Un'altra settimana, un'altra violazione. Questa Yahoo! tempo era il bersaglio con 453,491 indirizzi e-mail e password da loro servizio Voices essere esposto agli occhi di tutti . Mentre sfortunato per coloro che sono coinvolti, tali violazioni ci danno una certa comprensione unica in pratiche password ed è come di solito accade, non è abbastanza.
Già nel giugno dello scorso anno dopo una delle tante violazioni della Sony ho condotto una breve analisi e ha trovato una litania di pratiche di password errate. Meno dell'1% delle password contiene un carattere non alfanumerico, solo il 4% effettivamente utilizzato più di due tipi di caratteri e il 93% delle password erano tra 6 e 10 caratteri.
Ciò che ha reso l'analisi Sony particolarmente facile (e rilevante) era che non c'era alcuna possibilità di stoccaggio di crittografia - tutto era in chiaro. Si potrebbe pensare che ormai i ragazzi grandi avrebbe funzionato che memorizzare le password in chiaro non è, voglio dire basta guardare la cattiva stampa LinkedIn ha ottenuto il mese scorso e hanno almeno fatto un piccolo tentativo di hash loro. Anche se i dettagli sono ancora scarsi, la prova è che presto Yahoo! mantenuto le proprie password in chiaro e certamente la discarica sembra sostenere questo con un certo numero di password "forti" che appaiono sulla breccia ed è improbabile che siano stati attacco a forza bruta, a almeno non senza un dizionario molto completo.
Ho pensato che sarebbe interessante fare un rapido sguardo a cosa c'è in questa violazione e la metrica sono stato particolarmente interessato in prevalenza era del riuso password con la violazione Sony:
Questo probabilmente non dovrebbe essere una sorpresa - ma non ancora fatto. Più di un anno dopo che i loro conti sono stati trasgrediti con Sony, il 59% di persone sono state ancora utilizzando la stessa password su Voices Yahoo! . Un ulteriore 2% usavano password che differivano solo per caso. Questo è da un campione di 302 conti comuni esorprende che , la forza di quelle password lascia molto a desiderare:
03189500, 052385, 07182006, 102501Boo, 1albertw, 1fantom, 307722mp, 31315135, 31883188, 33487156, 399101nwm, 4boyzmom, 696969, 98760000, acoolmom, recitazione, aiden1, alkjsdfi9u, alleato, Andover, apesfix, austin, avs4life, babygirl, Bakhos82, Bantha15, barnaby55, bearbear1, Beautiful1, benjiturtle, bestbuy66, bippy1, blonde42, brandi2, bruromg, bubby1, buddywade, cabana, casey123, pesce gatto, Cesare, il celibato, chalantat, Charbovari, christina1, christmas07, chupibird, Colleen, concorso, cookie, crab67, creat1ve1, dani99, dexter, diaero35, diamante, Dillon, electric1, EMASTE8, eternità, Fernandes, Frisky, gabby1, grandi, Hawai, hendrix3, heybum, hitsalkali, orrore, hRD71469, invent1, janmarie, jesse5, jimimac, joseph321, joshjoe, june0610, jwvM75pers, kayla123, kentucky, kickboxing, kimrip, kissma50, laughup, Lexxus, lighthorse, lama, Lonestar1, love13, lucky4, lynnette16, MacIver, macpd202, maketea, mammiferi, Margie, mattie24, mcdancer, mckenny1340, memaw1, mememe3, MingLiU, monoder, Munchkin, nancyjen, nepente, nirvana, nursing123, nylevE12, panda, Passw0rd25, pesche, arachidi, peepie, i pfp462, Filippo, pittisit4077, piante, stelle di natale, Prancer, PRINCESS1 e Puddin, viola, escursioni, rascal, rb112480, reiswade, richard916, ripper, bocciolo di rosa, royals71, rutschke, sajoha82, sambo05, schniggy, scorpio, sereno, Skeeter, Snoopy, sook11, sphinxster, stephen, Stingray, insegnante, theblood, thomas, Thomas1 tiger20, ribaltabile, tooltool, TsugarBB, twosons8485, vetho123, victoria, villaggio, vunhko, Wachovia, Webslinger, benvenuto, whole1, wilmat, Windhaven, vincitore, inverno, i lupi, yamsy55, zgrizz, zoutia
Vedremo quello che viene fuori nel lavaggio nel corso dei prossimi giorni, ma è probabile che questo potrebbe essere stato non più di un semplice attacco di tipo SQL injection. E 'un monito per quelli di noi costruzione di sistemi hashing forte è essenziale ( non è il nudo hashing che viene spesso utilizzato ) e per quelli di noi la creazione di account online (che sarebbe di tutti noi), che l'unicità password è sempre essenziale.
Corso Visual Studio - Corsi Visual Studio
Corso .Net- Corso Dot.Net - Corso Vb.net
Corso C# - Corso PHP - Corso Joomla
Corso .Net- Corso Dot.Net - Corso Vb.net
Corso C# - Corso PHP - Corso Joomla
Nessun commento:
Posta un commento