巨大的被盗的Webmail凭证缓存可以推动使用2FA
关于数百万盗窃的Webmail凭证的缓存报告最终可能会推动更广泛的采用双因素认证(2FA)说安全专家。
谷歌Gmail,Yahoo Mail,Microsoft Hotmail,俄罗斯的邮件.ru和一些德国和中文网络恐怖提供商正在调查一份报告,通过持有从许多违规行为的17亿盗窃凭据的发现的发现。
安全公司能够访问数据以换取对年轻俄罗斯黑客社交媒体页面的有利评论,对数据的真实性提出了一些疑问。
消除重复后,安全公司表示,27200万人出现是独一无二的,而4250万以前从未见过。
在公开之前,假设剩余部分被认为被认为是被盗的,安全公司在受影响的Webmail提供商被通知。
大多数凭证来自Mail.ru(5700万),其次是雅虎(4000万),Hotmail(3300万)和Gmail(2400万)。
Mail.ru告诉路透社,它正在检查用户名/密码的任何组合是否匹配用户的电子邮件,并且仍然是活动的,也添加了初始检查,找不到与现有电子邮件匹配的用户名和密码的实际组合。
雅虎和谷歌表示,他们正在调查举行安全报告,而微软表示,该公司有安全措施来检测账户妥协,并需要其他信息来验证帐户所有者并帮助他们重新获得唯一访问权限。
一些安全评论员警告说,即使用户名/密码组合无效,网络犯罪分子也可以使用垃圾邮件广告系列的电子邮件地址。
众群安全公司Bogcrowd的业务副总裁Jonathan Cran表示,每个主要提供商都有自己的迫使账户变更机制。这意味着它可能是大多数这些帐户将被停用或密码重置即将推出。
但是,他表示,发现这么大集中的被盗凭证再次强调密码不再是安全的认证机制。
“由于密码重用帐户,在一个提供商中的违规可能会影响他人。由于密码重用,这对公司表示了明确和呈现的危险,“他说。
根据CRAN,因为许多用户都有相同的个人和公司密码,公司应该寻求确定哪些用户是否受到损害,并强制重置密码。
虽然每个主要受损的提供商都支持2FA,但他表示可能有大多数被盗凭证与未启用2FA的帐户相关联。
“Gmail的估计已经以不到10%的价格将采用放在不到10%,但期待10年,我预计2FA将被广泛使用 - 也许是Ubiqutous - 这将是较少的问题。但是现在,被盗的凭据对每个人来说都是一个重大问题,“凯克说。
云应用安全公司CloudLock的高级研究工程师David致致欢迎,支持支持多因素认证的云服务。
“使用2FA降低了潜在黑客来真正使用被盗凭证的风险,”他说。
MOLAMED补充说,对于企业连续监测WEB的黑暗区域,它变得至关重要,因此他们可以确保用户帐户不会在近实时损害并在限制损坏时在接近实时作出反应。
世界密码日5月5日是一个旨在促进使用多因素认证来提高在线安全的广告系列。
“当我们在线移动更多生活时,我们需要一种更有效的方式来证明我们是谁,”安全解决方案David Mount咨询欧洲在英国软件公司微型焦点核心。
“答案可以使用令牌,智能手机,生物识别,行为指标或这些措施的混合,这将取决于所保护信息或服务的敏感性,”他说。
“但是,无论答案是针对每个特定安全方案的答案,只需依赖于用户设计并记住足够安全的密码基本缺陷。”
Digal Security Comper Gemalto的数据保护CTO Jason Hart表示,世界密码日是一个提醒所有组织和客户,没有安全密码。
“静态密码都带有被攻击的风险。他说,组织需要寻找验证用户和支持者安全性的替代方案。“
根据HART,组织有多种方式来验证用户。“但是最重要的是让他们采用全面的安全战略,提供多层保护。这包括双因素身份验证,这是基于您所知道的和您拥有的东西,以及加密数据和适当的密钥管理。“
英国安全公司Silicon:Safe,它开发了防止批量盗窃用户名和密码的硬件系统,表示通过保持安全性的这种大凭证缓存的发现显示了问题凭证盗窃的大大。
“缓存的大小突出了inpiduals或组织可以依赖于传统技术,例如加密或特权,以防止盗窃用户名和密码,”硅的创始人和首席技术官的粗糙:安全。
“最近的大规模密码漏洞的历史表明这些技术失败了。”
他认为,解决方案是将批量密码数据“超越”在专用的硬件支持的数据库中,只允许存储和比较数据,从未显示过。
“这使得任何人都无法实现犯罪或系统管理员 - 阅读密码数据库或从中提取密码,”哈林说。