إعادة استخدام كلمات المرور عبر مواقع التواصل الاجتماعي: لا تفعل ذلك!

لا يهم كم من الوقت ومعقدة كلمة المرور الخاصة بك: إذا كنت تستخدم نفس كلمة المرور عبر مواقع متعددة ، فأنت في خطر كبير للهجوم.

في الشهر الماضي ، اكتشف باحثو Trustwave مجموعة من حوالي مليوني اسم مستخدم وكلمة مرور على خادم قيادة وتحكم مقره في هولندا. كتب الخادم ، الذي كان جزءًا من شبكة Pony botnet ، بيانات اعتماد لمختلف المواقع ، بالإضافة إلى حسابات البريد الإلكتروني ، FTP ، سطح المكتب البعيد (RDP) ، و Secure Shell (SSH) من أجهزة كمبيوتر المستخدمين ، كما كتب دانييل تشيشيك من Trustwave في ذلك الوقت. من بين مليوني بيانات اعتماد تم جمعها ، تم تخصيص حوالي 1.5 مليون لمواقع الويب ، بما في ذلك Facebook و Google و Yahoo و Twitter و LinkedIn و ADP.

قال جون ميلر ، مدير أبحاث الأمن في Trustwave ، إن تحليلًا أعمق لقائمة كلمات المرور وجد أن 30 بالمائة من المستخدمين الذين لديهم حسابات عبر حسابات متعددة على وسائل التواصل الاجتماعي أعادوا استخدام كلمات المرور الخاصة بهم. سيكون كل حساب من هذه الحسابات عرضة لهجوم إعادة استخدام كلمة المرور.

وقال ميلر لـ Security Watch: "مع قدر ضئيل من الجهد وبعض استفسارات Google الذكية ، يمكن للمهاجمين العثور على خدمات إضافية عبر الإنترنت حيث استخدم المستخدم للخطر كلمة مرور مماثلة ومن ثم يمكنه الوصول إلى هذه الحسابات أيضًا".

انها وسائل الاعلام الاجتماعية "فقط"

من الواضح أن المهاجمين تمكنوا من الوصول إلى خوادم FTP وحسابات البريد الإلكتروني الخاصة بالضحايا ، ولكن قد لا يكون من الواضح سبب وجود كلمات مرور على Facebook أو LinkedIn لديهم. من المهم أن تتذكر أن المهاجمين يستخدمون هذه القوائم بشكل متكرر كنقطة انطلاق لشن هجمات ثانوية. حتى إذا قام المهاجمون بسرقة كلمة المرور الخاصة بالوسائط الاجتماعية "فقط" ، فقد ينتهي بهم الأمر إلى الدخول إلى حساب Amazon الخاص بك ، أو اقتحام شبكة شركتك عبر VPN لأن اسم المستخدم وكلمة المرور صادفتان نفس ما كان لديك في حساب الوسائط الاجتماعية هذا.

يحذر Security Watch كثيرًا من مخاطر إعادة استخدام كلمة المرور ، لذلك طلبنا من Trustwave تحليل قائمة كلمات المرور هذه لتحديد حجم المشكلة. الأرقام الناتجة كانت مذهلة.

من بين 1.48 مليون اسم مستخدم / كلمة مرور مرتبطة بحسابات وسائل التواصل الاجتماعي ، حدد ميلر 228.718 مستخدمًا متميزًا لديهم أكثر من حساب وسائط اجتماعية واحد. من بين أسماء المستخدمين هذه ، استخدم 30 بالمائة كلمة المرور نفسها عبر حسابات متعددة ، وفقًا لما ذكره ميلر.

في حال كنت تتساءل ، نعم ، سيحاول مجرمو الإنترنت تجربة نفس المجموعة عبر مواقع عشوائية ، إما يدويًا أو عبر برنامج نصي لأتمتة العملية.

إعادة استخدام سيء مثل كلمات المرور ضعيفة

قد يصعب تذكر كلمات المرور ، وهذا صحيح بشكل خاص لكلمات المرور التي يعتبرها معظم الأشخاص قوية. على الرغم من أنه ينبغي الإشادة بهؤلاء المستخدمين لعدم استخدامهم كلمات مرور ضعيفة مثل "admin" و "123456" و "password" (التي كانت لا تزال تمثل مشكلة بين هذه المجموعة) ، فإن المشكلة هي أن كلمات المرور المعقدة تفقد فعاليتها إذا لم تظهر. ر فريدة من نوعها.

حدد ميلر أيضًا مشكلة أخرى لإعادة الاستخدام. على الرغم من أن العديد من المواقع لديها مستخدمون يقومون بتسجيل الدخول باستخدام عناوين البريد الإلكتروني الخاصة بهم ، فإن مواقع أخرى تسمح للمستخدمين بإنشاء أسماء مستخدمين خاصة بهم. في تلك القائمة الأصلية المكونة من 1.48 مليون من مجموعات اسم المستخدم / كلمة المرور ، كان هناك بالفعل 829484 اسم مستخدم متميزًا لأن المستخدمين كانوا يستخدمون كلمات شائعة. في الواقع ، ظهر "المسؤول" كاسم مستخدم 4،341 مرة. كان نصف أسماء المستخدمين "الضعيفة" أيضًا كلمات مرور ضعيفة ، مما يجعله أكثر احتمالًا أن يتمكن المهاجمون من استخدام طريقهم عبر حسابات متعددة.

كن آمنا

تعد كلمات المرور الآمنة ضرورية للحفاظ على أمان بياناتنا وهويتنا على الإنترنت ، ولكن المستخدمين يختارون في كثير من الأحيان الراحة من أجل الأمان. هذا هو السبب في أننا نوصي باستخدام مدير كلمات المرور لإنشاء وتخزين كلمات مرور فريدة ومعقدة لكل موقع أو خدمة تستخدمها. ستقوم هذه التطبيقات أيضًا بتسجيل الدخول تلقائيًا ، مما يصعّب على مدوِّن المفاتيح الحصول على معلوماتك. تأكد من تجربة Dashlane 2.0 أو LastPass 3.0 ، وكلاهما فائزان بجائزة اختيار المحررين لإدارة كلمة المرور.

كما لاحظنا في الشهر الماضي ، من المرجح أن يكون برنامج Pony botnet قد حصد معلومات تسجيل الدخول عن طريق كلوغرز وهجمات التصيد. حافظ على تحديث برنامج الأمان لمنع الإصابة في المقام الأول ، Webroot SecureAnywhere AntiVirus (2014) أو Bitdefender Antivirus Plus (2014) واتبع إرشاداتنا الخاصة باكتشاف هجمات التصيد الاحتيالي.