt valv.
Men om LifeLock bara drabbades av ett intrång och företaget varnar för att någon annan redan kände till vissa användares kontolösenord, och kanske också huvudlösenordet för alla deras andra lösenord...
...är inte det mycket värre?
Har dessa lösenord redan knäckts på något sätt?
En annan sorts intrång
Den goda nyheten är att det här fallet verkar vara en helt annan typ av "överträdelse", förmodligen orsakad av den riskabla metoden att använda samma lösenord för flera olika onlinetjänster för att göra inloggningen på dina vanliga webbplatser lite snabbare och lättare.
Omedelbart efter LifeLocks tidiga råd att gå och ändra dina lösenord, föreslår företaget att:
[B]från och med 2022-12-01, hade en obehörig tredje part använt en lista med användarnamn och lösenord som erhållits från en annan källa, som den mörka webben, för att försöka logga in på Nortons kundkonton. Våra egna system kompromissades inte. Vi är dock övertygade om att en obehörig tredje part känner till och har använt ditt användarnamn och lösenord för ditt konto.
Problemet med att använda samma lösenord på flera olika konton är uppenbart – om något av dina konton äventyras, så är alla dina konton lika bra som även komprometterade, eftersom det stulna lösenordet fungerar som en skelettnyckel till de andra inblandade tjänsterna .
Behörighetsfyllning förklaras
Faktum är att processen att testa om ett stulet lösenord fungerar på flera konton är så populärt bland cyberskurkar (och är så lätt automatiserat) att det till och med har ett speciellt namn: referensstoppning.
Om en brottsling online gissar, köper på den mörka webben, stjäl eller nätfiskar ett lösenord för ett konto som du använder, till och med något så lågt som din lokala nyhetssajt eller din sportklubb, kommer de nästan omedelbart att prova samma lösenord på andra troliga konton i ditt namn.
Enkelt uttryckt tar angriparna ditt användarnamn, kombinerar det med lösenordet de redan känner till, och stuff de Referenser in på inloggningssidorna för så många populära tjänster som de kan tänka sig.
Många tjänster nuförtiden gillar att använda din e-postadress som ett användarnamn, vilket gör denna process ännu mer förutsägbar för Bad Guys.
Förresten, att använda ett enda, svårt att gissa lösenord "stam" och lägga till ändringar för olika konton hjälper inte heller mycket.
Det är där du försöker skapa falsk "komplexitet" genom att börja med en gemensam komponent som is komplicerade, som t.ex Xo3LCZ6DD4+aY
, och sedan lägga till okomplicerade modifierare som t.ex -fb
för Facebook, -tw
för Twitter och -tt
för Tik Tok.
Lösenord som varierar med till och med ett enda tecken kommer att sluta med en helt annan kodad lösenordshash, så att stulna databaser med lösenordshashar inte kommer att berätta något om hur lika olika lösenordsval är...
…men autentiseringsattacker används när angriparna känner redan till klartexten för ditt lösenord, så det är viktigt att undvika att förvandla varje lösenord till en praktisk ledtråd för alla andra.
Vanliga sätt som okrypterade lösenord hamnar i kriminella händer är:
- Nätfiskeattacker, där du av misstag skriver in rätt lösenord på fel sida, så det skickas direkt till brottslingarna istället för till tjänsten där du egentligen tänkte logga in.
- Keylogger spionprogram, skadlig programvara som medvetet registrerar de råa tangenttryckningarna du skriver i din webbläsare eller i andra appar på din bärbara dator eller telefon.
- Dålig loggningshygien på serversidan, där brottslingar som bryter sig in i en onlinetjänst upptäcker att företaget av misstag har loggat klartextlösenord till disk istället för att bara spara dem tillfälligt i minnet.
- RAM-skrapa skadlig kod, som körs på komprometterade servrar för att se upp för troliga datamönster som visas tillfälligt i minnet, såsom kreditkortsuppgifter, ID-nummer och lösenord.
Skyller du inte på offren?
Även om det ser ut som om LifeLock självt inte blev intrång, i den konventionella meningen att cyberbrottslingar bryter sig in i företagets egna nätverk och snokar data från insidan, så att säga...
…vi har sett en del kritik av hur den här händelsen hanterades.
För att vara rättvis kan cybersäkerhetsleverantörer inte alltid hindra sina kunder från att "göra fel sak" (i Sophos-produkter, till exempel, gör vi vårt bästa för att varna dig på skärmen, ljust och djärvt, om du väljer konfigurationsinställningar som är riskablare än vi rekommenderar, men vi kan inte tvinga dig att acceptera vårt råd).
Noterbart är att en onlinetjänst inte lätt kan hindra dig från att ställa in exakt samma lösenord på andra webbplatser – inte minst för att den skulle behöva samverka med de andra webbplatserna för att göra det, eller för att genomföra egna tester för att fylla på autentiseringsuppgifter, och därmed bryta mot hur äkta ditt lösenord är.
Ändå har vissa kritiker föreslagit att LifeLock kunde ha upptäckt dessa massuppfyllande lösenordsattacker snabbare än det gjorde, kanske genom att upptäcka det ovanliga mönstret av inloggningsförsök, förmodligen inklusive många som misslyckades eftersom åtminstone vissa komprometterade användare inte återanvände lösenord, eller för att databasen med stulna lösenord var oprecis eller inaktuell.
Dessa kritiker noterar att det gick 12 dagar mellan att de falska inloggningsförsöken startade och att företaget upptäckte anomalien (2022-12-01 till 2022-12-12), och ytterligare 10 dagar från det att det först upptäckte problemet och att det kom på att problemet var nästan säkert på grund av intrång i data som inhämtats från någon annan källa än företagets egna nätverk.
Andra har undrat varför företaget väntade till nyår 2023 (2022-12-12 till 2023-01-09) med att skicka ut sitt meddelande om "intrång" till berörda användare, om det var medvetet om massförsök med lösenordsstoppning före jul 2022.
Vi kommer inte att försöka gissa om företaget kunde ha reagerat snabbare, men det är värt att komma ihåg – ifall detta skulle hända dig – att det kan vara en mastodont att fastställa alla framträdande fakta efter att du fått påståenden om "ett intrång" företag.
Irriterande och kanske ironiskt nog att få reda på att man blivit direkt kränkt av sk aktiva motståndare är ofta deprimerande lätt.
Alla som har sett hundratals datorer samtidigt visa en ransomware-utpressningssedel som kräver tusentals eller miljoner dollar i kryptomynt, kommer tyvärr att intyga det.
Men att ta reda på vilka cyberskurkar gjorde definitivt inte till ditt nätverk, vilket i huvudsak visar sig vara negativt, är ofta en tidskrävande övning, åtminstone om du vill göra det vetenskapligt och med tillräcklig noggrannhet för att övertyga dig själv, dina kunder och tillsynsmyndigheterna.
Vad göra?
När det gäller skuldbeläggning av offer är det ändå viktigt att notera att, så vitt vi vet, finns det ingenting som LifeLock, eller någon annan tjänst där lösenord återanvändes, kan göra nu, på egen hand, för att åtgärda den underylande orsaken till det här problemet.
Med andra ord, om skurkar kommer in på dina konton på anständigt säkra tjänster P, Q och R helt enkelt för att de upptäckte att du använde samma lösenord på den inte så säkra webbplatsen S, kan de säkrare webbplatserna inte hindra dig från att ta samma typ av risk i framtiden.
Så våra omedelbara tips är:
- Om du har för vana att återanvända lösenord, gör inte det längre! Denna incident är bara en av många i historien som uppmärksammar farorna. Kom ihåg att den här varningen om att använda olika lösenord för varje konto gäller för alla, inte bara för LifeLock-kunder.
- Använd inte relaterade lösenord på olika webbplatser. En komplex lösenordstam kombinerad med ett enkelt suffix som är unikt för varje webbplats kommer, bokstavligen talat, att ge dig ett annat lösenord på varje webbplats. Men detta beteende lämnar ändå ett uppenbart mönster som skurkar sannolikt kommer att ta reda på, även från ett enda komprometterat lösenordsexempel. Detta "trick" ger dig bara en falsk känsla av säkerhet.
- Om du fått ett meddelande från LifeLock, följ råden i brevet. Det är möjligt att vissa användare kan få aviseringar på grund av ovanliga inloggningar som ändå var legitima (t.ex. när de var på semester), men läs igenom det noggrant ändå.
- Överväg att aktivera 2FA för alla konton du kan. LifeLock själv rekommenderar 2FA (tvåfaktorsautentisering) för Norton-konton och för alla konton där tvåfaktorsinloggningar stöds. Vi håller med, eftersom stulna lösenord i sig är mycket mindre användbara för angripare om du också har 2FA i vägen. Gör detta oavsett om du är LifeLock-kund eller inte.
Vi kan ändå hamna i en digital värld utan några lösenord alls – många onlinetjänster försöker redan gå i den riktningen och tittar på att uteslutande byta till andra sätt att kontrollera din onlineidentitet, som att använda speciella hårdvarutokens eller ta biometriska mätningar istället.
Men lösenord har funnits med oss i mer än ett halvt sekel redan, så vi misstänker att de kommer att finnas med oss i många år ännu, för några eller många, om inte längre alla, av våra onlinekonton.
Medan vi fortfarande har fastnat med lösenord, låt oss anstränga oss för att använda dem på ett sätt som ger så lite hjälp till cyberbrottslingar som möjligt.
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- Platoblockchain. Web3 Metaverse Intelligence. Kunskap förstärkt. Tillgång här.
- Källa: https://nakedsecurity.sophos.com/2023/01/17/serious-security-unravelling-the-nortonlifelock-hacked-passwords-story/
- 1
- 10
- 2022
- 2023
- 2FA
- a
- Able
- Om Oss
- Absolut
- Acceptera
- Konto
- konton
- noggrannhet
- förvärvade
- tvärs
- handlingar
- faktiskt
- adress
- rådgivning
- Efter
- Alla
- redan
- alltid
- och
- meddelade
- Annan
- visas
- appar
- arkiv
- runt
- Attacker
- försökte
- Försök
- uppmärksamhet
- advokat
- Autentisering
- Författaren
- bil
- Automatiserad
- bakgrund-bild
- Badrum
- därför att
- innan
- tro
- BÄST
- mellan
- biometriska
- Bit
- Blackmail
- skyller
- gränsen
- Botten
- brott
- Ha sönder
- Breaking
- webbläsare
- buys
- kortet
- försiktigt
- Vid
- Orsak
- orsakas
- Centrum
- Århundrade
- säkerligen
- byta
- karaktär
- kontroll
- val
- Välja
- valda
- Jul
- hävdar
- klubb
- färg
- kombinationer
- kombinera
- kombinerad
- Gemensam
- företag
- Företagets
- komplex
- komplicerad
- komponent
- Äventyras
- datorer
- Genomför
- konfiguration
- innehåller
- fortsätter
- konventionell
- övertyga
- kunde
- täcka
- spricka
- skapa
- CREDENTIAL
- kredit
- kreditkort
- Kriminell
- brottslingar
- kritik
- Kritiker
- kund
- konsument data
- Kunder
- nätbrottslingar
- Cybersäkerhet
- faror
- mörkt
- mörk Web
- datum
- dataintrång
- Databas
- databaser
- Dagar
- årtionden
- krävande
- beroende
- detaljer
- Detektering
- bestämd
- bestämmande
- DID
- olika
- digital
- digital värld
- rikta
- riktning
- direkt
- Upptäck
- upptäckt
- Visa
- inte
- dollar
- inte
- ner
- varje
- Tidig
- lättare
- lätt
- ansträngning
- antingen
- annorstädes
- krypterad
- väsentligen
- Även
- NÅGONSIN
- alla
- exakt
- exempel
- uteslutande
- Motionera
- Misslyckades
- verkligt
- fejka
- Höst
- få
- Figur
- finna
- Förnamn
- Fast
- följer
- följer
- kraft
- Lyckligtvis
- från
- ytterligare
- framtida
- lek
- Gen
- skaffa sig
- Ge
- ger
- Go
- kommer
- god
- Hälften
- händer
- praktisk
- hänt
- händer
- hårdvara
- hash
- höjd
- hjälpa
- här.
- historia
- hålla
- ÖPPETTIDER
- hovring
- Hur ser din drömresa ut
- Men
- HTTPS
- Hundratals
- Identitet
- omedelbar
- blir omedelbart
- in
- incident
- innefattar
- Inklusive
- informationen
- istället
- involverade
- Ironiskt
- fråga
- IT
- sig
- bara en
- hålla
- Nyckel
- Vet
- kunskap
- laptop
- Lastpass
- brev
- Nivå
- sannolikt
- Lista
- liten
- lokal
- längre
- du letar
- UTSEENDE
- göra
- GÖR
- malware
- ledning
- chef
- många
- Marginal
- Master
- max-bredd
- mätningar
- Minne
- kanske
- miljoner
- modifieringar
- Månad
- mer
- flytta
- multipel
- namn
- Behöver
- negativ
- nät
- nätverk
- Icke desto mindre
- Nya
- nytt år
- nyheter
- normala
- anmälan
- anmälningar
- nummer
- erhållna
- Uppenbara
- ONE
- nätet
- öppning
- beställa
- Övriga
- Övrigt
- egen
- ägd
- parti
- Lösenord
- Lösenordshantering
- Password Manager
- lösenord
- Mönster
- mönster
- paul
- kanske
- personlig
- telefon
- plato
- Platon Data Intelligence
- PlatonData
- snälla du
- Populära
- placera
- möjlig
- inlägg
- potentiellt
- praktiken
- Förutsägbar
- pretty
- förhindra
- förmodligen
- Problem
- process
- Produkter
- skyddad
- skydd
- sätta
- snabbare
- snabbt
- Ransomware
- Raw
- Läsa
- motta
- mottagna
- nyligen
- rekommenderar
- rekommenderar
- register
- Tillsynsmyndigheter
- relaterad
- ihåg
- minnas
- Risk
- Riskabel
- Samma
- säkerhet
- verkar
- känsla
- allvarlig
- Servrar
- service
- Tjänster
- inställning
- inställningar
- flera
- liknande
- helt enkelt
- samtidigt
- enda
- webbplats
- Områden
- snokande
- So
- Mjukvara
- fast
- några
- någon
- något
- Källa
- tala
- speciell
- Sporter
- spionprogram
- Starta
- startar
- stjäl
- stammen
- Fortfarande
- stulna
- Sluta
- lagras
- Historia
- okomplicerad
- starkt
- fyllning
- sådana
- tillräcklig
- Föreslår
- Som stöds
- SVG
- System
- Ta
- tar
- uppgift
- Teknologi
- Testning
- tester
- Smakämnen
- deras
- därför
- Tredje
- tusentals
- Genom
- Tick tack
- tid
- tidskrävande
- Tips
- Titel
- till
- tokens
- topp
- TOTALT
- övergång
- transparent
- Vrida
- under
- unika
- URL
- us
- användning
- Användare
- användare
- utnyttjas
- semester
- Valv
- försäljare
- Vermont
- offer
- kränker
- avgörande
- varning
- Kolla på
- sätt
- webb
- Webbplats
- veckor
- ALLBEKANT
- Vad
- om
- som
- medan
- VEM
- kommer
- inom
- utan
- ord
- fungerar
- världen
- värt
- skulle
- skrivning
- Fel
- år
- år
- Om er
- Din
- själv
- zephyrnet