Video: 13 SITI UTILI (E GRATIS) CHE FORSE NON CONOSCI, LISTA 2020 (Novembre 2024)
Non importa quanto sia lunga e complessa la tua password: se usi la stessa password su più siti, sei ad alto rischio di attacco.
Il mese scorso, i ricercatori di Trustwave hanno scoperto circa due milioni di nomi utente e password su un server di comando e controllo con sede nei Paesi Bassi. Il server, che faceva parte della botnet Pony, aveva raccolto credenziali per vari siti Web e account di posta elettronica, FTP, Desktop remoto (RDP) e Secure Shell (SSH) dai computer degli utenti, ha scritto Daniel Chechik di Trustwave in quel momento. Dei 2 milioni di credenziali raccolte, circa 1, 5 milioni erano destinate a siti Web, tra cui Facebook, Google, Yahoo, Twitter, LinkedIn e il provider di buste paga online ADP.
Un'analisi più approfondita dell'elenco delle password ha rilevato che il 30% degli utenti che avevano account su più account di social media aveva riutilizzato le proprie password, ha affermato John Miller, responsabile della ricerca sulla sicurezza di Trustwave. Ognuno di questi account sarebbe vulnerabile a un attacco di riutilizzo della password.
"Con un piccolo sforzo e alcune intelligenti query di Google, un utente malintenzionato potrebbe trovare servizi online aggiuntivi in cui l'utente compromesso ha utilizzato una password simile e potrebbe quindi accedere anche a tali account", ha dichiarato Miller a Security Watch .
Sono "solo" i social media
È ovviamente un male che gli aggressori abbiano accesso ai server FTP e agli account di posta elettronica delle vittime, ma potrebbe non essere ovvio perché avere le loro password di Facebook o LinkedIn sia stato un grosso problema. È importante ricordare che gli attaccanti usano spesso queste liste come punto di partenza per lanciare attacchi secondari. Anche se gli aggressori rubano "solo" una password per social media, possono finire per accedere al tuo account Amazon o entrare nella tua rete aziendale tramite VPN perché il nome utente e la password sono risultati identici a quelli che avevi su quell'account social media.
Security Watch spesso avvisa dei pericoli del riutilizzo delle password, quindi abbiamo chiesto a Trustwave di analizzare questo elenco di password per quantificare l'entità del problema. Le cifre risultanti erano sorprendenti.
Dei 1, 48 milioni di nome utente / password associati agli account di social media, Miller ha identificato 228.718 utenti distinti con più di un account di social media. Tra questi nomi utente, il 30 percento aveva usato la stessa password su più account, Miller ha scoperto.
Nel caso ti stia chiedendo, sì, i cyber-criminali proveranno la stessa combinazione su siti casuali, manualmente o tramite uno script per automatizzare il processo.
Riutilizzare male come password deboli
Le password possono essere difficili da ricordare, ed è particolarmente vero per le password che molte persone considerano forti. Mentre questi utenti dovrebbero essere elogiati per non usare password deboli come "admin", "123456" e "password" (che era ancora un problema in questo gruppo), il problema è che anche le password complesse perdono la loro efficacia se non lo sono ' t unico.
Miller ha anche identificato un altro problema di riutilizzo. Mentre molti siti hanno utenti che accedono con i loro indirizzi e-mail, altri consentono agli utenti di creare i propri nomi utente. In quell'elenco originale di 1, 48 milioni di combinazioni nome utente / password, in realtà c'erano 829.484 nomi utente distinti perché gli utenti utilizzavano parole comuni. In effetti, "admin" è apparso come nome utente 4.341 volte. La metà dei nomi utente "deboli" aveva anche password deboli, rendendo ancora più probabile che gli aggressori potessero farsi strada tra più account.
Rimanga sicuro
Le password sicure sono fondamentali per proteggere i nostri dati e la nostra identità online, ma gli utenti spesso optano per praticità rispetto alla sicurezza. Questo è il motivo per cui ti consigliamo di utilizzare un gestore di password per creare e archiviare password uniche e complesse per ogni sito o servizio che utilizzi. Queste applicazioni ti accederanno automaticamente, rendendo molto più difficile per i keylogger acquisire le tue informazioni. Assicurati di provare Dashlane 2.0 o LastPass 3.0, entrambi vincitori del premio Editors 'Choice per la gestione delle password.
Come abbiamo notato il mese scorso, la botnet Pony probabilmente ha raccolto le informazioni di accesso tramite keylogger e attacchi di phishing. Mantieni aggiornato il tuo software di sicurezza per prevenire l'infezione, Webroot SecureAnywhere AntiVirus (2014) o Bitdefender Antivirus Plus (2014) e segui le nostre linee guida per individuare gli attacchi di phishing.