บอตเน็ตกวาดล้างรหัสผ่านสองล้านตัวรหัสผ่านส่วนใหญ่ไม่ดี

เมื่อต้นสัปดาห์ที่ผ่านมา Trustwave เปิดตัวการศึกษาเกี่ยวกับบ็อตเน็ตขนาดใหญ่ซึ่งเป็นหนึ่งในหลาย ๆ การจัดการที่ใช้ตัวควบคุม botnet ของ Pony นักวิจัยได้รับการควบคุมบ็อตเน็ตแทนที่เซิร์ฟเวอร์คำสั่งและการควบคุม เมื่ออยู่ในการควบคุมพวกเขาค้นพบว่าบอตเน็ตมีการจัดการเพื่อขโมยรหัสผ่านประมาณสองล้านรหัสผ่านจากคอมพิวเตอร์ที่ติดเชื้อ พวกเขาค้นพบบางสิ่งที่พวกเราส่วนใหญ่รู้อยู่แล้วว่าผู้คนรหัสผ่านแย่มาก

ไปที่รหัสผ่าน

บัญชีที่ถูกบุกรุกสองล้านบัญชีถูกกระจายระหว่างข้อมูลรับรองเว็บไซต์ 1.58 ล้านบัญชีการเข้าสู่ระบบอีเมล์ 320, 000 บัญชีบัญชี FTP 41, 000 บัญชีข้อมูลประจำตัวเดสก์ท็อประยะไกล 3, 000 บัญชีและหนังสือรับรองบัญชี Secure Shell 3, 000 รายการเป็นเรื่องสำคัญ แน่นอนความกังวลคือจำนวนผู้ใช้ที่ได้รับผลกระทบได้เลือกรหัสผ่านเดียวกันสำหรับเว็บไซต์อื่น ๆ

นักวิจัยพบข้อมูลประจำตัว Facebook 318, 121 ซึ่งคิดเป็น 57 เปอร์เซ็นต์ของทั้งหมด Yahoo นั้นมีบัญชีต่อไปประมาณ 60, 000 บัญชีตามด้วยบัญชี Twitter 21, 708 บัญชีรหัสผ่าน LinkedIn 8, 490 และ 7, 978 บัญชีสำหรับผู้ให้บริการบัญชีเงินเดือน ADP อันสุดท้ายนี้ผิดปกติเล็กน้อย แต่ก็ค่อนข้างเสียหายเนื่องจากให้ผู้โจมตีเข้าถึงข้อมูลส่วนบุคคลของผู้ที่ตกเป็นเหยื่อ

สิ่งที่ทำให้ฉันกลัวมากที่สุดคือข้อมูลประจำตัว Google.com 16, 095 และข้อมูลบัญชี Google 54, 437 สิ่งเหล่านี้อาจทำให้ผู้โจมตีสามารถเข้าถึง Gmail และจากนั้นให้รีเซ็ตรหัสผ่านอื่นโดยใช้คุณสมบัติ "ลืมรหัสผ่านของฉัน" บนเว็บไซต์ นอกจากนี้ยังสามารถให้ผู้โจมตีสามารถเข้าถึงไฟล์ส่วนตัวใน Google Drive หรือข้อมูลการชำระเงินใน Google Wallet

ทั้งหมดนี้ไม่ได้หมายความว่ามีการโจมตีครั้งใหญ่ต่อเว็บไซต์เหล่านี้ มีแนวโน้มว่าอาชญากรจะจัดการที่อยู่เหล่านี้ผ่านวิธีการหลายอย่างเช่นฟิชชิ่งและคีย์ล็อกเกอร์และเก็บไว้ในเซิร์ฟเวอร์เหล่านี้ พวกเขาสามารถขายให้กับผู้ซื้อรายอื่นหรือบันทึกไว้เพื่อใช้ในอนาคต

รหัสผ่านแย่มากอีกครั้ง

Trustwave แบ่งรหัสผ่านเป็นหมวดหมู่: หกเปอร์เซ็นต์เป็น "แย่มาก" ในขณะที่ 28 เปอร์เซ็นต์เป็น "ไม่ดี" การรวมกัน 22 เปอร์เซ็นต์เป็น "ดี" หรือ "ยอดเยี่ยม" และ 44 เปอร์เซ็นต์เป็น "ปานกลาง" ในบรรดาที่เลวร้ายที่สุดคือ 123456, 123456789, 1234 และ "รหัสผ่าน"

รหัสผ่านส่วนใหญ่ไม่ได้ผสมตัวอักษรและตัวเลข Trustwave กล่าวว่ารหัสผ่านส่วนใหญ่เป็นตัวอักษรทั้งหมด (ตัวพิมพ์เล็ก) หรือตัวเลขทั้งหมดตามด้วยรหัสผ่านที่มีสองประเภท (เช่นตัวอักษรตัวพิมพ์ใหญ่และตัวพิมพ์เล็กหรือตัวอักษรพิมพ์เล็กกับตัวเลขเป็นต้น) Trustwave กล่าว

การค้นพบที่ดีอย่างหนึ่งคือรหัสผ่านเกือบครึ่ง - 46 เปอร์เซ็นต์ - มีรหัสผ่านยาวตั้งแต่ 10 ตัวอักษรขึ้นไป Trustwave กล่าวว่ารหัสผ่านส่วนใหญ่อยู่ในช่วงหกถึงเก้าตัวอักษร

เป้าหมายระดับสูง

เท่าที่ Lucas Zaichkowsky สถาปนิกด้านข้อมูลองค์กรของ AccessData เป็นห่วงความกังวลที่ใหญ่กว่าคืออาชญากรจะมองหาบัญชีที่เป็นของคน "ในองค์กรเป้าหมายที่มีมูลค่าสูง" หากปรากฎว่าคนเหล่านี้ใช้รหัสผ่านเดียวกันกับเว็บไซต์เหล่านี้รวมถึงทรัพยากรที่เกี่ยวข้องกับการทำงานผู้โจมตีสามารถบุกเข้ามาในเครือข่ายขององค์กรผ่าน VPN หรืออีเมลผ่านไคลเอนต์บนเว็บ Zaichkowksy กล่าว

“ พวกเขาสามารถขายบัญชีที่มีค่าให้กับผู้อื่นในตลาดมืดซึ่งจ่ายเงินจำนวนมากเพื่อการรับรองที่ถูกต้องซึ่งนำพวกเขาไปสู่องค์กรเป้าหมายที่ทำกำไรได้” Zaichkowksy กล่าว

ผู้คนใช้ที่อยู่อีเมลที่ทำงานเพื่อทำกิจกรรมส่วนตัวเช่นลงทะเบียนบัญชีบน Facebook Cesar Cerrudo, CTO ของ IOActive พบบุคลากรทางทหารหลายคนรวมถึงนายพลและพลโท ("นายพลในอนาคต" Cerrudo เรียกพวกเขา) ได้ใช้ที่อยู่อีเมล. mil ของพวกเขาเพื่อสร้างบัญชีบนเว็บไซต์ท่องเที่ยว Orbitz, บริษัท จีพีเอส garmin.com, Facebook Twitter และ Skype เพื่อชื่อไม่กี่ สิ่งนี้ทำให้โอกาสในการใช้รหัสผ่านมีปัญหามากขึ้นเนื่องจากบุคคลเหล่านี้มีค่ามากเป็นเป้าหมายและสามารถเข้าถึงข้อมูลที่ละเอียดอ่อนจำนวนมากได้

อย่างไรก็ตามผู้อำนวยการฝ่ายวิศวกรรมของ Qualys Mike Shema กล่าวว่าเขาเห็นความหวังในอนาคต "เมื่อมองไปที่ปี 2014 การรับรองความถูกต้องด้วยสองปัจจัยจะยังคงได้รับแรงผลักดันต่อไปทั่วทั้งองค์กรและเทคโนโลยีผู้บริโภคและแอพจำนวนมากจะเริ่มนำมาใช้สองปัจจัยเช่นกันเราจะเห็นการเพิ่มขึ้นของ " การรับรองความถูกต้องด้วยสองปัจจัยต้องใช้ขั้นตอนการรับรองความถูกต้องที่สองเช่นรหัสพิเศษที่ส่งผ่านข้อความ

อยู่อย่างปลอดภัย

ฉันทามติทั่วไปคือรหัสผ่านเหล่านี้ถูกเก็บเกี่ยวจากเครื่องผู้ใช้และไม่ขโมยข้อมูลการเข้าสู่ระบบจากไซต์ซึ่งเป็นการเปลี่ยนแปลงที่น่าพอใจ Keyloggers เป็นผู้ต้องสงสัยและเป็นอันตรายอย่างยิ่ง แอปพลิเคชันที่เป็นอันตรายเหล่านี้ไม่เพียง แต่สามารถดักจับการกดแป้นพิมพ์ แต่สามารถจับภาพหน้าจอเนื้อหาของคลิปบอร์ดของคุณโปรแกรมที่คุณเปิดตัวเว็บไซต์ที่คุณเยี่ยมชมและแม้แต่การสนทนาผ่าน IM และการสนทนาทางอีเมล โชคดีที่คุณมีซอฟต์แวร์ป้องกันไวรัสส่วนใหญ่ เราขอแนะนำผู้ชนะรางวัล Editors 'Choice Webroot SecureAnywhere AntiVirus (2014) หรือ Bitdefender Antivirus Plus (2014)

โปรดทราบว่าบางโปรแกรม AV ไม่ได้บล็อก "greyware" หรือ "โปรแกรมที่อาจไม่พึงประสงค์ตามค่าเริ่มต้นบางครั้ง Keyloggers จะอยู่ในหมวดหมู่นี้ดังนั้นโปรดเปิดใช้งานคุณลักษณะนี้

ฟิชชิ่งและกลยุทธ์อื่น ๆ เพื่อหลอกลวงผู้ที่ตกเป็นเหยื่อในการให้ข้อมูลรหัสผ่านนั้นยากที่จะสกัดกั้น โชคดีที่เรามีเคล็ดลับมากมายเกี่ยวกับวิธีตรวจจับการโจมตีของฟิชชิงและวิธีหลีกเลี่ยง การโจมตีทางวิศวกรรมสังคม . ทั้งหมดนี้เป็นเพียงความคิดที่เพิ่มขึ้นเล็กน้อยและคุณสามารถป้องกันไม่ให้กลายเป็นสถิติได้

ที่สำคัญที่สุดคือสำหรับผู้ใช้รหัสผ่านผู้จัดการ แอปพลิเคชันเหล่านี้สร้างและจัดเก็บรหัสผ่านที่ไม่ซ้ำใครและซับซ้อนสำหรับทุกไซต์หรือบริการที่คุณใช้ พวกเขาจะเข้าสู่ระบบของคุณโดยอัตโนมัติทำให้การกดคีย์ล็อกข้อมูลยากขึ้น อย่าลืมลองใช้ Dashlane 2.0 หรือ LastPass 3.0 ซึ่งเป็นผู้ชนะรางวัล Editors 'Choice สำหรับการจัดการรหัสผ่าน