Video: Wachtwoorden zijn niet meer van deze tijd. Gebruik tweestapsverificatie (2FA) (November 2024)
Het maakt niet uit hoe lang en complex uw wachtwoord is: als u hetzelfde wachtwoord op meerdere sites gebruikt, loopt u een hoog risico voor aanvallen.
Vorige maand ontdekten Trustwave-onderzoekers een grote hoeveelheid van ongeveer twee miljoen gebruikersnamen en wachtwoorden op een command-and-control-server in Nederland. De server, die deel uitmaakte van het Pony-botnet, had gegevens verzameld voor verschillende websites, evenals e-mail, FTP, Remote Desktop (RDP) en Secure Shell (SSH) -accounts van gebruikerscomputers, schreef destijds Chechik van Trustwave. Van de 2 miljoen geoogste referenties waren er ongeveer 1, 5 miljoen voor websites, waaronder Facebook, Google, Yahoo, Twitter, LinkedIn en online payrollprovider ADP.
Uit een diepere analyse van de wachtwoordlijst bleek dat 30 procent van de gebruikers met accounts op meerdere sociale media-accounts hun wachtwoord opnieuw hadden gebruikt, aldus John Miller, de manager voor beveiligingsonderzoek bij Trustwave. Elk van deze accounts zou kwetsbaar zijn voor een aanval voor hergebruik van wachtwoorden.
"Met een kleine hoeveelheid moeite en enkele slimme Google-vragen, kon een aanvaller aanvullende online services vinden waarbij de gecompromitteerde gebruiker een soortgelijk wachtwoord had gebruikt en vervolgens ook toegang tot die accounts kon krijgen, " vertelde Miller Security Watch .
Het is "Just" Social Media
Het is duidelijk slecht dat aanvallers toegang hadden tot de FTP-servers en e-mailaccounts van slachtoffers, maar het is misschien niet zo duidelijk waarom het belangrijk was om hun Facebook- of LinkedIn-wachtwoord te hebben. Het is belangrijk om te onthouden dat aanvallers deze lijsten vaak gebruiken als startpunt om secundaire aanvallen uit te voeren. Zelfs als aanvallers 'slechts' een sociaal media-wachtwoord stelen, kunnen ze terechtkomen in uw Amazon-account of inbreken in uw bedrijfsnetwerk via VPN omdat de gebruikersnaam en het wachtwoord toevallig hetzelfde waren als wat u op dat sociale media-account had.
Security Watch waarschuwt regelmatig voor de gevaren van wachtwoordhergebruik, dus vroegen we Trustwave om deze wachtwoordlijst te analyseren om de omvang van het probleem te kwantificeren. De resulterende cijfers waren verbluffend.
Van de 1, 48 miljoen gebruikersnaam / wachtwoorden die zijn gekoppeld aan sociale media-accounts, identificeerde Miller 228.718 verschillende gebruikers met meer dan één sociale media-account. Van die gebruikersnamen had 30 procent hetzelfde wachtwoord gebruikt voor meerdere accounts, vond Miller.
In geval u zich afvraagt, ja, zullen cybercriminelen dezelfde combinatie op willekeurige sites uitproberen, hetzij handmatig of via een script om het proces te automatiseren.
Hergebruik zo slecht als zwakke wachtwoorden
Wachtwoorden kunnen moeilijk te onthouden zijn, en dat geldt vooral voor wachtwoorden die de meeste mensen als sterk beschouwen. Hoewel deze gebruikers moeten worden geprezen omdat ze geen zwakke wachtwoorden gebruiken, zoals 'admin', '123456' en 'wachtwoord' (wat nog steeds een probleem was in deze groep), is het probleem dat zelfs complexe wachtwoorden hun effectiviteit verliezen als ze t uniek.
Miller identificeerde ook een ander hergebruikprobleem. Hoewel op veel sites gebruikers inloggen met hun e-mailadres, laten anderen toe dat gebruikers hun eigen gebruikersnamen maken. In die oorspronkelijke lijst met 1, 48 miljoen gebruikersnaam / wachtwoord-combinaties waren er eigenlijk 829.484 verschillende gebruikersnamen omdat gebruikers veelvoorkomende woorden gebruikten. "Admin" werd zelfs 4, 341 keer als een gebruikersnaam weergegeven. De helft van de 'zwakke' gebruikersnamen had ook zwakke wachtwoorden, waardoor het nog waarschijnlijker was dat aanvallers bruut hun weg konden vinden over meerdere accounts.
Blijf Veilig
Veilige wachtwoorden zijn van cruciaal belang om onze gegevens en identiteit online veilig te houden, maar gebruikers kiezen vaak voor gemak boven beveiliging. Daarom raden we u aan een wachtwoordbeheerder te gebruiken om unieke, complexe wachtwoorden te maken en op te slaan voor elke site of service die u gebruikt. Deze applicaties zullen je ook automatisch aanmelden, waardoor het voor keyloggers veel moeilijker wordt om je informatie te pakken. Probeer Dashlane 2.0 of LastPass 3.0, beide winnaars van onze Editors 'Choice award voor wachtwoordbeheer.
Zoals we vorige maand hebben opgemerkt, heeft het Pony-botnet waarschijnlijk de inloginformatie verzameld via keyloggers en phishing-aanvallen. Houd uw beveiligingssoftware bijgewerkt om te voorkomen dat u überhaupt besmet raakt, Webroot SecureAnywhere AntiVirus (2014) of Bitdefender Antivirus Plus (2014) en volg onze richtlijnen voor het opsporen van phishingaanvallen.
