la sicurezza delle password deboli continua ad essere un problema enorme, nonostante le centinaia di casi sfortunati di database di password trapelate, hack e altri incidenti del genere. La cattiva abitudine di usare la stessa password più e più volte su più dispositivi e piattaforme rende estremamente facile per gli hacker per afferrare e sfruttare le credenziali di accesso. Queste credenziali possono essere sfruttato in vari scenari dannosi.
Peggiore credenziali violazione espone 1.4 miliardo di nomi utente e password
Il caso più recente che coinvolge le password degli utenti violato è stato riportato da ricercatori di sicurezza a 4iQ che ha scoperto un nuovo database collettiva sul Web Oscuro. Il database è stato pubblicato anche sul Torrent e contiene la mente-blowing 1.4 miliardi di credenziali (nomi utente e password) in chiaro. Questo rende l'incidente il più grande esposizione delle credenziali reso pubblico. Il database è stato trovato il 5 dicembre in un forum sotterraneo, e, come appena accennato, è stato identificato come il più grande aggregazione di diverse credenziali di scoperta nel Web scuro. Questo annuncio è stato fatto in un post sul blog medio dal fondatore della società di sicurezza 4iQ, Luglio Casal.
"Durante la scansione il profondo e oscuro web per furto, i dati trapelati o persi, 4iQ ha scoperto un singolo file con un database di 1.4 miliardo di credenziali non crittografate - il più grande database di aggregazione trovato nel web scuro fino ad oggi,”Casal ha scritto. Ciò che rende la violazione piuttosto spaventosa è che nessuna delle password sono criptate trapelate, e per di più, i ricercatori sono stati in grado di testare e verificare la maggior parte di loro come vera.
Questa violazione è così grande che eccelle il precedente più grande fuga di credenziale che ha esposto 797 milione di record. Questo database è di fatto un aggregato di 252 violazioni precedenti che contiene noti elenchi di credenziali come Anti pubblica e Exploit.in. Esso comprende anche le password decriptati di violazione noti come LinkedIn, Bitcoin e Pastebin.
Come spiega Casal, "questo non è solo un elenco. Si tratta di un aggregato, banca dati interattiva che permette di veloce (una risposta secondo) ricerche e nuove importazioni violazione.”Poiché la maggior parte degli utenti riutilizzare la stessa password su social media, e-commerce, e-mail e anche i conti bancari, il risultato di questa estrema perdita sarà molto probabilmente più acquisizioni contabili o casi di dirottamento.
Dove sono le credenziali presi da?
Il database aggregato contiene le credenziali di testo da Bitcoin, Linkedin, pastebin, Il mio spazio, YouPorn, Netflix, Last.FM,Badoo, Minecraft, Runescape, e le liste di credenziali quali AntiPublic e Exploit.in.
All'inizio tutto di tutto ciò detto finora, la nuova violazione ha aggiunto 385 milione di nuove coppie di credenziali, 318 milioni di utenti unici, e 147 milioni di password relativi a discariche precedenti. Questo nuovo database è anche perfettamente organizzata e indicizzata in ordine alfabetico rendendo più facile per i criminali informatici non professionale o inesperti per cercare rapidamente le password.
Proprio per illustrare la gravità della situazione e quanto male è quello di riutilizzare la stessa password semplice - una semplice ricerca per “Admin", "amministratore"E"radice”Mostrerebbe 226,631 le parole d'accesso che sono stati effettivamente utilizzati dagli amministratori.
Il solito "peggiori password mai creato”Sono anche in atto. Le password come “123455", "parola d'ordine"E"111111”Sono ancora utilizzati abbastanza largamente.
L'autore del database rimane ancora anonimo, ma chi questa persona può essere, lui (o lei) ha incluso Bitcoin e Dogecoin portafogli per le donazioni.
Considerando tutte le enormi violazioni dei dati che è accaduto in 2017 da solo, è altamente consigliabile utilizzare password versatili e diversi per ciascuno e per ogni account di tuo. Tuttavia, se lo trovate difficile da lavorare con così tante password diverse, si dovrebbe prendere in considerazione l'impiego di un gestore di password.
Utilizzando un gestore di password può essere una grande idea, dopo tutto
Se ancora non avete fatto la vostra mente se è necessario utilizzare un gestore di password o no, ecco alcune informazioni utili per aiutarvi a decidere.
Il responsabile media della password si potrebbe installare come un plug-in del browser e prendersi cura di cattura della password. Quando si accede a un sito web sicuro (HTTPS), il gestore di password offrirebbe per salvare i dati di accesso. Quando si torna a quella pagina, il manager riempirà automaticamente le credenziali, e talvolta moduli web. La maggior parte dei gestori di password offrono un menu del browser-barra degli strumenti di tutti i login salvati per rendere più facile per accedere ai siti salvati.
Quanto alla questione se gestori di password sono completamente sicuri – dipende. La situazione ideale sarebbe la password se la memoria umana è molto potente, e aver applicato password univoche per ogni tuo account. Tuttavia, in realtà le cose non sono nemmeno vicino alla perfezione. Per questo motivo può essere facilmente supporre che l'utilizzo di un gestore di password è un'idea migliore di non dover usare affatto (a.k.a. utilizzando un unico semplice password per tutti gli account).
Ciò nonostante, utilizzando un gestore di password garantirebbe:
- La forza, la complessità e la casualità delle password;
- Le password di essere ricordati e tenuti al sicuro in un unico posto.
Anche, tenere presente che molti gestori di password moderne si basano su caratteristiche migliorate, come:
- Sincronizzazione delle informazioni tra dispositivi in modo sicuro;
- compilare automaticamente in entrambe le password e moduli web comuni;
- Memorizzazione di note arbitrarie.
Tuttavia, un gestore di password potrebbe non riuscire a proteggere le proprie credenziali, se:
1. Il computer non è protetto in modo efficiente;
2. Il computer cade vittima di malware o spyware e la password principale è ottenuto da criminali informatici.
È per questo, oltre a utilizzare un buon gestore di password, si consiglia vivamente di utilizzare anche un forte programma anti-malware. Poco detto, la password più sicura sarebbe stata una elegantemente artigianale, utilizzato su un computer protetto.
scanner SpyHunter rileva solo la minaccia. Se si desidera che la minaccia da rimuovere automaticamente, è necessario acquistare la versione completa del tool anti-malware.Per saperne di più sullo strumento SpyHunter Anti-Malware / Come disinstallare SpyHunter
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: