あなたのパスワードはすべて私たちに帰属します

私は今週、56文字のパスワードを持つ何十億人のインターネットユーザーからも目に見えるほどの安堵感を感じたと思います。

私は間違っている可能性があります。私はそうです。

パスワードを管理するためにあらゆる種類のクレイジーなことを試していますが、55文字の文字列はリストの一番上にはありません。

今週はパスワードのハッカー・ブリッツのもう一つの例がありました。パスワードクラッカー・プログラムoclHashcat-plusにはアップグレードが盛り込まれ、55文字までのパスワードを破棄しています。

エントリへの障壁を下げることについて話す。多分、私たちの防御の最後はなくなったでしょう。ちなみに、安価で邪悪な趣味を探しているなら、oclHashcat-plusは無料でダウンロードできます。

時には、最も深刻な解決策は、問題全体を変更することです。

私は疲れたパスワードシステムよりももっと変更する必要があるのは私のインフラストラクチャだから、しばらく議論してきました。ユーザーは個人データの価値を理解する必要があり、保護するための措置を講ずる必要があります。どうして?悪い人は積極的にそれを後にしているので。

今週はニューヨークタイムズを倒したフィッシングパスワードだった。しかし、それは新聞の誰かに属していたパスワードではありませんでした。このパスワードはオーストラリアのDNSレジストラからシリア電子軍隊によって詐称され、DNSレコードに毒を撒き、nytimes.comから直接トラフィックを奪うために使われました。

ホワイトハウスが連邦最高情報セキュリティ責任者を任命、セキュリティ、国防総省によるサイバー緊急対応の批判、セキュリティ、HTTP接続を安全でないと表示するChrome、セキュリティ、Hyperledgerプロジェクトがギャングバスターのように成長している

セキュリティ企業ソフォスは今週、GmailのユーザーにGoogle Docsのリンクをクリックさせて、銀行機関からの「安全な文書」を見るための攻撃を試みた。

Googleのユーザーだけを選ぶのではなく、Googleの資格情報、Yahoo、Outlook.com、Hotmail、AOL、Comcast、Verizon、163.comなどの電子メールアカウントを受け入れるという。

究極の目標はパスワードでした。

また、今週、新しいモバイルトロイの木馬は、二要素認証を使用するオンラインモバイルバンキングの顧客に大混乱を引き起こしています。 Perkeleと呼ばれ、モバイルデバイスに送信される2要素のパスコードを盗むために、モバイルデバイスと一緒にPCまたはラップトップに感染します。

これらの携帯電話の3つすべてが優れており、同等のiPhone 6sまたは6s Plusよりも安いです。

被害者は、テキストメッセージや電子メールで不正なリンクを開くか、ドライブバイダウンロードによって攻撃されている。 Perkele氏を発見したVersafe氏は、Bankinfo SecurityのWebサイトで、「銀行機関は、ユーザーの認証を超えてモバイルおよびオンラインバンキングプラットフォームにセキュリティを組み込む必要がある」と語った。

ハッカーは盗まれたパスワードで何をしますか?大規模なチャンクでピラリングされたものは、他の方法の中でレインボーテーブルを更新するために使用されます。これにより、追加の盗難されたパスワードを壊すことがますます容易になります。

パスワードがクラックされると、盗まれたパスワードに関連する電子メールアドレスは、槍フィッシング攻撃の2つの要素になります(New York Times参照)。さらに、これらの電子メールとパスワードの組み合わせは、プログラムにロードされ、他のWebサイトに対して実行されます。エンドユーザーがパスワードを再利用した可能性があります。

この長いパスワードの問題は、チェーンの弱いリンク、エンドユーザが行動を変えたくないこと、そして事実ハッカーがより洗練されてきていることを考えると、修正するのは難しい問題でした。

2因子認証が解決策としてのニュースを支配していましたが、Perkeleはその脆弱性を示し始めます。それ以外に何ができますか?研究者、ベンダー、そして他の人がどこで答えを探し始めるのですか?

ホワイトハウス、連邦最高情報セキュリティ責任者を任命

国防総省のサイバー緊急対応を批判したペンタゴン

ChromeがHTTP接続に安全でないとラベル付けを開始する

Hyperledgerプロジェクトはギャングバスターのように成長しています

最新レビュー