שימוש חוזר בסיסמאות באתרי מדיה חברתית: אל תעשו זאת!

לא משנה כמה סיסמתך מורכבת: אם אתה משתמש באותה סיסמה באתרים רבים, אתה נמצא בסיכון גבוה להתקפה.

בחודש שעבר גילו חוקרי Trustwave קופסה של כשני מיליון שמות משתמש וסיסמאות בשרת פיקוד ובקרה שבסיסו בהולנד. השרת, שהיה חלק מהבוט-רשת של הפוני, צבר אישורים לאתרי אינטרנט שונים וכן דוא"ל, FTP, שולחן עבודה מרוחק (RDP) ו- Secure Shell (SSH) מחשבונות משתמשים, כתב דניאל צ'צ'יק של Trustwave באותה עת. מבין 2 מיליון האישורים שנקטפו, כמיליון וחצי היו עבור אתרי אינטרנט, כולל פייסבוק, גוגל, יאהו, טוויטר, לינקדאין וספק שכר מקוון ADP.

ניתוח מעמיק יותר של רשימת הסיסמאות מצא כי 30 אחוז מהמשתמשים שהיו להם חשבונות בחשבונות רבים ברשת המדיה החברתית עשו שימוש חוזר בסיסמאות שלהם, אמר ג'ון מילר, מנהל מחקרי האבטחה ב- Trustwave. כל אחד מהחשבונות הללו יהיה חשוף להתקף לשימוש חוזר בסיסמה.

מילר אמר ל- Security Watch: "עם מאמץ מועט וכמה שאילתות חכמות של גוגל, תוקף יכול למצוא שירותים מקוונים נוספים שבהם המשתמש שנמצא בסכנה השתמש בסיסמה דומה ואז יכול היה לקבל גישה גם לחשבונות האלה.

זה "רק" מדיה חברתית

ברור שזה גרוע שלתוקפים הייתה גישה לשרתי ה- FTP ולחשבונות הדואר האלקטרוני של הקורבן, אך יתכן שזה לא ברור מאליו מדוע סיסמת הפייסבוק או הלינקדאין שלהם הייתה עניין גדול. חשוב לזכור כי תוקפים משתמשים לרוב ברשימות אלה כנקודת קפיצה כדי לפתוח בהתקפות משניות. גם אם התוקפים גונבים סתם "סתם" סיסמא למדיה חברתית, הם עשויים להסתיים בהתחברות לחשבון אמזון שלך, או לפרוץ לרשת הארגונית שלך באמצעות VPN מכיוון ששם המשתמש והסיסמה במקרה זהים למה שהיה לך בחשבון המדיה החברתית ההיא..

Watch Security מתריע לעתים קרובות על הסכנות שבשימוש חוזר בסיסמה, ולכן ביקשנו מ- Trustwave לנתח את רשימת הסיסמאות הזו בכדי לכמת את היקף הבעיה. הנתונים שהתקבלו היו מדהימים.

מבין 1, 48 מיליון שם משתמש / סיסמאות הקשורים לחשבונות מדיה חברתית, מילר זיהה 228, 718 משתמשים מובחנים עם יותר מחשבון מדיה חברתית אחד. מתוך שמות המשתמש ההם, 30 אחוזים השתמשו באותה סיסמה בכל חשבונות מרובים, מצא מילר.

במקרה שאתה תוהה, כן, פושעי סייבר ינסו את אותו שילוב באתרים אקראיים, באופן ידני או באמצעות סקריפט כדי להפוך את התהליך לאוטומטי.

שימוש חוזר רע כמו סיסמאות חלשות

קשה לזכור סיסמאות, וזה נכון במיוחד לסיסמאות שרוב האנשים רואים בהן חזקות. אמנם יש לשבח את המשתמשים האלה על כך שלא השתמשו בסיסמאות חלשות כמו "admin", "123456" ו- "סיסמה" (שעדיין הייתה בעיה בקרב קבוצה זו), אך הבעיה היא שאפילו סיסמאות מורכבות מאבדות את יעילותן אם הן אינן '. ייחודי.

מילר זיהה גם בעיה נוספת לשימוש חוזר. בעוד שבאתרים רבים משתמשים משתמשים בכניסה לכתובות הדוא"ל שלהם, אחרים מאפשרים למשתמשים ליצור שמות משתמש משלהם. באותה רשימה מקורית של 1.48 מיליון שילובי שם משתמש / סיסמא, היו למעשה 829, 484 שמות משתמש נבדלים מכיוון שהמשתמשים השתמשו במילים נפוצות. למעשה, "admin" הופיע כשם משתמש 4, 341 פעמים. למחצית משמות המשתמש "החלשים" היו גם סיסמאות חלשות, מה שהפך את הסבירות עוד יותר לכך שתוקפים יוכלו להתחמק בכוח דרך חשבונות מרובים.

להישאר בטוח

סיסמאות מאובטחות הינן קריטיות בכדי לשמור על בטיחות הנתונים והזהות שלנו באופן מקוון, אך לעתים קרובות המשתמשים בוחרים בנוחות על פני אבטחה. זו הסיבה שאנו ממליצים להשתמש במנהל סיסמאות כדי ליצור ולאחסן סיסמאות ייחודיות ומורכבות עבור כל אתר ושירות בו אתה משתמש. יישומים אלה גם יתחברו אליכם אוטומטית, מה שמקשה על keyloggers לחטוף את המידע שלכם. הקפד לנסות את Dashlane 2.0 או LastPass 3.0, שניהם זוכי פרס העורך שלנו לניהול סיסמאות.

כפי שציינו בחודש שעבר, סביר להניח שהבוטנט של הפוני קצר את פרטי הכניסה באמצעות keyloggers והתקפות דיוג. שמור על תוכנת האבטחה שלך מעודכנת כדי למנוע זיהום מלכתחילה, Webroot SecureAnywhere AntiVirus (2014) או Bitdefender Antivirus Plus (2014) ופעל לפי ההנחיות שלנו לאיתור התקפות דיוג.