口令即漏洞 放弃它吧

如今,十亿以上的账户凭证在网上售卖。在被盗口令泛滥的时代,从凭证入手是比网络钓鱼、恶意软件或漏洞利用更方便的攻击方式。“口令验证”工具已可用于查找跨网站重复利用的口令。这种大规模验证被盗口令的趋势不是什么新鲜事,已经持续了至少2年。

你能想象一个遍地都是银行保险箱钥匙的世界吗?所需要做的,仅仅捡起一把,再找到匹配的保险箱而已。我们面对的口令现状就是这么个样子。事实上,由于大多数人总用同一把钥匙开办公室、车和家的门,情况还要更糟糕。

口令就是新的漏洞利用,甚至可能更好——凭证已成为当今头号攻击方法。据威瑞森《2016数据泄露报告》所言,63%的已证实数据泄露涉及弱口令、默认口令或被盗口令,且问题正变得更严重。

市场已满是用户名/口令对,数量多到难以判断新口令包是新泄露的成果,还是以往被盗口令在新网站上的重过滤的结果。攻击者挖掘已暴露的用户名、邮件地址和口令数据,利用自动化工具,在各大顶级网站上尝试自动测试这些登录数据和口令。

如果有人在多个站点使用同一个用户名/口令对,那么攻击者在某些情况下就能自动接管他们的账户。这也是为什么X网站的口令泄露,会造成毫无关系的Y网站也有凭证被盗的原因。举个例子,一名黑客可以用Tumblr被盗数据集,在Dropbox上用自动化“口令验证”工具,数小时之内获取上百万“新”Dropbox口令——今年6月的事儿。

可用的“口令验证”工具多达几十个,比如SentryMBA。

其他同类工具也很多,可以在多个网站上测试被盗口令是否有效。当然,这些站点试图通过速率限制登录来预防此类测试活动。因此,攻击者利用大量代理和僵尸网络来突破此一防范措施。他们甚至用光学字符识别(OCR)软件来绕过验证码!

利益链条是这样的:被盗凭证1000条一组打包,以5美分左右的价格在黑市反复售卖——每百万条大约值50美元。攻击者随后利用iOne.club之类的网站,找工具来测试这些口令,每条有效口令只需付1美分,口令无效则不付款。

大部分人的口令都有可能已经被泄露了。修改口令也不会使你更安全。比如说,据统计,很多人都会把口令直接改成“123456789”,或像扎克伯格的“dadada”,或者此类不相上下的烂口令。

即使选了个很难记的强口令,另一起SQL注入攻击把你的新口令暴露出来也只是时间问题。

因此,是时候把口令都甩掉了,就像雅虎和谷歌所做的那样。

另一个选择,是总是默认采用双因子验证。很多服务已经在这么干了。

大多数人不愿意弄些复杂难记的口令,也不会每个服务都费事去弄个单独的口令。所以,网站必须假设攻击者已经知道大多数口令。在很多网站上大量重用口令,意味着单点被破基本上就是整个网上身份的彻底暴露。这种状态必须改变,是时候让口令从主要验证机制的位置上退下来了。

====================================分割线================================

本文转自d1net(转载)

时间: 2024-10-28 18:20:50

口令即漏洞 放弃它吧的相关文章

计算机网络系统安全漏洞分类研究_网络冲浪

写本文的目地是为了总结一些东西,解决在试图构造一个漏洞数据库的过程中碰到的主要问题,也就是如何对计算机网络漏洞进行分类的问题.文中的一些想法并不成熟,有些甚至连自己也不满意,权作抛砖引玉,以期与在这方面有深入研究的同仁交流,共同提高完善.一个计算机网络安全漏洞有它多方面的属性,我认为主要可以用以下几个方面来概括:漏洞可能造成的直接威胁,漏洞的成因,漏洞的严重性,漏洞被利用的方式.以下的讨论将回绕这几个方面对漏洞细分其类.A.按漏洞可能对系统造成的直接威胁 可以大致分成以下几类,事实上一个系统漏洞

网络摄像头路由器存漏洞 使用智能设备需注意安全

不久前,一种被称为永恒之蓝的勒索蠕虫在全球的大规模攻击,让人们体会到了维护网络安全切身利益以及安全防范的重要.互联网网络安全有什么趋势和特点,又该如何防范?在22日至24日举行的2017中国网络安全年会上,与会专家对此进行了研讨. 传统的网络攻击正在向物联网和智能设备快速蔓延 国家互联网应急中心运行部主任严寒冰在年会上详解了<2016年我国互联网网络安全态势综述>.他表示,2016年移动互联网仍是网络安全隐患的重灾区,同时针对物联网设备的网络攻击增多. <综述>显示,2016年国家

怎样预防&amp;quot;熊猫烧香&amp;quot;系列病毒_病毒查杀

From:http://blog.cfan.com.cn/html/48/1148_itemid_73178.html "熊猫烧香"蠕虫不但可以对用户系统进行破坏,导致大量应用软件无法使用,而且还可删除扩展名为gho的所有文件,造成用户的系统备份文件丢失,从而无法进行系统恢复:同时该病毒还能终止大量反病毒软件进程,大大降低用户系统的安全性.  这几天"熊猫烧香"的变种更是表象异常活跃,近半数的网民深受其害.用户除了可以从 http://tool.duba.net/z

防范“熊猫烧香”病毒的设置方法_病毒查杀

"熊猫烧香"病毒不但可以对用户系统进行破坏,导致大量应用软件无法使用,而且还可删除扩展名为gho的所有文件,造成用户的系统备份文件丢失,从而无法进行系统恢复:同时该病毒还能终止大量反病毒软件进程,大大降低用户系统的安全性.  这几天"熊猫烧香"的变种更是表象异常活跃,近半数的网民深受其害.对于已经感染"熊猫烧香"病毒的用户,建议参考<熊猫烧香病毒专杀及手动修复方案>,下载其中的专钉工具进行查杀,也可手动查杀.技术专家还总结了以下预防措

网络钓鱼实例解析及防范

目前,网上一些利用"网络钓鱼"手法,如建立假冒网站或发送含有欺诈信息的电子邮件,盗取网上银行.网上证券或其他电子商务用户的账户密码,从而窃取用户资金的违法犯罪活动不断增多. "网络钓鱼"的主要手法 一是发送电子邮件,以虚假信息引诱用户中圈套. 诈骗分子以垃圾邮件的形式大量发送欺诈性邮件,这些邮件多以中奖.顾问.对账等内容引诱用户在邮件中填入金融账号和密码,或是以各 种紧迫的理由要求收件人登录某网页提交用户名.密码.身份证号.信用卡号等信息,继而盗窃用户资金. 如今年

渗透测试之我见

渗透测试,是为了证明网络防御按照预期计划正常运行而提供的一种机制. 渗透测试的分类实际上渗透测试并没有严格的分类方式,即使在软件开发生命周期中,也包含了渗透测试的环节,但根据实际应用,普遍认同的几种分类方法如下: 方法分类 1.黑箱测试 黑箱测试又被称为所谓的"Zero-Knowledge Testing",渗透者完全处于对系统一无所知的状态,通常这类型测试,最初的信息获取来自于DNS.Web.Email及各种公开对外的服务器. 2.白盒测试 白盒测试与黑箱测试恰恰相反,测试者可以通过

服务器怎样才能设置可以不被挂黑链?

问题描述 服务器怎样才能设置可以不被挂黑链? 如题,服务器需要做怎样的安全设置,才能保证自己的网站不会被挂黑链? 解决方案 扫描服务器的弱口令.漏洞,然后黑掉网站,把链接挂进去.这是不合法的手段,这些SEOer也是所有人鄙弃的,国内大有这样的人存在.这些是可以通过SeoQuake插件辅助来发现的. 所以,避免以上各点,只能说被挂黑链的可能性小些,没有决定不被挂黑链的办法. 如何检测折叠编辑本段 (1)利用查看网站的源代码来检查黑链: 通常情况下,黑链被挂在首页的情况最多,站长需要时常查看网站的源

Oracle数据库安全面面观

专家简介   张文宇:10年以上IT服务相关工作经验,长期从事系统.网络及数据库方面的规划设计.工程实施与运维管理工作,具备丰富的运营商.医疗等行业项目经验.目前专注项目管理.解决方案.售前及咨询类工作.持有Oracle 8i OCP,10g OCM,及思科.微软等厂商产品认证.    1概述   数据库中保存的数据涉及各类账号.密码.个人隐私.安全信息等敏感信息,核心数据是企业的命脉.通过建立完善的信息安全系统,保护企业核心数据尤其是企业商业机密,防止从内.外部泄密,已经成为当前众多企业的共识

国家互联网应急中心发布《2016年我国互联网网络安全态势综述》

国家互联网应急中心发布<2016年我国互联网网络安全态势综述> 国家互联网应急中心发布了<2016年我国互联网网络安全态势综述>(以下简称为<综述>),综述数据显示,2016年,移动互联网恶意程序捕获数量.网站后门攻击数量以及安全漏洞收录数量较2015年有所上升,而木马和僵尸网络感染数量.拒绝服务攻击事件数量.网页仿冒和网页篡改页面数量等均有所下降. 2016年,国家互联网应急中心捕获移动互联网恶意程序数量近205万个,较2015年增长39.0%,恶意程序数量近7年来保