Video: Gusto ka niya, may chance ulit. đŸ’• | Timeless Tagalog Tarot Reading | Kapalaran (Nobyembre 2024)
Mas maaga sa linggong ito, pinakawalan ng Trustwave ang kanilang pag-aaral sa isang napakalaking botnet, isa sa maraming pinamamahalaang gamit ang Pony botnet controller. Ang mga mananaliksik ay nakontrol ang botnet, na nagaganap sa lugar ng Command at Control server nito. Kapag kontrolado, natuklasan nila na ang botnet ay pinamamahalaang magnakaw ng halos dalawang milyong mga password mula sa mga nahawaang computer. Natagpuan din nila ang isang bagay na alam na ng karamihan sa atin: na ang mga tao ay kakila-kilabot sa mga password.
Kumuha sa Mga Password
Ang dalawang milyong nakompromiso na account ay kumalat sa pagitan ng 1.58 milyong mga kredensyal sa website, 320, 000 mga email na logins, 41, 000 FTP account, 3, 000 Remote Desktop na mga kredensyal, at 3, 000 Secure Shell account kredensyal ay isang makabuluhang pagbagsak. Ang pag-aalala, siyempre, kung ilan sa mga apektadong gumagamit ang pumili ng parehong password para sa iba pang mga site.
Natagpuan ng mga mananaliksik ang 318, 121 na mga kredensyal sa Facebook na nagkakaloob ng 57 porsyento ng kabuuang. Sumunod ang Yahoo sa mga 60, 000 account, na sinundan ng 21, 708 mga account sa Twitter, 8, 490 mga password sa LinkedIn, at 7, 978 account para sa payroll provider ADP. Ang huling ito ay medyo hindi pangkaraniwang, ngunit medyo nakasisira rin dahil nagbibigay ito ng pag-access sa mga pag-atake sa personal na impormasyon ng mga biktima.
Ang pinakatakot sa akin ay ang 16, 095 mga kredensyal ng Google.com at 54, 437 mga kredensyal ng Google Account. Pinahihintulutan ng mga ito ang pag-atake sa pag-access sa Gmail, at mula doon ay i-reset ang iba pang mga password gamit ang tampok na "nakalimutan ang aking password" sa mga website. Maaari rin itong magbigay ng pag-access sa pag-access sa mga pribadong file sa Google Drive, o impormasyon sa pagbabayad sa Google Wallet.
Ang lahat ng ito ay hindi nangangahulugang nagkaroon ng napakalaking pag-atake laban sa mga site na ito. Mas malamang na ang mga kriminal ay pinamamahalaang i-ani ang mga adres na ito sa pamamagitan ng maraming paraan, tulad ng phishing at keylogger, at naimbak ang mga ito sa mga server na ito. Maaari silang ibebenta ang mga ito sa ibang mga mamimili o i-save ang mga ito para magamit sa hinaharap.
Nakakapangingilabot na Mga password, Muli
Sinira ng Trustwave ang mga password sa mga kategorya: anim na porsyento ng mga ito ay "kakila-kilabot, " habang 28 porsiyento sa kanila ay "masama." Ang isang pinagsama 22 porsyento ay alinman sa "mabuti" o "mahusay" at 44 porsyento ay "medium." Kabilang sa pinakamasama ay: 123456, 123456789, 1234 at, "password."
Karamihan sa mga password ay hindi naghalo ng mga titik at numero. Ang karamihan ng mga password ay alinman sa lahat ng mga titik (parehong kaso) o lahat ng mga numero, na sinusundan ng mga password na mayroong dalawang uri (paghahalo ng mga letra sa itaas at mas mababang kaso, o mas mababang mga titik ng kaso na may mga numero, halimbawa), sinabi ni Trustwave.
Ang isang magandang paghahanap ay halos kalahati - 46 porsyento - ng mga password ay may mahabang password, ng 10 character o higit pa. Ang karamihan ng mga password ay nasa loob ng anim-hanggang-siyam na hanay ng character, sabi ni Trustwave.
Mga Target na Mga High-Profile
Hanggang sa Lucas Zaichkowsky, isang arkitektura ng data ng negosyo sa AccessData, nababahala, ang mas malaking pag-aalala ay ang mga kriminal ay maghanap ng mga account na kabilang sa mga tao "sa mga organisasyong may mataas na halaga ng target." Kung lumiliko ang mga taong ito ay gumamit ng parehong mga password sa mga site na ito pati na rin para sa mga mapagkukunan na may kaugnayan sa trabaho, pagkatapos ang mga umaatake ay makakapasok sa corporate network sa pamamagitan ng VPN o email sa pamamagitan ng isang kliyente na nakabase sa Web, sinabi ni Zaichkowksy.
"Maaari nilang ibenta ang mga mahalagang account sa iba sa itim na merkado na nagbabayad ng malaking pera para sa mga wastong kredensyal na nakakakuha ng mga ito sa mga kumikitang mga target na organisasyon, " sabi ni Zaichkowksy.
Ginagamit ng mga tao ang kanilang mga email address sa trabaho para sa mga personal na aktibidad, tulad ng pag-sign up para sa mga account sa Facebook. Si Cesar Cerrudo, CTO ng IOActive, natagpuan ang iba't ibang mga tauhan ng militar, kabilang ang mga heneral at mga heneral na heneral ("hinaharap na mga heneral, " tinawag sila ni Cerrudo) na gumamit ng kanilang .mil email address upang lumikha ng mga account sa site ng paglalakbay Orbitz, kumpanya ng GPS garmin.com, Facebook. Twitter, at Skype, upang pangalanan ang iilan. Ginagawa nitong ang pag-asam ng password ay muling gumamit nang mas may problema, dahil ang mga indibidwal na ito ay napakahalaga bilang mga target at may access sa maraming sensitibong impormasyon.
Gayunman, sinabi ni Qualys Director of Engineering Mike Shema na nakikita niya ang pag-asa sa hinaharap. "Sa pagtingin sa 2014, ang dalawang-factor na pagpapatunay ay magpapatuloy sa pagkakaroon ng momentum sa buong enterprise at teknolohiya ng consumer, at maraming mga app ang magsisimulang mag-ampon din ng dalawang-factor din. Makikita rin natin ang pagtaas ng matalinong crypto-engineering para sa mga password na may multi-authentication. " Ang two-factor na pagpapatotoo ay nangangailangan ng pangalawang hakbang sa pagpapatunay, tulad ng isang espesyal na code na ipinadala sa pamamagitan ng text message.
Manatiling Ligtas
Ang pangkalahatang pinagkasunduan ay ang mga password na ito ay naani mula sa mga makina ng gumagamit, at hindi pagnanakaw ng impormasyon sa pag-login mula sa mga site-na kung saan ay isang kasiya-siyang pagbabago ng tulin ng lakad. Ang mga Keylogger ay malamang na pinaghihinalaan, at partikular na mapanganib. Ang mga nakakahamak na application ay hindi lamang maaaring makunan ang mga keystroke, ngunit maaaring makunan ang mga screenshot, ang mga nilalaman ng iyong clipboard, ang mga programa na inilulunsad mo, ang mga site na binibisita mo, at kahit na pag-agaw sa mga pag-uusap ng IM at mga email sa email. Sa kabutihang palad, karamihan sa mga anti-virus software ay dapat na saklaw mo. Inirerekumenda namin ang mga nagwagi ng Award ng Choors na Webroot SecureAny saan AntiVirus (2014) o Bitdefender Antivirus Plus (2014).
Tandaan na ang ilang mga programa sa AV ay hindi hadlangan ang "greyware" o "potensyal na hindi kanais-nais na mga programa nang default. Minsan nahulog ang kategoryang Keylogger sa kategoryang ito, kaya't tiyaking paganahin ang tampok na ito.
Ang phishing at iba pang mga taktika upang linlangin ang mga biktima sa pagbibigay ng impormasyon ng password ay mahirap harangan. Sa kabutihang palad, marami kaming mga tip sa kung paano makita ang mga pag-atake sa phishing at kung paano maiwasan
Ang pinakamahalaga ay para sa mga tao na gumamit ng isang tagapamahala ng password. Lumilikha at mag-imbak ang mga application na natatanging, kumplikadong mga password para sa bawat site o serbisyo na iyong ginagamit. Awtomatiko kang mag-log in ka, ginagawa itong mas mahirap para sa mga keylogger na agawin ang iyong impormasyon. Siguraduhing subukan ang Dashlane 2.0 o LastPass 3.0, kapwa ang mga nagwagi ng aming Choors award Choice para sa pamamahala ng password.
