又是弱密码的锅,近10TB的商业文件被窃,或与FBI有关
软件制造商Citrix近日承认公司因国际黑客窃取大量数据,现已沦为数据泄露的新受害者。美国联邦调查局(FBI)已经就此事和公司取得联系,并警告称本次网络攻击行为极有可能是伊朗黑客组织所为,约有6TB至10TB的商业文件被窃取。
图片来自于 Flickr
针对本次安全事件,Citrix已经采取积极措施。公司表示:“我们已经全面配合FBI开展调查,并且聘请了一家专业领先的网络安全公司提供协助,巩固我们的内部网络。”随后补充道没有任何迹象表明Citrix的产品或者服务受到了损害,但也承认并不清楚黑客到底访问了哪些文件,以及有多少文件被访问过。
Resecurity总裁查尔斯·尤(Charles Yoo)表示,有证据表明黑客大约在10年前首次攻击Citrix的网络,并且此后一直处于等待状态。这些被盗的文件主要和FBI、NASA、航空航天业,以及沙特阿拉伯国拥有石油的公司有关。
而造成此次泄露事件的关键要素又回到了我们经常谈到的“弱密码”,披露的细节显示,黑客使用了一种名为“password spraying”的策略,利用弱密码获取有限的访问权限,然后努力绕过其他安全系统。弱密码不只被用户广泛使用着,甚至连一些有名的公司也会犯同样的错误。
尽管前不久万维网联盟(W3C)与 FIDO 联盟宣布,新标准WebAuthn让我们无需担心泄密问题,哪怕被入侵者跟踪到用户行为,也无法轻易取得Web 准入资格,传统的钓鱼攻击也会变得更加困难。(详情戳:新!Web身份验证新标,支持免密登陆)
不过目前,WebAuthn 只在Dropbox、Facebook、Github、Salesforce、Stripe 和Twitter等网站上实现了。因此,并非所有网站都可以实现如此安全的免密登陆。
那么,在WebAuthn 被普及之前,更多的人仍然需要警惕存在风险和危险的弱密码。
如何将弱密码升级为强密码?
使用密码短语,而非单纯的密码
密码短语的关键是将词或短语连在一起,形成一个长的短语,最好选择一个自己容易记住但他人很难猜到或破解的短语,入一些随机的符号和字符,进一步加强安全性。
例如:mydogfido’sbirthdayisnovember19
使用双因素验证加强密码安全
双因素验证可以把你知道的一些信息(你的密码)与你拥有的东西(你的电话)或你具有的特征(你的指纹),甚至是你所在的地方(你的位置)结合起来。
其在于,如果你的密码不知何故泄露了出去,那么在不知道双因素验证信息的情况下,攻击者还是无法登录你的帐户。
在工具箱中加入密码管理器
实际上,如果没有什么东西来帮助记忆、整理和创建密码,很难养成良好的密码习惯,那就选择一款密码管理器。
你可以从我们之前的文章中选择一款你会更感兴趣的密码管理器,详情戳:《4款好用的密码管理器,你值得拥有》
在无密码登陆时代来临前,密码仍然是保护网络安全的重要部分,无论对于个人还是企业,都至关重要,警惕弱密码!
参考来源:
cnBeta.COM
lastpass
- End -
(晋级赛Q1正在火热进行中~!)
热门文章阅读
公众号ID:ikanxue
官方微博:看雪安全
商务合作:wsc@kanxue.com
点击阅读原文,了解更多~