本月早些时候,总部位于亚利桑那州的技术公司 Gen Digital 拥有的 NortonLifeLock 在线身份保护服务向其许多客户发出了安全警告。
可以在线查看警告信,例如在 佛蒙特州总检察长办公室,它出现在标题下方 NortonLifeLock – 向消费者发出的 Gen Digital 数据泄露通知.
这封信以一个听起来令人毛骨悚然的称呼开头:
我们写信通知您涉及您的个人信息的事件。
它继续如下:
[我们的入侵检测系统] 提醒我们,未经授权的一方可能知道您使用诺顿帐户 […] 和诺顿密码管理器使用的电子邮件和密码。 我们建议您立即通过我们和其他地方更改您的密码。
从开头的段落来看,这一段非常简单,并且包含简单但可能很耗时的建议:您以外的其他人可能知道您的诺顿帐户密码; 他们也可能已经能够窥视您的密码管理器; 请尽快更改所有密码。
这里发生了什么?
但这里究竟发生了什么,这是否是传统意义上的突破口?
毕竟,密码管理游戏中的另一个知名品牌 LastPass 最近宣布,它不仅遭受了网络入侵,而且客户数据, 包括加密密码, 被盗了。
在 LastPass 的案例中,幸运的是,被盗的密码并没有被攻击者直接和立即使用,因为每个用户的密码库都受到主密码的保护,而主密码没有被 LastPass 存储,因此没有同时被盗.
骗子仍然需要首先破解这些主密码,对于每个用户来说,这项任务可能需要数周、数年、数十年甚至更长时间,具体取决于选择这些密码的明智程度。
错误的选择,例如 123456
和 iloveyou
很可能在破解的最初几个小时内就被轰隆作响,但不太可预测的组合如 DaDafD$&RaDogS
or tVqFHAAPTjTUmOax
几乎肯定会比更改保管库中的密码所需的时间长得多。
但是,如果 LifeLock 刚刚遭到破坏,并且该公司警告说其他人已经知道了一些用户的帐户密码,也许还有所有其他密码的主密码……
……那不是更糟吗?
这些密码是否已经以某种方式被破解了?
一种不同的违规行为
好消息是,这种情况似乎是一种完全不同的“违规行为”,可能是由于对几种不同的在线服务使用相同的密码以更快地登录常用网站的冒险做法造成的更容易。
在 LifeLock 提出更改密码的早期建议后,该公司立即建议:
[B]从 2022 年 12 月 01 日左右开始,未经授权的第三方使用从其他来源(例如暗网)获得的用户名和密码列表,试图登录诺顿客户帐户。 我们自己的系统没有受到损害。 但是,我们坚信未经授权的第三方知道并使用了您的帐户用户名和密码。
在多个不同账户上使用相同密码的问题是显而易见的——如果您的任何一个账户被盗用,那么您的所有账户也同样被盗用,因为一个被盗的密码就像是其他相关服务的万能钥匙.
凭据填充说明
事实上,测试一个被盗密码是否适用于多个帐户的过程在网络骗子中非常流行(并且很容易实现自动化),甚至有一个特殊的名称: 凭证填充.
如果在线犯罪分子猜测、在暗网上购买、窃取或钓鱼您使用的任何帐户的密码,即使是像您当地的新闻网站或体育俱乐部这样低级的帐户,他们几乎会立即尝试使用相同的密码您名下的其他可能帐户。
简而言之,攻击者获取您的用户名,将其与他们已知的密码结合起来,然后 东西 那些 证书 进入他们能想到的尽可能多的流行服务的登录页面。
如今,许多服务都喜欢使用您的电子邮件地址作为用户名,这使得坏人更容易预测此过程。
顺便说一句,使用单一的、难以猜测的密码“stem”并为不同的帐户添加修改也没有多大帮助。
这就是您尝试通过从一个通用组件开始来创建虚假“复杂性”的地方 is 复杂的,比如 Xo3LCZ6DD4+aY
,然后附加简单的修饰符,例如 -fb
对于Facebook, -tw
对于Twitter和 -tt
对于抖音。
即使是单个字符不同的密码最终也会得到完全不同的加扰密码哈希,因此被盗的密码哈希数据库不会告诉您不同密码选择有多么相似……
…但是当 攻击者已经知道你密码的明文,因此避免将每个密码变成对所有其他密码的方便提示至关重要。
未加密密码落入犯罪分子手中的常见方式包括:
- 网络钓鱼攻击, 您无意中将正确的密码输入了错误的站点,因此它会直接发送给犯罪分子,而不是您实际打算登录的服务。
- 键盘记录间谍软件, 故意记录您在浏览器或笔记本电脑或手机上的其他应用程序中键入的原始击键的恶意软件。
- 糟糕的服务器端日志记录卫生, 入侵在线服务的犯罪分子发现该公司不小心将明文密码记录到磁盘,而不是将它们暂时保存在内存中。
- RAM 抓取恶意软件, 它在受感染的服务器上运行,以监视内存中临时出现的可能数据模式,例如信用卡详细信息、身份证号码和密码。
你不是在责怪受害者吗?
尽管看起来 LifeLock 本身并没有被攻破,但在网络犯罪分子闯入公司自己的网络并从内部窥探数据的传统意义上,就像……
......我们已经看到一些对如何处理此事件的批评。
公平地说,网络安全供应商不能总是阻止他们的客户“做错事”(例如,在 Sophos 产品中,如果您选择的配置设置是风险比我们建议的要高,但我们不能强迫您接受我们的建议)。
值得注意的是,在线服务无法轻易阻止您在其他网站上设置完全相同的密码——尤其是因为它需要与其他网站串通才能这样做,或者自己进行撞库测试,从而违反您密码的安全性。
尽管如此,一些评论家认为 LifeLock 可以比它更快地发现这些批量密码填充攻击,也许是通过检测不寻常的登录尝试模式,可能包括许多失败的尝试,因为至少有一些受感染的用户没有重新使用密码,或者因为被盗密码的数据库不精确或已过时。
这些批评者指出,从开始进行虚假登录尝试到公司发现异常之间已经过去了 12 天(2022-12-01 到 2022-12-12),并且从第一次注意到问题到发现问题是又过了 10 天几乎可以肯定的是,泄露的数据是从公司自己的网络以外的其他来源获取的。
其他人想知道为什么该公司要等到 2023 年新年(2022-12-12 到 2023-01-09)才向受影响的用户发送“泄露”通知,如果它在 2022 年圣诞节之前就知道批量密码填充尝试。
我们不会试图猜测公司是否可以更快地做出反应,但值得记住的是——以防这种情况发生在你身上——在你收到关于“违规”的索赔后确定所有重要事实可能是一个巨大的过程承诺。
恼人的是,也许是讽刺的是,发现你已经被所谓的直接破坏了 活跃的对手 往往容易得令人沮丧。
任何看到数百台计算机同时显示要求数千或数百万美元加密币的勒索软件勒索字条的人都会遗憾地证明这一点。
但是弄清楚什么是网络骗子 绝对没有做 对您的网络进行测试,这实际上证明是负面的,通常是一项耗时的工作,至少如果您想科学地进行,并且具有足够的准确性来说服您自己、您的客户和监管机构。
怎么办呢?
至于责备受害者,尽管如此,重要的是要注意,据我们所知,LifeLock 或任何其他重复使用密码的服务现在无法自行解决问题的根本原因这个问题。
换句话说,如果骗子只是因为发现您在不太安全的站点 S 上使用了相同的密码而进入您在相当安全的服务 P、Q 和 R 上的帐户,那么那些更安全的站点无法阻止您采取未来同样的风险。
因此,我们的即时提示是:
- 如果您有重复使用密码的习惯,请不要再这样做了! 这起事件只是历史上许多引起人们注意所涉及危险的事件之一。 请记住,这条关于为每个帐户使用不同密码的警告适用于所有人,而不仅仅是 LifeLock 客户。
- 不要在不同的网站上使用相关的密码。 复杂的密码主干与每个站点独有的易于记忆的后缀相结合,从字面上讲,将为您在每个站点上提供不同的密码。 但是这种行为仍然留下了骗子可能会发现的明显模式,即使是从单个泄露的密码样本中也是如此。 这种“把戏”只会给你一种虚假的安全感。
- 如果您收到 LifeLock 的通知,请遵循信中的建议. 一些用户可能会因为不正常的登录而收到通知,这些登录仍然是合法的(例如,当他们在度假时),但无论如何都要仔细阅读。
- 考虑为任何可能的帐户启用 2FA。 LifeLock 本身建议对诺顿帐户以及支持双因素登录的任何帐户使用 2FA(双因素身份验证)。 我们同意,因为如果你也有 2FA,那么攻击者自己窃取的密码就很少用了。 无论您是否是 LifeLock 客户,都请执行此操作。
我们可能最终会进入一个完全没有任何密码的数字世界——许多在线服务已经在尝试朝这个方向发展,考虑专门转向其他方式来检查您的在线身份,例如使用特殊的硬件令牌或进行生物识别测量反而。
但是密码已经存在了半个多世纪,所以我们怀疑它们还会存在很多年,用于我们的部分或许多(如果不是全部)在线帐户。
虽然我们仍然受困于密码,但让我们下定决心以尽可能少地帮助网络犯罪分子的方式使用它们。
- SEO 支持的内容和 PR 分发。 今天得到放大。
- 柏拉图区块链。 Web3 元宇宙智能。 知识放大。 访问这里。
- Sumber: https://nakedsecurity.sophos.com/2023/01/17/serious-security-unravelling-the-nortonlifelock-hacked-passwords-story/
- 1
- 10
- 2022
- 2023
- 2FA
- a
- Able
- 关于
- 绝对
- 接受
- 账号管理
- 账户
- 后天
- 横过
- 行为
- 通
- 地址
- 忠告
- 后
- 所有类型
- 已经
- 时刻
- 和
- 公布
- 另一个
- 出现
- 应用
- 档案
- 围绕
- 攻击
- 尝试
- 尝试
- 关注我们
- 律师
- 认证
- 作者
- 汽车
- 自动化
- 背景图像
- 坏
- 因为
- before
- 相信
- 最佳
- 之间
- 生物识别
- 位
- 敲诈
- 指责
- 边界
- 半身裙/裤
- 违反
- 午休
- 破坏
- 浏览器
- 收购
- 卡
- 小心
- 案件
- 原因
- 造成
- Center
- 世纪
- 当然
- 更改
- 字符
- 检查
- 选择
- 选择
- 圣诞
- 索赔
- 俱乐部
- 颜色
- 组合
- 结合
- 结合
- 相当常见
- 公司
- 公司的
- 复杂
- 复杂
- 元件
- 妥协
- 电脑
- 进行
- 配置
- 包含
- 继续
- 常规
- 说服
- 可以
- 外壳
- 裂纹
- 创建信息图
- 凭据
- 信用
- 信用卡
- 刑事
- 罪犯
- 批评
- 批评
- 顾客
- 客户数据
- 合作伙伴
- 网络罪犯
- 网络安全
- 危险
- 黑暗
- 黑暗的网络
- data
- 数据泄露
- 数据库
- 数据库
- 一年中的
- 几十年
- 严格
- 根据
- 详情
- 检测
- 决心
- 确定
- DID
- 不同
- 数字
- 数字世界
- 直接
- 方向
- 直接
- 通过各种方式找到
- 发现
- 屏 显:
- 不会
- 美元
- 别
- 向下
- 每
- 早
- 更容易
- 容易
- 努力
- 或
- 别处
- 邮箱地址
- 加密
- 本质上
- 甚至
- EVER
- 每个人
- 究竟
- 例子
- 只
- 锻炼
- 失败
- 公平
- 假
- 秋季
- 少数
- 数字
- 寻找
- (名字)
- 固定
- 遵循
- 如下
- 力
- 幸好
- 止
- 进一步
- 未来
- 游戏
- 根
- 得到
- 给
- 给
- Go
- 去
- 非常好
- 半
- 手
- 便利
- 发生
- 发生
- 硬件
- 哈希
- 高度
- 帮助
- 相关信息
- 历史
- 举行
- HOURS
- 徘徊
- 创新中心
- 但是
- HTTPS
- 数百
- 身分
- 即时
- 立即
- in
- 事件
- 包括
- 包含
- 信息
- 代替
- 参与
- 讽刺地
- 问题
- IT
- 本身
- 只有一个
- 保持
- 键
- 知道
- 知识
- 笔记本电脑
- LastPass的
- 邮件
- Level
- 容易
- 清单
- 小
- 本地
- 不再
- 寻找
- LOOKS
- 使
- 制作
- 恶意软件
- 颠覆性技术
- 经理
- 许多
- 余量
- 主
- 最大宽度
- 测量
- 内存
- 可能
- 百万
- 修改
- 月
- 更多
- 移动
- 多
- 姓名
- 需求
- 负
- 网络
- 网络
- 虽然
- 全新
- 新年
- 消息
- 正常
- 通知
- 通知
- 数字
- 获得
- 明显
- 一
- 在线
- 开放
- 秩序
- 其他名称
- 其它
- 己
- 拥有
- 党
- 密码
- 密码管理
- 密码管理器
- 密码
- 模式
- 模式
- 保罗
- 也许
- 个人
- 电话
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 请
- 热门
- 位置
- 可能
- 帖子
- 可能
- 在练习上
- 可预见
- 漂亮
- 防止
- 大概
- 市场问题
- 过程
- 核心产品
- 保护
- 保护
- 放
- 更快
- 很快
- 勒索
- 原
- 阅读
- 接收
- 收到
- 最近
- 建议
- 建议
- 记录
- 稳压器
- 有关
- 纪念
- 记住
- 风险
- 冒险的
- 同
- 保安
- 似乎
- 感
- 严重
- 服务器
- 服务
- 特色服务
- 设置
- 设置
- 几个
- 类似
- 只是
- 同时
- 单
- 网站
- 网站
- 窥探
- So
- 软件
- 固体
- 一些
- 有人
- 东西
- 来源
- 发言
- 特别
- 运动
- 间谍
- 开始
- 启动
- 抢断
- 干
- 仍
- 被盗
- Stop 停止
- 存储
- 故事
- 简单的
- 非常
- 馅
- 这样
- 足够
- 提示
- 支持
- SVG的
- 产品
- 采取
- 服用
- 任务
- 专业技术
- 测试
- 测试
- 其
- 因此
- 第三
- 数千
- 通过
- Tik Tok
- 次
- 耗时的
- 秘诀
- 标题
- 至
- 令牌
- 最佳
- 完全
- 过渡
- 透明
- 谈到
- 下
- 独特
- 网址
- us
- 使用
- 用户
- 用户
- 利用
- 假期
- 拱顶
- 厂商
- 佛蒙特
- 受害者
- 违反
- 重要
- 警告
- 了解
- 方法
- 卷筒纸
- 您的网站
- 周
- 知名
- 什么是
- 是否
- 这
- 而
- WHO
- 将
- 中
- 也完全不需要
- 话
- 合作
- 世界
- 价值
- 将
- 写作
- 错误
- 年
- 年
- 完全
- 您一站式解决方案
- 你自己
- 和风网