การใช้รหัสผ่านซ้ำในเว็บไซต์โซเชียลมีเดีย: อย่าทำอย่างนั้น!

ไม่สำคัญว่ารหัสผ่านของคุณจะยาวหรือซับซ้อนเพียงใด: หากคุณใช้รหัสผ่านเดียวกันในหลาย ๆ ไซต์คุณจะมีความเสี่ยงสูงที่จะถูกโจมตี

เมื่อเดือนที่แล้วนักวิจัยของ Trustwave ค้นพบชื่อผู้ใช้และรหัสผ่านประมาณสองล้านชื่อบนเซิร์ฟเวอร์คำสั่งและควบคุมที่อยู่ในเนเธอร์แลนด์ เซิร์ฟเวอร์ซึ่งเป็นส่วนหนึ่งของ botnet ของ Pony ได้ทำการตรวจสอบข้อมูลประจำตัวสำหรับเว็บไซต์ต่าง ๆ รวมถึงอีเมล FTP, Remote Desktop (RDP) และบัญชี Secure Shell (SSH) จากคอมพิวเตอร์ของผู้ใช้ Daniel Chechik ของ Trustwave เขียนไว้ในเวลานั้น จากหนังสือรับรอง 2 ล้านฉบับที่ถูกเก็บเกี่ยวมีประมาณ 1.5 ล้านรายการสำหรับเว็บไซต์รวมถึง Facebook, Google, Yahoo, Twitter, LinkedIn และ ADP ผู้ให้บริการบัญชีเงินเดือนออนไลน์

การวิเคราะห์รายการรหัสผ่านอย่างละเอียดยิ่งขึ้นพบว่าร้อยละ 30 ของผู้ใช้ที่มีบัญชีข้ามบัญชีโซเชียลมีเดียหลายบัญชีได้ใช้รหัสผ่านของตนซ้ำ John John ผู้จัดการฝ่ายความปลอดภัยที่ Trustwave กล่าว บัญชีเหล่านี้แต่ละบัญชีจะมีความเสี่ยงที่จะถูกโจมตีด้วยการใช้รหัสผ่านซ้ำ

"ด้วยความพยายามเพียงเล็กน้อยและการสืบค้นที่ชาญฉลาดของ Google ผู้โจมตีสามารถค้นหาบริการออนไลน์เพิ่มเติมที่ผู้ใช้ที่ถูกโจมตีได้ใช้รหัสผ่านที่คล้ายกันและสามารถเข้าถึงบัญชีเหล่านั้นได้เช่นกัน" มิลเลอร์กล่าวกับ Security Watch

มันเป็น "แค่" โซเชียลมีเดีย

เห็นได้ชัดว่าผู้โจมตีมีสิทธิ์เข้าถึงเซิร์ฟเวอร์ FTP และบัญชีอีเมลของผู้ที่ตกเป็นเหยื่อ แต่อาจไม่ชัดเจนว่าทำไมการมีรหัสผ่าน Facebook หรือ LinkedIn เป็นเรื่องใหญ่ สิ่งสำคัญคือต้องจำไว้ว่าผู้โจมตีมักใช้รายการเหล่านี้เป็นจุดกระโดดเพื่อเริ่มการโจมตีครั้งที่สอง แม้ว่าผู้โจมตีจะขโมยรหัสผ่านโซเชียลมีเดียเพียงแค่พวกเขาอาจยุติการเข้าสู่บัญชี Amazon ของคุณหรือบุกเข้าไปในเครือข่ายองค์กรของคุณผ่าน VPN เพราะชื่อผู้ใช้และรหัสผ่านนั้นเหมือนกันกับที่คุณมีในบัญชีโซเชียลมีเดียนั้น .

Security Watch เตือนบ่อยครั้งเกี่ยวกับอันตรายของการใช้รหัสผ่านซ้ำดังนั้นเราจึงขอให้ Trustwave วิเคราะห์รายการรหัสผ่านนี้เพื่อระบุขอบเขตของปัญหา ตัวเลขที่ได้นั้นน่าตกใจ

จาก 1.48 ล้านชื่อผู้ใช้ / รหัสผ่านที่เกี่ยวข้องกับบัญชีโซเชียลมีเดียมิลเลอร์ระบุผู้ใช้ 228, 718 คนที่มีบัญชีโซเชียลมีเดียมากกว่าหนึ่งบัญชี จากชื่อผู้ใช้เหล่านี้ร้อยละ 30 ใช้รหัสผ่านเดียวกันในหลายบัญชีมิลเลอร์พบ

ในกรณีที่คุณสงสัยใช่อาชญากรไซเบอร์จะลองชุดค่าผสมเดียวกันในไซต์สุ่มทั้งด้วยตนเองหรือผ่านสคริปต์เพื่อทำให้กระบวนการทำงานโดยอัตโนมัติ

ใช้ซ้ำแย่เท่ารหัสผ่านที่อ่อนแอ

รหัสผ่านสามารถจดจำได้ยากและรหัสผ่านนั้นเป็นความจริงโดยเฉพาะอย่างยิ่งที่คนส่วนใหญ่เห็นว่าแข็งแกร่ง ในขณะที่ผู้ใช้เหล่านี้ควรได้รับคำชมเนื่องจากไม่ใช้รหัสผ่านที่อ่อนแอเช่น "ผู้ดูแลระบบ" "123456" และ "รหัสผ่าน" (ซึ่งยังคงเป็นปัญหาในกลุ่มนี้) ปัญหาคือว่าแม้รหัสผ่านที่ซับซ้อนจะสูญเสียประสิทธิภาพหากไม่ได้ ไม่ซ้ำกัน

มิลเลอร์ยังระบุปัญหาการใช้ซ้ำอีกครั้ง ในขณะที่เว็บไซต์หลายแห่งมีผู้ใช้เข้าสู่ระบบด้วยที่อยู่อีเมลของพวกเขาอื่น ๆ อนุญาตให้ผู้ใช้สร้างชื่อผู้ใช้ของตนเอง ในรายการดั้งเดิมของชุดค่าผสมของชื่อผู้ใช้ / รหัสผ่าน 1.48 ล้านชุดมีชื่อผู้ใช้ที่แตกต่างกัน 829, 484 ชื่อเนื่องจากผู้ใช้กำลังใช้คำทั่วไป ในความเป็นจริง "ผู้ดูแลระบบ" ปรากฏเป็นชื่อผู้ใช้ 4, 341 ครั้ง ชื่อผู้ใช้ที่ "อ่อนแอ" ครึ่งหนึ่งมีรหัสผ่านที่ไม่ดีทำให้ผู้โจมตีสามารถบังคับให้พวกเขาข้ามหลายบัญชีได้

อยู่อย่างปลอดภัย

รหัสผ่านที่ปลอดภัยนั้นมีความสำคัญต่อการรักษาข้อมูลและตัวตนของเราให้ปลอดภัยทางออนไลน์ แต่ผู้ใช้มักจะเลือกใช้เพื่อความสะดวกมากกว่าความปลอดภัย นี่คือเหตุผลที่เราแนะนำให้คุณใช้ตัวจัดการรหัสผ่านเพื่อสร้างและเก็บรหัสผ่านที่ไม่ซ้ำกันและซับซ้อนสำหรับทุกไซต์หรือบริการที่คุณใช้ แอปพลิเคชันเหล่านี้จะเข้าสู่ระบบของคุณโดยอัตโนมัติทำให้การกดคีย์ล็อกข้อมูลของคุณยากขึ้น อย่าลืมลองใช้ Dashlane 2.0 หรือ LastPass 3.0 ซึ่งเป็นผู้ชนะรางวัล Editors 'Choice สำหรับการจัดการรหัสผ่าน

ดังที่เราได้บันทึกเมื่อเดือนที่แล้วบอทเน็ตของ Pony อาจเก็บเกี่ยวข้อมูลการเข้าสู่ระบบผ่านทางโปรแกรมล็อกเกอร์และการโจมตีฟิชชิง อัปเดตซอฟต์แวร์ความปลอดภัยของคุณเพื่อป้องกันการติดเชื้อในครั้งแรก Webroot SecureAnywhere AntiVirus (2014) หรือ Bitdefender Antivirus Plus (2014) และปฏิบัติตามคำแนะนำของเราเพื่อค้นหาการโจมตีแบบฟิชชิ่ง