密码泄露的黑暗世界——以及如何检查你是否被攻击了

阅读量33246

发布时间 : 2024-07-09 19:35:51

x
译文声明

本文是翻译文章,文章原作者 马克·萨博,文章来源:welivesecurity

原文地址:https://www.welivesecurity.com/en/how-to/the-murky-world-of-password-leaks-and-how-to-check-if-youve-been-hit/

译文仅供参考,具体内容表达以及含义原文为准。

密码泄露越来越普遍,弄清楚你自己王国的钥匙是否已经暴露可能很棘手——除非你知道去哪里找

最近,我看到了一份报告,详细介绍了“所有违规行为之母” ——或者更确切地说,大量数据被泄露,这些数据是在对包括 LinkedIn 和 Twitter(现为 X)在内的多家公司和在线服务进行多次攻击时被盗的。据报道,数据缓存包含惊人的 260 亿条记录,其中包含大量敏感信息,包括政府数据和人们的登录凭据。

虽然这并不是第一次出现大量用户数据被盗取的情况,但被盗记录的数量之多超过了之前已知的泄密事件(及其汇编)。想想看,2020 年臭名昭著的 Cam4 数据泄露事件暴露了近 110 亿条各种记录,而2013 年雅虎的泄密事件则危及了所有 30 亿个用户账户。我们不要忘记:恰如其名的Collection No. 1于 2019 年出现在开放互联网上,暴露了之前从各个组织窃取的 7.73 亿个登录名和密码,几周后又有四起此类“事件”发生。

这给我们留下了什么?也许关键的一点是,即使你采取了严格的个人安全措施,你的账户凭证仍然可能被收集,主要是由于大公司的违规行为。这引出了一个问题——你如何才能知道你的凭证是否被泄露了?请继续阅读。

公司披露

企业可能受到特定监管要求的约束,这些要求要求它们披露黑客事件和未修补的漏洞。例如,在美国,上市公司需要在“重大”网络事件发生后 96 小时或四个工作日内向美国证券交易委员会(SEC) 报告。

这对普通民众有什么帮助?这种透明度不仅有助于与客户建立信任,还可以告知他们他们的账户或数据是否被泄露。公司通常通过电子邮件通知用户数据泄露,但由于SEC 文件是公开的,您可以从其他来源了解此类事件,甚至可能是报道这些事件的新闻报道。

我被黑了吗?

也许最简单的检查你的某些数据(如你的电子邮件地址或任何密码)是否在数据泄露中暴露的方法就是访问haveibeenpwned.com。该网站提供了一个免费工具,可以告诉你你的数据何时何地被泄露。

通过简单的搜索查询即可在 haveibeenpwned.com 上检查电子邮件和密码。只需输入您的电子邮件地址,点击“被盗用了?”,然后就大功告成了!系统将出现一条消息,通知您凭证的安全状态以及它们被盗用的确切泄露情况。对于幸运的用户,结果将为绿色,表示没有被盗用;而对于不幸的用户,网站将变为红色,列出您的凭证被盗用的情况。

Web 浏览器

一些网络浏览器,包括Google ChromeFirefox,可以检查您的密码是否包含在任何已知的数据泄露中。Chrome 还可以通过其密码管理器模块推荐更强的密码或提供其他功能来增强您的密码安全性。

Chrome 中的密码管理器可以非常方便地发现您的数据是否已被公开泄露。但是,您可能希望进一步提高自己的水平,并使用专用的密码管理器,该管理器在数据安全方面有着良好的记录,包括通过强大的加密。这些工具通常还与信誉良好的多层安全软件捆绑在一起。

密码管理器

在处理大量登录凭据时,密码管理器非常有用,因为它们不仅可以安全地存储它们,还可以为每个在线帐户生成复杂而独特的密码。然而,不言而喻的是,您需要使用一个强大但容易记住的主密码,它是您王国的钥匙。

另一方面,这些密码库并非完全不受攻击,仍然是恶意行为者的目标,例如通过凭证填充攻击或利用软件漏洞的攻击。即便如此,其好处(包括内置泄露密码检查和与如今许多在线平台上提供的双因素身份验证 (2FA) 方案的集成)还是大于风险。

如何防止凭证泄露(的影响)?

那么,首先要如何防止泄密呢?普通互联网用户可以保护自己免受凭证泄露吗?如果可以,该怎么做?事实上,你如何才能保证你的账户安全呢?

首先,我们再怎么强调也不为过,不要只依赖密码。相反,请确保您的帐户受到两种身份识别形式的保护。为此,请在每项支持双重身份验证 (2FA) 的服务上使用双重身份验证,最好是使用 2FA 专用安全密钥或 Microsoft Authenticator 或 Google Authenticator 等身份验证器应用程序。这将使攻击者更难以未经授权访问您的帐户 – 即使他们以某种方式获得了您的密码。

至于密码安全,请避免将登录信息写在纸上或存储在笔记应用中。最好避免将帐户凭据存储在网络浏览器中,因为网络浏览器通常仅将其存储为简单的文本文件,这使其容易受到恶意软件的数据泄露。

其他基本的帐户安全提示包括使用强密码,这会使骗子更难进行暴力攻击。不要使用简单而短的密码,例如单词和数字。如有疑问,请使用此 ESET 工具为每个帐户生成强而独特的密码。

使用密码短语也是个好习惯,这样既安全又容易记住。密码短语不是随机字母和符号组合,而是由一系列单词组成,中间夹杂大写字母和特殊字符。

同样,每个帐户使用不同的密码,以防止诸如凭证填充之类的攻击,这种攻击利用了人们在多个在线服务中重复使用相同凭证的倾向。

一种较新的身份验证方法依赖于无密码登录,例如密钥,还有其他登录方法,例如安全令牌、一次性代码或生物识别技术,以验证跨多个设备和系统的帐户所有权。

企业方预防

公司需要投资安全解决方案,例如可以防止违规和安全事故的检测和响应软件。此外,组织需要主动缩小攻击面,并在检测到可疑情况时立即做出反应。漏洞管理也至关重要,因为掌握已知的软件漏洞并及时修补有助于防止网络犯罪分子利用漏洞。

同时,无处不在的人为因素也可能引发攻击,例如员工打开可疑电子邮件附件或点击链接。因此,网络安全意识培训终端/邮件安全的重要性不容小觑。

任何认真解决数据安全的公司也应该考虑数据丢失防护(DLP) 解决方案并实施强大的备份策略

此外,处理大量客户和员工数据需要严格的加密措施。本地凭证加密可以保护此类敏感数据,使攻击者难以在没有相应加密密钥的情况下利用被盗信息。

总而言之,没有一刀切的解决方案,每家公司都需要根据自己的具体需求量身定制数据安全策略,并适应不断变化的威胁形势。然而,结合网络安全最佳实践将在很大程度上防止数据泄露和泄漏。

本文翻译自welivesecurity 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66