Farvel adgangskoder: Android er nu certificeret FIDO2
FIDO2 certificering er at bane vejen for passwordless mobile security. Læs mere: https://zd.net/2VoiT0R
Google har frigivet resultaterne af en omfattende undersøgelse om password vaner, der viser, hvorfor hackere bruger password-sprøjtning’ angreb på online-konti: mange brugere, stick med det samme password, selv når de er advaret om, at det er blevet kompromitteret.
Password sprøjtning har vist sig som en effektiv teknik til at brute-force-eller gætte adgangskoder, samt at omgå systemer, der lock-konti, efter alt for mange forkerte gæt.
Den AMERIKANSKE regering har for nylig advaret om, at Iranske hackere har brugt den metode til at implementere ødelæggende malware på systemer, og hackere brugte det til at få fodfæste i tech selskab, Citrix og derfra stjæle 6 tb oplysninger.
Teknikken indebærer at samle et stort antal af konto brugernavne og rammer logins med et lille antal af de værste passwords, på den antagelse, at en vis procentdel af den målgruppe, der har brugt et af dem.
Microsoft ‘ s forskning fundet, at de fem, der anvendes i password-sprøjtning angreb er ‘123456’, ‘adgangskode’, ‘000000’, ‘1qaz2wsx’, og ‘a123456’.
Google ‘ s data om adgangskode vaner kommer fra sin undersøgelse af hver enkelt af 670,000 Chrome-brugere, der har installeret sin Adgangskode Helbredsundersøgelse forlængelse.
Google lancerede Password Helbredsundersøgelse i februar, og trække sammenligninger med Firefox Overvåge brud-alert-tjenesten, som bruger kompromitterede legitimationsoplysninger, der er indsamlet ved Har jeg Været Pwned.
Den vigtigste forskel er, at ved login, Google ‘ s Password Helbredsundersøgelse advarer brugere, hvis de legitimationsoplysninger, de bruger, er blandt de fire milliarder, som Google ved have været i fare.
SE: russiske hackere Kan stoppes? Her er, hvorfor det kan tage 20 år (TechRepublic dække historien) | download PDF-versionen.
Google fandt, at 1,5% af over 21 milliarder login-forsøg stole på en overtrådte id, der blev brugt på om 746,000 forskellige domæner.
Den største kategori, i form af logins med kompromitteret legitimationsoplysninger, er video-streaming og porno sites, hvor 3.6% til 6,3% har brugt dem. Men det er også fundet 0,2% i regering, 0,3% i finansiering, 0,5% i e-mail, 1,2% i shopping, og 1,9% i nyheder.
Som for hvordan brugerne reagerer på password brud indberetninger, den undersøgelse viste blandede resultater. Google fandt, at 25,7% af sine indberetninger, alt 81,368, ikke udløse en ændring af kodeord fra brugere. Men det er også konstateret, at 26.1% af alarmer, i alt 82,761, gjorde resultere i en ændring af en adgangskode.
De deraf følgende ændringer af adgangskode er en blandet landhandel, men gjorde overvældende føre til en stærkere adgangskode. Google fandt, at 60% af de ændrede adgangskoder er ikke sårbare til at gætte angreb, mens den resterende del er. Og 94% af de nye adgangskoder er mindst stærkere end den gamle, selv hvis en stor del er stadig guessable.
Google forskere hævder i avisen, at dens udvidelse i Chrome, der er overlegen, at jeg Har Været Pwned og Firefox Skærm, og hævder, at disse kan udnyttes af hackere.
“På nuværende tidspunkt, disse tjenester gør en række kompromiser, der spænder over brugernes privatliv, nøjagtighed, og de risici, der er forbundet med deling af tilsyneladende private konto oplysninger via ikke-godkendte offentlige kanaler,” siger forskerne.
En konsekvens af disse kompromiser er, at brugerne kan modtage unøjagtige oprydning rådgivning på grund af falske positiver, siger de.
“For eksempel, både Firefox og LastPass ind overtrædelse status af brugernavne, der skal tilskynde til nulstilling af password, men de mangler rammerne for, om brugerens adgangskode faktisk blev udsat for et specifikt område, eller om det tidligere blev nulstillet,” siger Google.
“Lige så problematisk, andre ordninger implicit tillid brud-alarmering-tjenester for at korrekt håndtere adgang til brugernavne og passwords, der leveres som del af et opslag. Dette gør brud alarmering tjenester et erstatningsansvar i tilfælde af at de bliver kompromitteret (eller vise sig at være kontradiktorisk).”
Mere om Google, Microsoft og passwords
Google til Android-brugere: Ingen adgangskode, kan du få fingeraftryk login til nogle stederMicrosoft nu siger, at Windows 10 adgangskoder behøver ikke at udløbe: Tid til andre virksomheder til at tage til efterretningWindows-10: Microsoft ‘ s plan om at dræbe adgangskoder bevæger sig på med nye test buildHader dumme regler for adgangskode? Så er den fyr, der har oprettet dem,Windows 10 siger Hej til nogen passwords med FIDO2 certificeringGoogle: Vi vil give dig en bedre beskyttelse mod malware, som i Chrome, men kun, hvis du logger påMicrosoft tilføjer nye ‘passwordless’ log-in-mulighed med nyeste Windows-10 20H1 test buildIkke mere passwords? Windows 10 1903 og er tæt på det mål, hævder Microsoft, Hvordan du gør dine apps passwordless med Microsoft Autentificering og FIDO2 TechRepublicGoogle tager et skridt ud over adgangskoder med Android godkendelse CNET
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre