LinkedIn数据泄露启示的课程
亚马逊云撞车迫使澳大利亚企业从沙滩上抬起头
Ed Vaizey讲述为什么欧洲对英国技术很重要
Apple iOS 9.3在这里 - 立即下载,或等待错误以9.3.1修复错误?
泰国的TMB银行通过云地通风
FBI Director承认使用San Bernardino iCloud重置错误
25苏格兰议会寻求联合首席数字官
这些技术将吹掉盖子关闭数据存储
当心:每个Apple Watch用户都需要这个应用程序
Sightup Sigfox赢得了一个运营商作为新的无线电争夺IoT的未来
Google团队与Intuit和其他人提供新类型的Docs模板
埃森哲将HMRC税制移动到私人云
Cyber​​espionage Groups正在窃取数字证书来签署恶意软件
为什么Apple求助开源开发人员迅速
Windows补丁KB 3139929:当安全更新不是安全更新时
Home Depot支付高达19.5亿美元用于大规模2014年数据泄露
Apple在iPhone销售中使用了第一个两位数下降
海湾空气修补程序与Oracle套件并探索混合云模型
这么龙,沃森 - 你好,面条:前IBMER启动A.I.企业为企业
新加坡零售商将IT基础架构转移到云端
NHS England寻求数字体验总监
事情互联网增加了对技术技能的需求
Apple Watch的50美元价格下降显示了2015年销售缓慢的反应
SSD价格再次垂直,关闭了HDD
昆腾网络人员,注意:扭曲的光让它变下来
中东和非洲看到2020年的最快的IP流量增长
Techmums的创始人说,Tech现在现在是时尚的,但并不总是一直都是
广告牌可以跟踪您的位置,隐私权倡导者不喜欢它
微软表示,通过对全球数据转移的法律相互冲突,微软表示“鞭打”
在Brexit之后,政府提前的不确定性
思科和IBM在网络边缘的IOT分析上合作
Windows 10支持通过X86芯片
加利福尼亚州Apple-Samsung专利纠纷中的第三陪审团审判无限期地推迟了
Apple突出了服务收入和未来投注,因为iPhone销售下降
FAA注册了近40万个无人机
微软霍尔森:$ 3000 devkit似乎愚蠢
网络是应用程序:为什么API是改变的代理人
报告显示,云安全问题升高升高
DisplayPort 1.4支持8K显示,使用USB-C
Fintech Trailblazer击中阿拉伯联合酋长国
想要镀铬片?CTL的New Chromebook有一个录像带
StorageSOS解决容器存储的缺点
Apple对PC用户充斥,但微软几乎没有恐惧
Santander使用BloctChain进行国际付款
日本科技公司获得英国芯片制造商臂
谷歌推动RCS消息传递应用程序在Android手机上运行
Dod邀请安全专家破解五角大楼
基于广告的网络攻击BBC,纽约时报,MSN
Mingis关于Tech:Apple活动,iPads和智能手机,哦,我!
专家说,物联网增加了网络和法律风险
您的位置:首页 >科技 > 消费电子 >

LinkedIn数据泄露启示的课程

2021-06-19 08:44:47 [来源]:

当LinkedIn表示,“一些”用户细节于2012年受到损害时,最初认为大约650万,但现在似乎数百万人受到影响。要学到的教训是什么?

这必须是主板启示出来的顶级课程,其中一个1.67亿个LinkedIn账户详情的特色是在黑暗网上出售。

细节销售于比特币等同于2,200美元的比特币,其中11700万详细信息,包括LinkedIn密码和电子邮件地址。

密码被加密或哈希,但仅使用SHA1算法而不使用散列之前添加的“腌制”或随机字符,这意味着密码相对容易破裂。

LinkedIn自修复了问题,但如果数据确实来自2012年违规,用户从那时起,用户没有改变他们的密码,裂缝密码仍然有效。

然而,这一点在于LinkedIn表示,所有受影响的用户已被通知并要求重置密码,但出现并非如此。因此,已知已知在线服务提供商被黑客入侵的任何人都应该重置他们的密码,即使服务提供商不通知它们。

虽然LinkedIn建议所有用户在2012年违约之后更改他们的密码,但它需要仅由账户被认为受到损害的用户重置密码。因此,11700万个账户持有人继续存在风险。

只有现在,四年后,LinkedIn采取措施使这些帐户的密码无效。

2012年,LinkedIn始终如一地说“一些”密码受到损害,但从不具体的数字。

这应该表明了我们现在所知道的事实:本组织根本不知道违约所影响的账户。因此,企业和消费者对企业和消费者来说是更安全的,以假设任何违规意味着完全违反。

如上所述,LinkedIn的密码被加密,但该公司仍在使用相对较弱的散列算法。它也没有将随机文本添加到密码中,使其更加困难地撤消密码的哈希或扰乱版本。

无论业务或消费者依赖于加密的密码,他们都应该确保使用强大的算法来腌制和哈希。

一些保安局已经表示,LinkedIn无法快速和自信地建立违规行为,这一点是令人震惊的,这可能是许多公司的情况。

“这一事实是,这种大量证书已经可以为黑客提供这么长时间非常令人担忧,”安全数据共享公司Covata的首席执行官Trent Telford说。

“它还有助于LinkedIn低估了这一违约的规模,并指出了一旦发生违规行事,就需要更好的调查工具,”他说。

在2012年违规之后,LinkedIn使用手机短信启用了双因素认证(2FA),如果您的密码未重置的11700万个帐户持有人利用,他们就不会有风险。

鉴于数据泄露的数量和大小的持续升级,安全专家在尽可能在可能的情况下显着提高保护,建议用户启用2FA。甚至LinkedIn甚至鼓励用户启用2FA。

“密码是一个来自过去的年龄的遗物,他们根本不为我们今天所有商店和网上访问的信息量提供足够的保护,”在分布式加密Firmmiracl,前身都被称为Certivox。

“密码不为用户扩展,他们不保护服务本身,他们很容易受到多次攻击,”他说。

因为无法通过绝对确定密码没有受到损害,因此定期更改密码,即使密码已受到损害,如果用户定期更改密码,则会最大限度地减少风险的曝光。

一些安全部门书道表示,在四年内未能更改密码的任何人都应该受到忽视忽视密码旋转的良好实践原则。

安全行业多年来一直在说这一点,但研究表明密码重复使用仍然很常见。

为每个在线服务创建唯一密码意味着如果一个人受到损害,则其他人都不会受到影响。但是,交谈也是如此。如果重复使用密码并且一个服务受到损害,则表示相同密码有效的所有其他人也存在风险。

“虽然LinkedIn已经注意到了使受影响的帐户的密码无效,并联系这些成员重置他们的密码,但许多人都将在多个在线账户中使用相同的密码,”卡巴斯基实验室的安全研究员Liviu Itoafa表示。

“重要的是,LinkedIn用户可以采取措施更改他们使用相同密码的其他在线帐户的密码,”他说。

最后,关于LinkedIn 2012年数据违规的最新消息突出了密码不一定是最有价值的数据或黑客正在寻找的唯一有价值的数据类型。

TOD Heardsley Sapid7的安全研究经理表示,LinkedIn妥协中最有价值的数据可能根本不是密码,而是连接到工作专业人员的电子邮件地址的巨大登记处。

“垃圾邮件发送者依赖于准确,活动的电子邮件地址到目标,5比特币的低价标签可能会从今天的垃圾邮件行业产生重大兴趣。

“虽然人们的密码可以,并且应该经常更改,电子邮件地址和用户名在没有简单的机制来改变它们的情况下保持不变,”他说。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。