又是弱密碼的鍋,近10TB的商業檔案被竊,或與FBI有關

Editor發表於2019-03-12

軟體製造商Citrix近日承認公司因國際黑客竊取大量資料,現已淪為資料洩露的新受害者。美國聯邦調查局(FBI)已經就此事和公司取得聯絡,並警告稱本次網路攻擊行為極有可能是伊朗黑客組織所為,約有6TB至10TB的商業檔案被竊取。


Citrix是世界領先的應用服務軟體方案提供商,總部位於美國佛羅里達州,是一家致力於雲端計算虛擬化、虛擬桌面和遠端接入技術領域的高科技企業。現在流行的BYOD(Bring Your Own Device自帶裝置辦公)就是Citrix公司提出的。Citrix基於伺服器的企業級網路解決方案,使各行各業的計算機使用者,包括大中型企事業單位以及新興的應用服務提供商(ASP),能以更快的速度、更高的可預測性以及更優的效能價格比,為更多的訪問者提供更豐富的應用,所覆蓋的地域及範圍更加廣泛。


又是弱密碼的鍋,近10TB的商業檔案被竊,或與FBI有關

圖片來自於 Flickr


針對本次安全事件,Citrix已經採取積極措施。公司表示:“我們已經全面配合FBI開展調查,並且聘請了一家專業領先的網路安全公司提供協助,鞏固我們的內部網路。”隨後補充道沒有任何跡象表明Citrix的產品或者服務受到了損害,但也承認並不清楚黑客到底訪問了哪些檔案,以及有多少檔案被訪問過。


Resecurity總裁查爾斯·尤(Charles Yoo)表示,有證據表明黑客大約在10年前首次攻擊Citrix的網路,並且此後一直處於等待狀態。這些被盜的檔案主要和FBI、NASA、航空航天業,以及沙烏地阿拉伯國擁有石油的公司有關。


而造成此次洩露事件的關鍵要素又回到了我們經常談到的“弱密碼”,披露的細節顯示,黑客使用了一種名為“password spraying”的策略,利用弱密碼獲取有限的訪問許可權,然後努力繞過其他安全系統。弱密碼不只被使用者廣泛使用著,甚至連一些有名的公司也會犯同樣的錯誤。


儘管前不久全球資訊網聯盟(W3C)與 FIDO 聯盟宣佈,新標準WebAuthn讓我們無需擔心洩密問題,哪怕被入侵者跟蹤到使用者行為,也無法輕易取得Web 准入資格,傳統的釣魚攻擊也會變得更加困難。(詳情戳:新!Web身份驗證新標,支援免密登陸


不過目前,WebAuthn 只在Dropbox、Facebook、Github、Salesforce、Stripe和Twitter等網站上實現了。因此,並非所有網站都可以實現如此安全的免密登陸。


那麼,在WebAuthn 被普及之前,更多的人仍然需要警惕存在風險和危險的弱密碼。



如何將弱密碼升級為強密碼?


使用密碼短語,而非單純的密碼


密碼短語的關鍵是將詞或短語連在一起,形成一個長的短語,最好選擇一個自己容易記住但他人很難猜到或破解的短語,入一些隨機的符號和字元,進一步加強安全性。


例如:mydogfido’sbirthdayisnovember19


使用雙因素驗證加強密碼安全


雙因素驗證可以把你知道的一些資訊(你的密碼)與你擁有的東西(你的電話)或你具有的特徵(你的指紋),甚至是你所在的地方(你的位置)結合起來。


其在於,如果你的密碼不知何故洩露了出去,那麼在不知道雙因素驗證資訊的情況下,攻擊者還是無法登入你的帳戶。


在工具箱中加入密碼管理器


實際上,如果沒有什麼東西來幫助記憶、整理和建立密碼,很難養成良好的密碼習慣,那就選擇一款密碼管理器。


你可以從我們之前的文章中選擇一款你會更感興趣的密碼管理器,詳情戳:《4款好用的密碼管理器,你值得擁有》


在無密碼登陸時代來臨前,密碼仍然是保護網路安全的重要部分,無論對於個人還是企業,都至關重要,警惕弱密碼!


參考來源:

  • cnBeta.COM
  • lastpass




更多資訊:


相關文章