又是弱密碼的鍋，近10TB的商業檔案被竊，或與FBI有關

軟體製造商Citrix近日承認公司因國際黑客竊取大量資料，現已淪為資料洩露的新受害者。美國聯邦調查局（FBI）已經就此事和公司取得聯絡，並警告稱本次網路攻擊行為極有可能是伊朗黑客組織所為，約有6TB至10TB的商業檔案被竊取。

Citrix是世界領先的應用服務軟體方案提供商，總部位於美國佛羅里達州，是一家致力於雲端計算虛擬化、虛擬桌面和遠端接入技術領域的高科技企業。現在流行的BYOD（Bring Your Own Device自帶裝置辦公）就是Citrix公司提出的。Citrix基於伺服器的企業級網路解決方案，使各行各業的計算機使用者，包括大中型企事業單位以及新興的應用服務提供商（ASP），能以更快的速度、更高的可預測性以及更優的效能價格比，為更多的訪問者提供更豐富的應用，所覆蓋的地域及範圍更加廣泛。

圖片來自於 Flickr

針對本次安全事件，Citrix已經採取積極措施。公司表示：“我們已經全面配合FBI開展調查，並且聘請了一家專業領先的網路安全公司提供協助，鞏固我們的內部網路。”隨後補充道沒有任何跡象表明Citrix的產品或者服務受到了損害，但也承認並不清楚黑客到底訪問了哪些檔案，以及有多少檔案被訪問過。

Resecurity總裁查爾斯·尤（Charles Yoo）表示，有證據表明黑客大約在10年前首次攻擊Citrix的網路，並且此後一直處於等待狀態。這些被盜的檔案主要和FBI、NASA、航空航天業，以及沙烏地阿拉伯國擁有石油的公司有關。

而造成此次洩露事件的關鍵要素又回到了我們經常談到的“弱密碼”，披露的細節顯示，黑客使用了一種名為“password spraying”的策略，利用弱密碼獲取有限的訪問許可權，然後努力繞過其他安全系統。弱密碼不只被使用者廣泛使用著，甚至連一些有名的公司也會犯同樣的錯誤。

儘管前不久全球資訊網聯盟（W3C）與 FIDO 聯盟宣佈，新標準WebAuthn讓我們無需擔心洩密問題，哪怕被入侵者跟蹤到使用者行為，也無法輕易取得Web 准入資格，傳統的釣魚攻擊也會變得更加困難。（詳情戳：新！Web身份驗證新標，支援免密登陸）

不過目前，WebAuthn 只在Dropbox、Facebook、Github、Salesforce、Stripe和Twitter等網站上實現了。因此，並非所有網站都可以實現如此安全的免密登陸。

那麼，在WebAuthn 被普及之前，更多的人仍然需要警惕存在風險和危險的弱密碼。

如何將弱密碼升級為強密碼？

使用密碼短語，而非單純的密碼

密碼短語的關鍵是將詞或短語連在一起，形成一個長的短語，最好選擇一個自己容易記住但他人很難猜到或破解的短語，入一些隨機的符號和字元，進一步加強安全性。

例如：mydogfido’sbirthdayisnovember19

使用雙因素驗證加強密碼安全

雙因素驗證可以把你知道的一些資訊（你的密碼）與你擁有的東西（你的電話）或你具有的特徵（你的指紋），甚至是你所在的地方（你的位置）結合起來。

其在於，如果你的密碼不知何故洩露了出去，那麼在不知道雙因素驗證資訊的情況下，攻擊者還是無法登入你的帳戶。

在工具箱中加入密碼管理器

實際上，如果沒有什麼東西來幫助記憶、整理和建立密碼，很難養成良好的密碼習慣，那就選擇一款密碼管理器。

你可以從我們之前的文章中選擇一款你會更感興趣的密碼管理器，詳情戳：《4款好用的密碼管理器，你值得擁有》

在無密碼登陸時代來臨前，密碼仍然是保護網路安全的重要部分，無論對於個人還是企業，都至關重要，警惕弱密碼！

參考來源：

• cnBeta.COM
• lastpass

更多資訊：

• 賽門鐵克：網路罪犯通過表單劫持牟取數百萬美金暴利

• 網路安全成Top Job

• 日本13歲女學生被警方調查：因釋出 JavaScript 無限迴圈程式碼

• 微軟公佈Windows Update服務在一月份發生中斷的細節