DropboxハックがWebセキュリティの状態についてあなたに教えることができるもの
先週、Dropboxはハッキングについての見出しを出していました。 侵害された6800万のDropboxアカウントの電子メールアドレスとパスワード. どんなDropboxユーザーにとっても、これはもちろん気になる点です。特にあなたがDropboxに何かを保存しているのであれば、個人的であろうと仕事のためであろうと.
あなたの写真、文書、データなどはあなたの知らないうちにそのハックで失われたあなたの電子メールアドレスとパスワードを使ってアクセスされる可能性があります。良い知らせは Dropboxのハックから悪質なものが出ているという報告はありませんでした。, これまでのところ。しかし、それは心配することが何もないという意味ではありません。.
Dropboxハックについて
まず第一に、これを邪魔にならないようにしましょう:Dropboxのハックは先週起こっただけではありませんでした。 6800万以上の電子メールアドレスとパスワードがハックに盗まれています。 4年前、2012年に起こった.
ハリウッドハッカーのシーン(その多くがひどく間違ってハッキングされている)を想像するのではなく、ハックが 人的ミスによる.
ハッカーは、別のデータ侵害からのユーザー名とパスワードを使ってDropboxアカウントにサインインしていました。これらのアカウントの1つ Dropboxの従業員のもの, 違反サイトと自分のDropboxアカウントの両方に同じパスワードを使用したユーザー.
偶然にも、同じ従業員がいっぱいのフォルダを持っていました 68,680,741 DropboxアカウントのEメールアドレスを含む文書 と同様 ハッシュされたパスワード. ゲーム、設定、試合.
1. Dropboxは一人ではありませんでした。 LinkedInも同様にハッキングされました
2016年5月に戻って、LinkedInは先週のDropboxハックに似た何かを発表しました。 2012年に発生した一連の電子メールとパスワードの盗難に気付いた後、LinkedInユーザーが「ベストプラクティスとして」自分のパスワードを変更することを懇願しました。.
前の段落でそのリンクをクリックした場合は、データ損失がどれほど大きいのかについての言及はありません。 切迫感は明らかです とともに 頻繁なアップデート その特定のページへ.
何が起こったのか 1億1,700万人以上 LinkedInのアカウントが影響を受けましたが、実際の数が影響する可能性があります。 1億6,700万にもなる.
2.なぜハッキングされたパスワードが今新たに浮上しているのか?
DropboxとLinkedInの両方のデータセットは伝えられるところでは 今暗いウェブで取引されている (または彼らは、1週間前に至るまで).
LinkedInのセットは当初Dropboxが1,200ドル強で販売されている間に、2,200ドルで販売されていた。 これらのデータセットの価値は、それらがそこに存在している期間が長くなるにつれて減少します。, 大部分のユーザーがパスワードを変更した後は、データセットはほとんど価値がなくなります。.
しかし、なぜ今?ハックから4年後?私が答えに最も近いのは、サイバーセキュリティについて多く書いているTroy Hunt(彼はこの記事でかなり多く言及されていますが、他のほとんどの場所で)から来ています。私はただ彼が言わなければならないことを引用します:
必然的に触媒がありますが、それは多くの異なることがあります。攻撃者はついにそれを収益化することを決心し、彼ら自身が標的にされてデータを失うか、または最終的にそれを他の価値のあるものと交換する。.
3.ハッキングとデータダンプは、誰もが認めることを好むよりも頻繁に発生します。
このDropboxのハックについて読みながら、私はこのデータベースディレクトリ、Vigilante.pwに出会いました。データ侵害の情報を掲載しています。これを書いている時点では、完全なデータベースには1470件の侵害に関する情報が含まれています。 20億の侵害されたアカウント.
最大のものは、2013年のMyspaceのハックです。 3億5千万アカウント.
同じディレクトリで、Dropboxの6800万エントリは、これまでのところ既知のデータダンプの歴史の中で9番目に大きい。数が1億6,700万に修正された場合、LinkedInは5番目に大きいですが、それはそれをディレクトリ内で2番目に大きいデータダンプにするでしょう.
(DropboxとLinkedInのデータダンプの日付は、2016ではなく2012と表示されています。)
しかし、悪名高いAshley Madisonのハックや、ゲームを変えるRockYouのハックは、 ではない ディレクトリに含まれています。それで、本当にそこで何が起こっているのか 大きいです あなたがサイトで見るものより.
haveibeenpwned.comもまた、あなたが見ることができるもう一つの情報源です。 オンラインサービスやツールを悩ませているハッキングやデータダンプの深刻度.
このサイトはTroy Huntによって運営されています。TroyHuntは、最近のDropboxのハックについても含め、データ侵害やセキュリティ問題について定期的に書いています。注:このサイトには無料の通知ツールも付属していますので、あなたのEメールのいずれかが危険にさらされている場合に警告します。.
あなたは、そのサイトにデータが統合されている質の高いサイトのリストを見つけることができるでしょう。これが上位10件の違反のリストです(それらすべての数字を見てください)。ここで全リストを見つける.
まだ私と一緒に?もっと悪くなる.
4.あらゆるデータ侵害で、ハッカーはパスワードをクラックすることでよりよくなります
この投稿を アルステクニカ Jeremi Gosneyによると、プロのパスワードクラッカーは読む価値があります。それの短所はそれです データ侵害が多ければ多いほど、ハッカーがクラックするのは簡単になります。 未来 パスワード.
RockYouのハックは2009年に起こりました。平文の3,200万個のパスワードが漏洩し、パスワードクラッカーがユーザーのパスワードの作成方法と使用方法の詳細を調べました。.
それはの証拠を示したハックでした パスワードの選択について、私たちはどのように考えていませんか 例えば. 123456, わたしは、あなたを愛しています, パスワード. しかしもっと重要なこと:
RockYouの違反により、パスワードクラッキングが変革されました.
3200万のハッシュ化されていない、無害の、保護されていないパスワードを取得する プロのパスワードクラッカーのためのゲームを強化 なぜなら彼らはデータ侵害を実行したものではありませんでしたが、データダンプが発生するとパスワードハッシュを解読する準備が今まで以上に整ったからです。 RockYouハックから入手したパスワードは、実際に使用されている実際のパスワードで辞書攻撃リストを更新しました。これは、重要で、より速く、そしてより効果的なクラッキングに貢献します.
その後のデータ侵害 来るだろう:Gawker、eHarmony、Stratfor、Zappos、Evernote、LivingSocial - そしてwith ハードウェアのアップグレード, 著者が(いくつかの業界関連チームとチームを組んだ後)、 1億7,370万件のLinkedInパスワード 単なる 6日間 (それは 98% フルデータセットの)。セキュリティ上、?
5.パスワードのハッシュ - それらは役に立ちますか?
データ漏洩/侵害を経験したサイトがその言葉を引き出す傾向がある ハッシュされたパスワード、塩味のパスワード、ハッシュアルゴリズム あなたのパスワードは 暗号化, あなたのアカウントは安全ですふわふわ)まあ…
何を理解したいのなら ハッシング そして 塩漬け つまり、それらがどのように機能し、どのようにしてひびが入るのか、これは読むべきすばらしい記事です。.
概念を単純化する危険性があるので、ここに行きます:
- ハッシュアルゴリズム 保護するためにパスワードを変更します。パスワードが第三者に認識されにくいように、アルゴリズムがパスワードを隠します。しかしハッシュは辞書攻撃(ポイント6が入ってくるところ)と総当たり攻撃でクラックされる可能性があります。.
- 塩漬け ハッシュする前に、パスワードにランダムな文字列を追加します。このように、たとえ同じパスワードが二度ハッシュされたとしても、結果は塩のために異なるでしょう。.
Dropboxハックに戻る, パスワードの半分はSHA-1ハッシュの下にあります 他の半分はbcryptハッシュの下にありますが(塩は含まれていません。.
このミックス SHA-1からbcryptへの移行を示します, SHA1は2017年までに段階的に廃止されつつあるため、SHA2またはSHA3に置き換えられる予定である.
そうは言っても、ハッシングやクラッカーを遅くするだけの「ハッシュは保険契約である」ということを理解することは重要です。これらの追加の保護によりパスワードが「解読しにくい」場合でも, それは彼らが解読するのが不可能であるという意味ではありません.
せいぜい、ハッシュと塩漬けだけ ユーザーの時間を買う, アカウントの買収を防ぐためにパスワードを変更するのに十分.
6.ハッキングの影響(データ侵害)
(1)Dropboxのハックのようにハックが比較的良性であるか、またはAshley Madisonのデータ侵害のような壊滅的な結果をもたらす可能性がある.
後者では、実際の自宅住所、クレジットカード取引、およびユーザーの検索履歴を含む25GBのデータが漏洩しました。ウェブサイトの性質上、恥ずべき行為、脅迫行為、強要、離婚、さらには自殺の可能性があります。.
ハックはまた、偽のアカウントの作成や、有料の顧客にアカウントにサインアップするよう呼びかけるためのチャットボットの使用を公開しました。.
(2)ハックも パスワードの選択に無関心を見せる - それは違反が発生するまでです.
#4でRockYou違反について議論するときにこれを確立しました。 Web上に重要なデータが大量にある場合は、次のことをお勧めします。 パスワード管理アプリを使う. そして 2段階認証を有効にする. そして データ侵害を受けたパスワードを再利用しない. 他の人と一緒に仕事をする 同じ安全対策を採用する.
あなたがそれをさらに一歩進めたい場合は、あなたの電子メールがデータ侵害に関与しているときあなたに警告する通知ツールにサインアップしてください.
(3)ハックはサイトの ユーザーパスワードの保護への無関心 とデータ.
Dropbox対LinkedInの場合は、そのDropboxを見ることができます ダメージを最小限に抑えるために、より良く、より計算された手段を取った このようなデータ侵害から.
Dropboxはより良いハッシュとソルト方法を使い、ユーザーにパスワードをできるだけ早く変更するように促す電子メールを送り、2要素認証とセキュリティキーを利用するUniversal 2nd Factor(U2F)を提供し、スタッフポリシーを変更しました1Passwordを使用してパスワードを管理すると、企業アカウントのパスワードは再利用できなくなり、すべての内部システムは2FAになります。.
LinkedInがしたことの内訳については、この記事はおそらくより徹底的で適切な記事です。.
まとめ
率直に言って、Dropboxハックの勉強だけでこれらすべてについて学ぶことは目を見張るもので恐ろしい経験でした。私たち、一般人口, ユニークで強力なパスワードの必要性を非常に過小評価している パスワードを共有したり繰り返したりしないように、またはその中に辞書の単語を使用するように複数回言われた後でも.
あなたのデータがDropboxのハックの影響を受けた場合、あなたの個人情報を保護するために必要な予防措置を講じてください. パスワードにいくらかの努力を払う または パスワードマネージャを入手する. ああ、それが使用されていないときあなたのラップトップのカメラやウェブカメラの上にテープを貼ります。あなたはあまりにも注意することはできません.
(GigaOmで写真をカバー)