Twitter强制密码重置易受黑客群体的帐户
Twitter迫使数百万用户重置他们的密码后,报告近3300万推特账户的登录凭据正在暗网络上交易。
被盗凭证存储库泄露的泄漏报告了泄漏,所述Twitter没有被黑客攻击,但凭据在用户计算机上使用恶意软件被盗。
根据Twitter,凭证也可能通过来自其他近期漏洞的信息的集合或两者的组合来分配。
“其他网站的数据泄露的最近普遍存在所有网站都具有挑战性 - 不仅仅是那些违反的网站,”Twitter在博客岗位中说。
“攻击者挖掘了公开的用户名,电子邮件和密码数据,利用自动化,然后尝试自动测试所有顶级网站的登录数据和密码,”该公司表示。
LeakedSource表示已使用别名[电子邮件保护]从源从源从源获得Twitter用户数据,但如果此别名指的是群体或inpidual,则不知道。
无论原点如何,Twitter表示,它已经通过其记录交叉检查了LeakedSource的数据,并确定了“一些推特账户”以进行额外保护。
“具有直接密码曝光的帐户被锁定并需要帐户所有者重置密码,”Twitter在博客文章中表示。
Twitter已拒绝指定有多少用户通知,但在华尔街日记中告诉华尔街日报,总数是“在数百万里”。
泄露的数据再次突出显示基于密码的安全性的弱点,通过较差的密码实践加剧,例如使用多个帐户或弱密码的相同密码重复的人。
根据LiquedSource,它获得的Twitter用户数据中最常用的密码是“123456”,列出了超过120,000个帐户。
下一个常用的密码是“123456789”,“qwerty”和“密码”。
密码的标准建议是为所有在线帐户使用强大,唯一的非字典密码,如果可用,请启用双因素身份验证,并使用密码管理器。
Twitter是越来越多的在线服务之一,提供双因素认证(2FA)或登录验证,是额外的安全性。
Twitter用户不能仅输入密码来登录密码,而不是进入通过短信发送给手机的代码。
虽然使用浏览器到本地存储的密码可能是方便的,但是密码管理器Lastpass的首席执行官Joe Siegrist表示,这是非常不安的。
“当恶意软件在播放时,非常方便的是,可以防止这种选择作为安全性和坚固的安全性,”他说。
相比之下,Siegrist表示,专用密码管理器浏览器扩展使用AES 256位加密加密所有用户信息。
TOD Beardsley,Security FirmRAPID7SAID的安全研究经理它看起来凭证从近浏览器的密码商店收获凭据,这是令人不安的。“我们经常建议人们在专用密码管理系统中保存密码,例如Keepass,1password或LastPass。
“恶意软件对于默认浏览器密码存储中存储的凭据通常缺乏适当的访问控制,这是太容易的,因为这些数据库通常缺乏适当的访问控制,”他说。
在线服务也越来越多地采取措施,以确保用户的密码是通过搜索任何匹配的泄露的凭据和通知用户如果找到任何匹配项,则确保用户的密码是唯一的。
Netflix最近聘请了询问用户在LinkedIn,Tumblrand Myspace的旧漏洞中发现的凭据中发现的凭据中找到的用户重置密码。
“SomenetflixMembers已收到电子邮件,鼓励他们将其帐户密码更改为预防措施,因为最近在另一个互联网公司的较旧违约中披露额外的凭据披露,”Netflix在释放到Kresecurity的声明中表示。