LinkedIn数据泄露启示的课程
当LinkedIn表示,“一些”用户细节于2012年受到损害时,最初认为大约650万,但现在似乎数百万人受到影响。要学到的教训是什么?
这必须是主板启示出来的顶级课程,其中一个1.67亿个LinkedIn账户详情的特色是在黑暗网上出售。
细节销售于比特币等同于2,200美元的比特币,其中11700万详细信息,包括LinkedIn密码和电子邮件地址。
密码被加密或哈希,但仅使用SHA1算法而不使用散列之前添加的“腌制”或随机字符,这意味着密码相对容易破裂。
LinkedIn自修复了问题,但如果数据确实来自2012年违规,用户从那时起,用户没有改变他们的密码,裂缝密码仍然有效。
然而,这一点在于LinkedIn表示,所有受影响的用户已被通知并要求重置密码,但出现并非如此。因此,已知已知在线服务提供商被黑客入侵的任何人都应该重置他们的密码,即使服务提供商不通知它们。
虽然LinkedIn建议所有用户在2012年违约之后更改他们的密码,但它需要仅由账户被认为受到损害的用户重置密码。因此,11700万个账户持有人继续存在风险。
只有现在,四年后,LinkedIn采取措施使这些帐户的密码无效。
2012年,LinkedIn始终如一地说“一些”密码受到损害,但从不具体的数字。
这应该表明了我们现在所知道的事实:本组织根本不知道违约所影响的账户。因此,企业和消费者对企业和消费者来说是更安全的,以假设任何违规意味着完全违反。
如上所述,LinkedIn的密码被加密,但该公司仍在使用相对较弱的散列算法。它也没有将随机文本添加到密码中,使其更加困难地撤消密码的哈希或扰乱版本。
无论业务或消费者依赖于加密的密码,他们都应该确保使用强大的算法来腌制和哈希。
一些保安局已经表示,LinkedIn无法快速和自信地建立违规行为,这一点是令人震惊的,这可能是许多公司的情况。
“这一事实是,这种大量证书已经可以为黑客提供这么长时间非常令人担忧,”安全数据共享公司Covata的首席执行官Trent Telford说。
“它还有助于LinkedIn低估了这一违约的规模,并指出了一旦发生违规行事,就需要更好的调查工具,”他说。
在2012年违规之后,LinkedIn使用手机短信启用了双因素认证(2FA),如果您的密码未重置的11700万个帐户持有人利用,他们就不会有风险。
鉴于数据泄露的数量和大小的持续升级,安全专家在尽可能在可能的情况下显着提高保护,建议用户启用2FA。甚至LinkedIn甚至鼓励用户启用2FA。
“密码是一个来自过去的年龄的遗物,他们根本不为我们今天所有商店和网上访问的信息量提供足够的保护,”在分布式加密Firmmiracl,前身都被称为Certivox。
“密码不为用户扩展,他们不保护服务本身,他们很容易受到多次攻击,”他说。
因为无法通过绝对确定密码没有受到损害,因此定期更改密码,即使密码已受到损害,如果用户定期更改密码,则会最大限度地减少风险的曝光。
一些安全部门书道表示,在四年内未能更改密码的任何人都应该受到忽视忽视密码旋转的良好实践原则。
安全行业多年来一直在说这一点,但研究表明密码重复使用仍然很常见。
为每个在线服务创建唯一密码意味着如果一个人受到损害,则其他人都不会受到影响。但是,交谈也是如此。如果重复使用密码并且一个服务受到损害,则表示相同密码有效的所有其他人也存在风险。
“虽然LinkedIn已经注意到了使受影响的帐户的密码无效,并联系这些成员重置他们的密码,但许多人都将在多个在线账户中使用相同的密码,”卡巴斯基实验室的安全研究员Liviu Itoafa表示。
“重要的是,LinkedIn用户可以采取措施更改他们使用相同密码的其他在线帐户的密码,”他说。
最后,关于LinkedIn 2012年数据违规的最新消息突出了密码不一定是最有价值的数据或黑客正在寻找的唯一有价值的数据类型。
TOD Heardsley Sapid7的安全研究经理表示,LinkedIn妥协中最有价值的数据可能根本不是密码,而是连接到工作专业人员的电子邮件地址的巨大登记处。
“垃圾邮件发送者依赖于准确,活动的电子邮件地址到目标,5比特币的低价标签可能会从今天的垃圾邮件行业产生重大兴趣。
“虽然人们的密码可以,并且应该经常更改,电子邮件地址和用户名在没有简单的机制来改变它们的情况下保持不变,”他说。