犯罪黑客对最近的 FastCompany 违规事件负责,称他们利用了一个容易猜到的默认密码“pizza123”。据黑客称,这家商业杂志在十几个 WordPress 帐户中重复使用了弱密码,他们在 FastCompany.com 上自己的文章中描述了这次攻击,然后该出版物将网站关闭。
违规、pizza123 的苦涩味道以及恶意推送通知的困境要求在选择和管理密码时要谨慎。
FastCompany 违规概述
黑客声称已使用易受攻击的密码 Pizza123 访问身份验证令牌、Apple News API 密钥和亚马逊简单电子邮件服务 (SES) 令牌。然后,他们向Apple News 服务上 FastCompany 频道订阅者的主屏幕发送了令人反感的推送通知。
为了响应推送通知,Apple 禁用了 FastCompany 新闻频道帐户。FastCompany 向公众道歉并关闭了其网站。
FastCompany 在推特上表示,该出版物聘请了一家全球领先的网络安全公司来应对违规行为。他们正在调查违规行为,FastCompany 网站重新上线。
推送通知攻击的公共关系后果
在对塑造组织的品牌形象进行了数十年的投资之后,企业可能会在面对淫秽推送通知时看到其声誉陷入困境。数百万忠实客户的情绪会在瞬间变坏。当组织封锁消息并公开道歉时,伤害已经造成。
当客户委托出版商提供安全内容时,客户可以换成竞争对手,甚至可以起诉违法行为。监管机构可以罚款组织。该公司可以花时间和金钱在法庭上为自己辩护并恢复其形象。
但恶意推送通知比冒犯客户更糟糕——犯罪黑客可以加载带有恶意软件的消息并感染消费者设备,从而导致侵犯隐私和消费者金融欺诈。
“pizza123”类型密码的问题
人们经常使用想到的第一个单词和一系列简短的数字来构建密码。Pizza123 是一个易于猜测的密码的完美示例。
员工将创建已出现在违规密码列表中的密码。犯罪黑客使用暴力攻击来确认来自相同列表的有效密码。
近三分之二的员工重复使用他们的密码。他们在企业和个人帐户中重复使用它们的次数越多,犯罪黑客就越有可能破坏它们并在组织中对其进行测试。由于密码重用,黑客知道在他们入侵的不同公司上尝试相同的密码。
创建自定义密码策略有助于阻止弱密码
强大的密码管理支持细粒度的密码策略和策略自定义。通过自定义密码策略,组织可以提高复杂性要求,例如长度和以前的密码更改最小值。具有更高复杂性要求的自定义密码策略将阻止95% 的弱密码和违规密码。
密码长度是强密码的一个特别重要的组成部分。暴力攻击中使用的 93% 的密码包含8 个或更多字符。自定义密码策略可能需要最小密码长度,从而降低密码熵。
密码卫生的重要性
密码短语,通常是总计 20 个或更多字符的字符串,是非常高位强度的密码,用户很容易记住。组织可以使用自定义密码策略来为组内或整个组织内的员工首选密码。
密码管理使组织能够自定义细粒度的密码策略。然而,54% 的组织没有管理工作密码的工具。面对动态的攻击面和不断增加的密码泄露,强制实施强密码至关重要。
密码卫生审计确保组织删除弱密码和受损密码,添加符合严格政策的已知良好密码。
Specops 违反密码保护
Specops Breached Password Protection将组织的 Active Directory 密码与超过 20 亿个被破坏的密码进行比较,包括那些在密码喷洒攻击中活跃使用的密码。泄露密码保护不断更新泄露密码列表以提供即时保护。
每次更改 Active Directory 密码时,泄露密码保护都会阻止泄露列表中的密码,因此用户无法采用泄露的密码。违反密码保护在拒绝密码时会通知用户,以便他们可以使用不同的密码。
