这些发现令人不安的是,当黑客无法直接访问公司的数据时,他们通常会使用后门方法,访问公司或其员工使用的服务来识别漏洞。
斯德哥尔摩(PRWEB)
2022 年 7 月 19 日
Specops软件密码管理和用户身份验证解决方案的领先提供商,今天发布了一项新研究,发现了流行的网络服务中的主要网络安全漏洞,包括 Shopify、Zendesk、Trello 和 Stack Overflow。
在与 COVID-19 大流行、远程工作和民族国家活动相关的网络安全事件浪潮中,密码安全性比以往任何时候都更加重要。 然而,这项新研究表明,一些流行的商业 Web 应用程序未能实施关键的密码和身份验证要求以保护客户免受网络犯罪的侵害。 Specops 的分析发现,密码和身份验证要求不足,可能会使客户容易受到攻击,包括允许用户设置弱密码和违规密码,而这些密码通常很少或根本没有强身份验证。 另一方面,电子邮件营销服务 Mailchimp 被证明是被分析的最安全的服务,它阻止了 98% 的已知泄露密码。
关于每项服务的密码要求的详细调查结果包括:
- Shopify 无法防止任何泄露的密码,其唯一要求是密码至少为 5 个字符。 在检查 1 亿个已知泄露密码列表时,Specops 研究人员发现 99.7% 的密码符合 Shopify 的要求。
- Zendesk 阻止了不到 2% 的密码泄露,密码要求包括密码至少 5 个字符、少于 128 个字符,并且与用户的电子邮件地址不同。
- Trello 阻止了不到 13% 的泄露密码,只要求密码长度至少为 8 个字符。
- Stack Overflow(Specops 分析中的亚军)可防止 46% 的密码泄露,要求密码至少包含 8 个字符,并包含数字和特殊字符。
- Mailchimp 阻止 98% 的已知泄露密码,要求包括最少 8 个字符以及大小写字母、数字和特殊字符的混合。
“这些发现令人不安的是,当黑客无法直接访问公司的数据时,他们经常使用后门方法,访问公司或其员工使用的服务来识别漏洞,”内部 IT 主管 Darren James 说, Specops 软件。 “作为补偿,IT 部门应努力减轻整体密码负担,使用企业密码管理器等工具,并阻止使用弱密码和受损密码。 此外,应强烈鼓励员工尽可能使用多因素身份验证。”
Shopify、Zendesk、Trello 和 Mailchimp 在创建帐户时提供多因素身份验证作为选项,但这不是必需的。 虽然 Mailchimp 和 Stack Overflow 对所分析的服务有最严格的密码要求,但它们都不需要多因素身份验证,也不需要检查用户密码是否与泄露的密码相匹配。
研究方法
该 Specops 分析的数据基于密码要求与 Specops Breached Password Protection 数据库子集的比较,该数据库包含 1 亿个已知受损密码。 该公司还宣布向数据库添加超过 160 亿个被泄露的密码。 这个最新的更新来自它自己的内部攻击监控系统以及通过收集的数百万个泄露密码 哈希暴徒.
要了解有关密码要求相关问题的更多信息,请查看 Specops Software 的 2022年弱密码报告 or CONTACT 今天的Specops。
关于Specops软件
Specops软件 Outpost24 集团公司是密码管理和身份验证解决方案的领先供应商。 Specops 通过阻止弱密码和保护用户身份验证来保护您的业务数据。 凭借与 Active Directory 原生集成的完整解决方案组合,Specops 可确保敏感数据存储在本地并由您控制。 每天都有成千上万的组织使用 Specops 软件来保护业务数据。
Outpost24 小组通过持续的漏洞管理、应用程序安全测试、威胁情报和访问管理——在一个单一的解决方案中开创了网络风险管理的先河。 2,500 多个国家/地区的 40 多家客户信任 Outpost24 的统一解决方案,可以快速、自信地识别漏洞、监控外部威胁并减少攻击面。 Outpost24 通过我们的云平台交付,并由我们的网络安全专家提供强大的自动化支持,使组织能够通过关注重要的网络风险来改善业务成果。 访问 前哨24.com 获取更多信息.
分享社交媒体或电子邮件的文章:
