2014年のロシアのセキュリティ違反(CyberVor)への適切な対応
Hold Securityからのレポート は、12億セットのクレデンシャルがこのパーティーに所有されていると述べています。このレポートは、文法上の誤り(「完全なサービスを準備している間」)と電子ID監視サービスの自己宣伝のために、デマであるか、デマの一部である可能性があると感じています。それが真実である場合、この大量の資格情報の盗難にどのように対応すればよいですか?このレポートではID保護サービスを推奨していますが、それで十分でしょうか?
レポートは 10億のインターネットパスワードを超えるロシアのハッカーAmass-NYTimes.com で認証されます。しかし、多くのことが不明確なままであり、ホールドセキュリティが怖いが不明確な言葉で話し、被害者を支援するための有料サービスのみを提供することでホールドセキュリティが設定している利益相反に気づかなかった時代もありました。に。
'passwords' tag wiki で説明されているように、パスワードをパスワードデータベースに格納する前に、パスワードを適切にソルト処理してゆっくりハッシュすることの重要性について議論されていないことに驚いています。サイトがそれを行い、パスワードが強力である場合、ハッカーはWebサイトからデータベースをダウンロードするだけではパスワードを知ることができません。ユーザーがログインするときに、Webサイトの認証コードを変更し、パスワードをインタラクティブにキャプチャする必要があります。したがって、アクティブユーザーのパスワードをゆっくり取得するだけであり、サイトへのこの種の攻撃に気づく可能性が高くなります。
しかしもちろん、たとえば cryptography-無塩ハッシュを使用した有名なアプリの例を探す で説明されているように、多くのWebアプリケーションはこれらの基本的な慣例すら従いません。
エンドユーザーは、このWebサイトハッキングのレポートやその他のレポートを使用して、やり取りするWebサイトに注意を払い、パスワードの扱い方を賢くするように動機付けする必要があります。 2要素認証を必要とする十分に保護されたWebサインオンサービスの使用をサポートするWebサイトを使用することは、独自のパスワードデータベースを管理するリソースの少ないWebサイトを使用するよりも優れています。大規模なパスワードポートフォリオを適切な方法で処理するための手法も参照してください 侵害のリスクに基づいてユーザーがパスワードポートフォリオを管理する方法?-情報セキュリティスタック交換 。
他のサイトの重要なサイトでパスワードを再利用した場合、それらのパスワードを変更することでメリットが得られる可能性があります。重要なサイトは脆弱ではないが、同じパスワードを持つ別のサイトがハッキングされている場合。しかし、問題のあるサイトの多くは脆弱なままなので、そのうちの1つでパスワードを変更するだけではあまり役に立ちません。また、パスワードポートフォリオの説明で述べたように、リスクのある情報や資産が実際にないサイトのパスワードを変更することは、それほど重要ではありません。
米国では、身元の保護は通常、自分の名前でクレジットが取り消されたときに通知を受け取ること、または身元がすでに侵害されているという主張を使用してクレジットプロファイルをロックすることで構成されます。下記の法的制限を考慮すると、私にはほとんど価値がないように見えますが、おそらくそれはあなたが夜に眠るのに役立つでしょう。
米国にいる場合は法的システムを有利に利用し、クレジットカードを使用している間はオンラインデビットアカウントで使用可能な資金を制限することをお勧めします。 。ここで、攻撃された場合の責任は50ドルに制限されます 参照リンク 。
これは、私たちすべてと私たちと取引したい人々にとって問題です(今週投稿されたTargetの1億4,800万ドルの損失を参照)。チップアンドピンクレジットカードは、今後数年間で米国でここに登場する予定ですが、すぐに脅威の最前線に大きな変化はないので、それと共存して法的権利を理解するようにしてください。