弱密码惹的祸!全球约三分之一大企业CEO的邮箱账户和密码遭曝光

2017-10-31 231527人围观 ,发现 1 个不明物体 数据安全资讯

由于在多个帐户中重复使用相同且较简单的密码,全球约三分之一的大型公司 CEO 的工作邮箱账户和密码被盗,连带其家庭住址、公司机密、私人邮件内容等私密信息均遭到曝光。 

实际上,电子邮箱帐户对网络犯罪分子来说非常有吸引力,因为它通常都包含一些敏感信息。比如, 第65任美国国务卿科林·鲍威尔的Gmail帐号曾在2016年的总统竞选期间遭到攻击,在泄露出来的一封邮件里他写到:“这个死骗子(希拉里克林顿)连撒谎都不会”!研究人员推测,泄露的原因是因为鲍威尔在 Gmail 账户中用的是早先被盗的Dropbox帐户里的密码。不过正因为如此,美国民众知晓了鲍威尔的真实想法;再比如,商业电子邮件泄露 (BEC):如果一家企业的财务总监收到了一封来自 “CEO” 的转账指令邮件并进行操作,后果将不堪设想。

timg-3.jpeg

根据F-Secure(计算机及网络安全提供商)今天发布的一份报告(PDF)显示,研究人员针对所泄露的凭据数据库检测了200位CEO们的邮箱地址,指出,技术公司的易曝光指数从30%上升到63%。他们还发现,超过七成的 CEO 连接公司邮箱地址的最高级别服务器大都为LinkedIn、Dropbox和专业网站。

CEO_accounts_compromised.png

有八成的 CEO 向研究人员透露,泄露的不仅仅只是邮箱账户和密码泄露那么简单, 他们的个人信息包括家庭住址,出生日期和电话号码等等会以垃圾邮件列表的形式和公司营销数据库一起被曝光。

只有少于两成的 CEO 的邮箱账户相对安全

不过,有一种防泄露方法是使用私人帐户和个人电话号码来伪装成企业公司,但是 F-Secure 警告说,这个方法在杀毒链的后期阶段以及防御层面都有缺陷:

 当 CEO 使用私人邮箱、电话号码或家庭住址来注册企业相关服务时,很大程度上影响了企业的 IT、通信、知识产权、法律以及本应来自安全团队所提供的安全保护,也就是说 CEO 脱离了自己的企业与员工,处于一种未被保护状态。

所以,要想保护好邮箱帐户和密码, F-Secure 的建议是使用合格的密码,比如无序的、字符数多的、更复杂的密码。还可以使用密码管理器来生成密码,但要特别注意一下无需访问设备的云端密码管理器;另外,避免通过登录第三方社交媒体的方式进行邮箱登录,因为一旦社交媒体帐户丢失了,其所关联的所有帐户也会相应丢失;最后,坚持使用多渠道身份验证,比如首选离线认证和基于硬件的口令认证,避免使用SMS密码。

密钥即密码。一般来说,服务提供商没有用明文存储密码,而且使用较长的、完全随机的密码字符(一般为32个字符)来设置密码,那么它就是相对安全的;但如果有一家情报机构的预算很足,这个机构理论上是可以破解 MD5 加密后的密码的。但是,如果服务商花很大的精力在密码保护这一块上,那么上面这种情况出现的几率就会大大减少。并且,即便是遇到“密码破解攻击”——即从被盗哈希中获取明文密码的情况下,通过增大计算量也就是“密钥延伸”的加密方式后,密码几乎都相对安全。比如,当服务商使用PBKDF2,scrypt,bcrypt或一些其他方案时,就可以通过迭代的方式把密码哈希验证次数提升到数百万次,包括一些相对简单的密码也很难被破解。

本文作者:securityweek,由 Hyde777 编译,转载请注明来自 FreeBuf.COM

发表评论

已有 1 条评论

取消
Loading...
css.php