비디오: 『 MMD 』 If I Can't Have You ◇ Genshin Impact (십월 2024)
이번 주 초 Trustwave는 Pony 봇넷 컨트롤러를 사용하여 관리되는 많은 봇넷에 대한 연구를 발표했습니다. 연구원들은 Command and Control 서버를 대신하여 봇넷을 제어했습니다. 일단 통제가 이루어지면 봇넷이 감염된 컴퓨터에서 약 2 백만 개의 암호를 훔 쳤음을 발견했습니다. 그들은 또한 우리 대부분이 이미 알고있는 것을 발견했습니다. 사람들은 암호가 끔찍합니다.
비밀번호 찾기
2 백만 건의 손상된 계정이 1, 580 만 개의 웹 사이트 자격 증명, 320, 000 개의 전자 메일 로그인, 41, 000 개의 FTP 계정, 3, 000 개의 원격 데스크톱 자격 증명 및 3, 000 개의 보안 셸 계정 자격 증명 사이에 널리 퍼져 있습니다. 물론 문제는 영향을받는 사용자 중 몇 명이 다른 사이트에 대해 동일한 암호를 선택했는지입니다.
연구원들은 318, 121 개의 페이스 북 자격 증명을 발견했으며 이는 전체의 57 %를 차지했습니다. 야후는 약 60, 000 개의 계정과 21, 708 개의 트위터 계정, 8, 490 개의 링크드 인 암호 및 7, 978 개의 급여 제공 업체 ADP 계정으로 이어졌습니다. 이 마지막 것은 조금 드문 일이지만 공격자가 피해자의 개인 정보에 액세스 할 수있게 해주므로 상당히 손상됩니다.
가장 무서운 것은 16, 095 개의 Google.com 자격 증명과 54, 437 개의 Google 계정 자격 증명이었습니다. 이를 통해 공격자는 Gmail에 액세스 할 수 있으며 웹 사이트의 "비밀번호를 잊어 버렸습니다"기능을 사용하여 다른 비밀번호를 재설정 할 수 있습니다. 또한 공격자가 Google 드라이브의 개인 파일에 액세스하거나 Google 월렛의 결제 정보에 액세스 할 수 있습니다.
이 모든 것이이 사이트에 대한 대규모 공격이 있다는 것을 의미하지는 않습니다. 범죄자들은 피싱 및 키로거와 같은 여러 수단을 통해 이러한 주소를 수집하여 이러한 서버에 저장했을 가능성이 높습니다. 다른 구매자에게 판매하거나 나중에 사용할 수 있도록 저축 할 수 있습니다.
다시 끔찍한 암호
Trustwave는 암호를 범주로 분류했습니다. 6 %는 "끔찍한"반면 28 %는 "나쁜"것입니다. 결합 된 22 %는 "양호"또는 "우수", 44 %는 "중간"이었습니다. 최악은 123456, 123456789, 1234 및 "password"입니다.
대부분의 암호는 문자와 숫자를 혼합하지 않았습니다. 트러스트 웨이브는 대부분의 비밀번호는 모든 문자 (대소 문자)이거나 모든 숫자에 이어 두 가지 유형 (예를 들어 대문자와 소문자를 혼합하거나 소문자를 혼합 한 숫자)을 가진 비밀번호가 뒤따른다고 트러스트 웨이브는 말했다.
한 가지 좋은 발견은 암호의 거의 절반 (46 %)이 10 자 이상의 긴 암호를 가지고 있다는 것입니다. 트러스트 웨이브는 암호의 대부분이 6 자에서 9 자 범위에 있다고 말했다.
하이 프로파일 대상
AccessData의 엔터프라이즈 데이터 아키텍트 인 Lucas Zaichkowsky가 우려하는 한, 범죄자들은 "고가의 대상 조직의 사람들"에 속한 계정을 찾을 것입니다. Zaichkowksy는 이러한 사람들이 업무 관련 리소스뿐만 아니라이 사이트에서도 동일한 암호를 사용하는 것으로 밝혀지면 공격자는 웹 기반 클라이언트를 통해 VPN 또는 전자 메일을 통해 회사 네트워크에 침입 할 수 있다고 지적했습니다.
Zaichkowksy는 "그들은 암흑 시장의 다른 사람들에게 귀중한 계정을 판매하여 유효한 대상 자격 증명에 대해 큰 돈을 지불하여 수익성있는 대상 조직에 제공 할 수 있습니다"라고 말했습니다.
사람들은 업무용 이메일 주소를 사용하여 Facebook에서 계정을 등록하는 등 개인 활동에 사용합니다. IOActive의 CTO 인 세자르 세루도 (Cesar Cerrudo)는 장군과 중위 장군 ("장군 장군")이.mil 이메일 주소를 사용하여 여행 사이트 Orbitz, GPS 회사 garmin.com, Facebook, 트위터와 스카이프 (Skype)로 이는 개인이 목표로 매우 가치 있고 많은 민감한 정보에 액세스 할 수 있기 때문에 암호 재사용 가능성이 더욱 문제가됩니다.
그러나 Mike Shema 엔지니어링의 Qualys 이사는 미래에 희망을 볼 것이라고 말했다. "2014 년을 향해서, 2 단계 인증은 기업 및 소비자 기술 전반에 걸쳐 계속 추진력을 얻게 될 것이며, 많은 앱들이 2 단계 요소를 채택하기 시작할 것입니다. 또한 다중 인증 암호를위한 스마트 암호화 엔지니어링의 등장도 볼 수 있습니다. " 이중 인증에는 문자 메시지를 통해 전송되는 특수 코드와 같은 두 번째 인증 단계가 필요합니다.
안전 유지
일반적인 합의는 이러한 암호가 사용자 컴퓨터에서 수집되었으며 사이트의 로그인 정보를 훔치지 않는다는 것입니다. 이는 즐거운 속도 변화입니다. 키로거는 의심스럽고 특히 위험합니다. 이러한 악의적 인 응용 프로그램은 키 입력을 캡처 할 수있을뿐만 아니라 스크린 샷, 클립 보드 내용, 시작한 프로그램, 방문한 사이트, IM 대화 및 전자 메일 스레드를 통해 선별 할 수도 있습니다. 다행히도 대부분의 안티 바이러스 소프트웨어가이를 다루어야합니다. Editors 'Choice Award 수상자 인 Webroot SecureAnywhere AntiVirus (2014) 또는 Bitdefender Antivirus Plus (2014)를 권장합니다.
일부 AV 프로그램은 기본적으로 "그레이웨어"또는 "잠재적으로 원하지 않는 프로그램"을 차단하지 않습니다. 키로거는 때때로이 범주에 속하므로이 기능을 활성화해야합니다.
암호 정보를 제공하도록 피해자를 속이는 피싱 및 기타 전술은 차단하기가 더 어렵습니다. 다행히 피싱 공격을 탐지하고 피하는 방법에 대한 팁이 많이 있습니다.
가장 중요한 것은 사람들이 암호 관리자를 사용하는 것입니다. 이러한 응용 프로그램은 사용하는 모든 사이트 또는 서비스에 대해 고유하고 복잡한 암호를 만들어 저장합니다. 또한 자동으로 로그인되어 키로거가 정보를 포착하기가 훨씬 어려워집니다. 암호 관리 부문에서 편집자 선정 상을 수상한 Dashlane 2.0 또는 LastPass 3.0을 사용해보십시오.
