Afscheid wachtwoorden: Android is nu FIDO2 gecertificeerd
FIDO2 certificering is de weg vrijmaakt voor passwordless mobile security. Lees meer: https://zd.net/2VoiT0R
Google heeft de resultaten bekendgemaakt van een grootschalig onderzoek over het wachtwoord van gewoonten die laat zien waarom hackers gebruik maken van ‘wachtwoord-spuiten’ aanvallen op online-accounts: veel gebruikers houden met hetzelfde wachtwoord, zelfs wanneer ze waarschuwde het is gecompromitteerd.
Wachtwoord spuiten heeft zich ontpopt als een effectieve techniek om brute-force of raden van wachtwoorden, ook als bypass-systemen dat de lock-accounts na te veel verkeerde gissingen.
De AMERIKAANSE regering heeft onlangs gewaarschuwd dat Iraanse hackers zijn met behulp van de methode voor het implementeren van destructieve malware op systemen, en hackers gebruikt om vaste voet te krijgen in tech bedrijf Citrix en vanaf daar stelen 6TB van de informatie.
De techniek bestaat uit het verzamelen van een groot aantal van de rekening van de gebruikersnamen en het raken van de aanmeldingen met een klein aantal van de slechtste wachtwoorden, in de veronderstelling dat een bepaald percentage van de doelgroep zal één van hen.
Microsoft ‘ s onderzoek blijkt dat de top vijf wordt gebruikt in het wachtwoord-spuiten-aanvallen zijn ‘123456’, ‘wachtwoord’, ‘000000’, ‘1qaz2wsx’, en ‘a123456’.
Google ‘ s data op wachtwoord gewoonten komt uit de studie van elk van de 670,000 Chrome-gebruikers die geïnstalleerd zijn Wachtwoord Checkup extensie.
Google lanceerde Wachtwoord Checkup in februari, het tekenen van de vergelijkingen met de Firefox Monitor inbreuk-alert dienst, die gebruik maakt van besmette referenties verzameld door Heb ik Pwned.
Het belangrijkste verschil is dat bij het inloggen, Google Wachtwoord Checkup waarschuwt gebruikers als de referenties die ze gebruiken zijn tussen de vier miljard Google weet is aangetast.
ZIE: Kunt russische hackers worden gestopt? Hier is de reden waarom het misschien wel 20 jaar (TechRepublic cover story) | download de PDF-versie
Google gevonden dat 1,5% van meer dan 21 miljard login pogingen beroepen op een schending van referenties, die werden gebruikt op over 746,000 verschillende domeinen.
De grootste categorie, in termen van logins via besmette referenties, is voor streaming video en porno sites waar 3.6% naar 6,3% gebruikt. Maar het is ook gebleken 0,2% in de overheid, 0,3% in financiën, 0,5% in e-mail, 1,2% in het winkelcentrum, en 1,9% in het nieuws.
Hoe gebruikers reageren op wachtwoord schending van waarschuwingen, bleek uit het onderzoek gemengde resultaten. Google gevonden dat 25.7% van de waarschuwingen, van in totaal 81,368, niet leiden tot een verandering van wachtwoord van de gebruikers. Echter, het is ook gebleken dat 26.1% van de signalen, van in totaal 82,761, resulteerde in een verandering van wachtwoord.
De resulterende wijzigingen in wachtwoorden zijn een mixed bag, maar was overweldigend leiden tot een sterker wachtwoord. Google gevonden dat 60% van de gewijzigde wachtwoorden zijn niet kwetsbaar te raden aanvallen, terwijl de rest zijn. En 94% van de nieuwe wachtwoorden bestaan uit minimaal sterker dan de oude, zelfs als een groot deel nog te raden zijn.
Google onderzoekers stellen in de krant dat de Chrome-extensie is superieur aan ben ik Al aan het Pwned en Firefox Monitor, en beweren dat de services zoals deze kan worden misbruikt door aanvallers.
“Op dit moment, deze diensten maken een verscheidenheid van afwegingen verspreid over de privacy van de gebruiker, de juistheid en de risico’ s van het delen van ogenschijnlijk eigen account gegevens door middel van een niet-geverifieerde openbare kanalen,” de onderzoekers gezegd.
Een consequentie van deze afwegingen is dat gebruikers ontvangen onjuiste sanering advies door valse positieven, zeggen ze.
“Bijvoorbeeld, zowel Firefox en LastPass controleer de schending van de status van gebruikersnamen te raden wachtwoord te resetten, maar ze missen de context voor de vraag of de gebruiker het wachtwoord was eigenlijk blootgesteld gedurende een bepaalde site of was het eerder reset”, zegt Google.
“Net zo problematisch, andere regelingen impliciet vertrouwen inbreuk-alerting services correct verwerken van leesbare tekst gebruikersnamen en wachtwoorden die worden aangeboden als onderdeel van een lookup. Dit maakt inbreuk meldingen diensten een verplichting in het geval ze worden aangetast (of blijken te worden hoor en wederhoor).”
Meer over Google, Microsoft en wachtwoorden
Google om Android-gebruikers: Geen wachtwoorden, je vingerafdruk loggen om een aantal sites vanMicrosoft zegt dat Windows 10 wachtwoorden hoeft niet te vervallen: het is Tijd voor andere bedrijven om rekening mee te houdenWindows-10: Microsoft ‘ s plan om te doden wachtwoorden beweegt op met nieuwe test buildHaat domme wachtwoord regels? Zo heeft de man die ze gemaakt heeftWindows 10 zegt Hallo aan geen wachtwoorden met FIDO2 certificeringvan Google: We geven u een betere bescherming tegen malware in Chrome, maar alleen als u zich aanmeldt bijMicrosoft voegt nieuwe ‘passwordless’ sign-in-optie met de nieuwste Windows-10 20H1 test buildNiet meer wachtwoorden? Windows 10 1903 is dicht bij dat doel, aanspraken MicrosoftHoe u uw apps passwordless met Microsoft Authenticator en FIDO2 TechRepublicGoogle neemt een stap verder wachtwoorden met Android verificatie CNET
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters