Video: Adobe's 153 Million Password Leak (Oktober 2024)
En af de frustrerende ting ved informationssikkerhed er det faktum, at selvom vi gentagne gange beder brugerne om at vælge stærke og komplekse adgangskoder, gør de det ikke. På trods af at vide det, er det stadig bekymrende, at selv med stigningen i dataovertrædelser, hyppige advarsler og påmindelser og overfloden af tilgængelige adgangskodeadministratorer, vises adgangskoder som '123456', '' iloveyou 'og' abe 'stadig i top 100 mest almindeligt anvendte adgangskoder.
Sidste måned afslørede Adobe, at angribere havde adgang til adgangskoder til aktive Adobe-brugere samt kildekoden for produkter som Cold Fusion. Angriberen offentliggjorde også en fil, der indeholdt næsten 150 millioner krypterede adgangskoder.
Næsten to millioner Adobe-brugere havde '123456' som deres adgangskode, fandt Jeremi Gosney, en sikkerhedsekspert og grundlægger af Stricture Consulting Group. Han analyserede listen og identificerede de mest almindeligt anvendte adgangskoder i løbet af weekenden. Hans analyse dækkede omkring seks millioner adgangskoder eller mindre end 5 procent af den eksponerede liste.
"Andre populære adgangskoder inkluderer '123456789, ' 'adgangskode, ' 'adobe123, ' '12345678, ' 'qwerty, ' '1234567, ' '111111, ' 'photoshop, ' og '123123, '" sagde Gosney.
Ikke god nok kryptering
Mens Adobe havde krypteret adgangskoder, ser det ud til, at virksomheden brugte en enkelt krypteringsnøgle til alle adgangskoder. Adobe krypterede adgangskoder ved hjælp af 3DES, hvilket er godt, men i ECB (Electronic Code Book) -tilstand, hvilket er en mindre sikker mekanisme. ECB er kendt for at lække information om dens nøgle, såsom at generere den samme chiffertekstblok for en bestemt streng med tegn.
Dette betyder, at hvis nogen kan finde ud af nøglen, kan alle adgangskoder dekrypteres.
Gosney har ikke den nøgle, der bruges til at kryptere adgangskoder, så det er umuligt at sige, at listen er helt nøjagtig. Alligevel sagde han, at han var "temmelig selvsikker" med listen.
Ikke overraskende
Det er værd at bemærke, at analysen af eksponerede adgangskoder fra tidligere brud, som Yahoo, Gawker og andre, havde lignende resultater. Det er tydeligt, at de almindelige adgangskoder er ret konsistente blandt online-brugere. Det er lidt hjerteligt at overveje, at disse usikre adgangskoder tegner sig for under 5 procent. Men to millioner konti, der bruger det samme kodeord, er dårlige nyheder, uanset hvordan du ser på det.
Top 5-listen fra Gawker for tre år siden inkluderede '123456, ' 'adgangskode', '12345678, ' 'lifehack' og 'qwerty.'
Hvad skal jeg gøre nu
Hvis du endnu ikke har ændret din Adobe-adgangskode, skal du gå videre og gøre det nu, og sørg for at vælge en stærk, unik adgangskode. Brug ikke en adgangskode, der findes på Gosneys liste. Faktisk, hvorfor kigger du ikke gennem de 100 bedste og sørger for, at du ikke bruger nogen af dem til nogen online konto eller service?
Endnu bedre skal du bruge denne liste som drivkraft til endelig skifte til en adgangskodemanager, såsom LastPass eller Dashlane.
