從 Yahoo 被駭事件,看如何降低線上服務資料外洩,對你帳號密碼的衝擊?(含歷年最駭密碼一覽表)

 

利用便利貼記密碼是個好方法嗎?
利用便利貼記密碼是個好方法嗎?

 

根據Yahoo 遇駭事件,10大最駭密碼,多熟臉孔,其中「123456」踢下2011年奪冠的最駭密碼「password」,按照鍵盤位置排序的「qwerty」再度入圍。

當您在註冊線上服務時,您是否也會使用常見名稱、生日或容易猜到的數字組合來當密碼?您是否還在使用 123456welcome、甚至是 password 等簡單、容易記得的單字?您所有的線上服務是否都使用相同的密碼?

看看 2011 年爆發的一連串資料外洩事件,而且至今仍經常發生的情況,您所冒的風險就可想而知。七月中,Yahoo Contributor Network 服務平台有將近 50 萬筆使用者名稱和密碼失竊。就在前一天,Formspring 意見交流網站也發現自己有 420,000 筆使用者密碼失竊。去年六月,光是一個星期之內就有 LinkedIneHarmonylast.fm 等三家公司的數百萬筆使用者帳號密碼外洩。

我們曾多次不厭其煩地提醒您該如何挑選密碼:

失竊的 Yahoo 密碼長度大約都在 6 至 10 字之間。所以,將您的密碼設長一點。至少要 10 至 12 個字,如果是敏感的網站,例如網路銀行,則再設長一點。使用多個字組成的詞,而不是一個單字的密碼。 請參考Yahoo 雅虎遇駭,10大最駭密碼,熟臉孔過半

Yahoo被駭密碼

  1. 隨意組合多個無意義的字,千萬別用慣用詞。
  2. 別使用您在其他服務上已經用過的密碼,或是同一服務其他帳號的密碼。萬一網路犯罪者破解了您的密碼,而您所有服務都用同一個密碼,那您的資料就遭殃了。
  3. 使用趨勢科技可以免費試用趨勢科技DirectPass密碼管理 e 指通之類的密碼管理程式來輕鬆存取放在雲端的密碼。

不管如何,您的密碼管理系統不可能完全滴水不漏。最近發生的一些事件突顯了一項真正的風險:那就是服務供應商的資訊外洩問題。這就好像您在前門設置了各種高科技鎖,卻發現歹徒直接從後門進入,而且使用服務供應商極機密的萬能鑰匙。

當您的服務供應商發生資料外洩時,您該怎麼辦?

如果您已遵照了前述的第 3 條指示,您至少可以降低衝擊,不讓問題擴大到其他帳號。不過,只要聽到您在使用的某個線上服務發生資料外洩,您最好還是清除一切資料,並且重新設定密碼。

如需更多有關網際網路安全的技巧、建議與警示通知,只要在 Facebook 上的趨勢科技TrendMicro網頁按一下「讚」即可:www.facebook.com/trendmicrotaiwan

原文來源:How to Minimize the Impact of an Online Service’s Security Breach

@延伸閱讀

Yahoo 雅虎遇駭,前10大最駭密碼,熟臉孔過半

關於密碼千萬不要做的四件事與密碼設定小秘訣
你可能沒想過的密碼保護秘訣
從Hotmail 密碼外洩事件,看六種密碼被竊的手法(上)

我複製、貼上密碼,他在幕後接收!-從Hotmail 密碼外洩事件,看六種密碼被竊的手法(下)

 

Linkedin 被駭密碼被駭密碼

 

 

 

免費下載防毒軟體:歡迎即刻免費下載試用NSSLABS 最新防毒軟體測試第一名的防毒軟體PC-cillin 2012 即刻按這裡下載

 

◎ 歡迎加入趨勢科技社群網站
 

 

寬頻、自帶裝置和雲端 – 是時候使用虛擬桌面架構(VDI)了嗎?

作者:趨勢科技Aaron Lewis

 

這些年來,軟體產業一直將虛擬桌面架構(VDI)講成可以解決各式各樣問題,從資訊安全到遠端協同合作再到節省硬體成本。已經有很多使用案例被提出來了,但是過去幾年間真正轉換到虛擬桌面結架構的人一直不多,市場滲透率已經落後於原本的預測了。虛擬桌面架構沒辦法真正佔有市場有好幾個可能的原因,即便有許多人認為在兩三年前就該成功的。讓我們看看真正採用時會遇到的一些關鍵障礙:

 

  • 糟糕的效能。早期採用這技術的使用者會感到很沮喪,因為斷線問題和遲緩的螢幕反應會嚴重地影響他們的工作。而且許多原本在一般電腦上可以做的工作也都不能做了。購買和佈署虛擬桌面架構的資訊部門會被抱怨給淹沒,當他們強迫員工使用沒有辦法做到預期中效果的解決方案時。
  • 缺乏殺手級購買動機。虛擬桌面架構的問題在於各使用案例零碎的分散在各行業內。醫療產業希望虛擬桌面架構讓員工可以隨時隨地使用,金融單位希望讓遠距上班的客服中心員工可以使用虛擬桌面架構,大企業希望虛擬桌面架構可以降低硬體和管理成本。但是,沒有一個主要解決問題是橫跨各行業的。這讓想購買的人認為「我要先看看目前的虛擬桌面架構」。

繼續閱讀

企圖利用2012年倫敦奧運會的三種垃圾郵件類型

企圖利用2012年倫敦奧運會的三種垃圾郵件類型

網路犯罪分子是標準的機會主義者。他們會利用任何吸引人的運動賽事(像世足賽奧運)來放入他們的攻擊劇本。隨著2012倫敦奧運會開幕日子的接近,我們可以想見利用這活動的垃圾郵件也將大幅的增加。

 

下面是一些我們看過會利用2012年奧運作誘餌的垃圾郵件(SPAM),有電子郵件會偽裝成「中獎通知」,另一封則要求提供個人資料以換取獎品,還有一封則要求使用者去聯絡特定聯絡人。落入這些陷阱可能會洩漏個人資料,電腦會感染惡意軟體,有些垃圾郵件甚至會造成金錢上的損失。

1.      利用獎品或免費入場卷來交換你的個人資料

 

第一封和奧運有關的垃圾郵件會要求個人資料。為了讓使用者自願交出這些資料,這封郵件告知收件者贏得免費門票。但領獎需要個人資料,像是住家地址/位置、婚姻狀況甚至職業。這封信件還會更進一步的加碼,通知使用者贏得了現金大獎。

 

1.	企圖利用2012年倫敦奧運會的三種垃圾郵件類型:利用獎品或免費入場卷來交換你的個人資料
1. 企圖利用2012年倫敦奧運會的三種垃圾郵件類型:利用獎品或免費入場卷來交換你的個人資料

 

這垃圾郵件背後的攻擊者可能會將這些資料用在未來的惡意計劃裡。他們還可以將資料賣給其他網路犯罪集團。

2.     惡意軟體偽裝成中獎通知

趨勢科技也看了好幾封號稱跟2012倫敦奧運有關的郵件,夾帶著偽裝成「中獎通知」的附件檔,包含獎金內容。如果使用者好奇去下載並打開附件檔,其實就執行了惡意檔案。下面是一個電子郵件範例:

 

企圖利用2012年倫敦奧運會的三種垃圾郵件類型:惡意軟體偽裝成中獎通知
企圖利用2012年倫敦奧運會的三種垃圾郵件類型:惡意軟體偽裝成中獎通知

另外一起的垃圾郵件攻擊中,我們看到有個附加檔其實是個木馬(偵測為TROJ_ARTIEF.ZIGS),它會攻擊RTF堆疊緩衝區溢出漏洞(CVE-2010-3333)。一旦攻擊成功,惡意軟體會植入後門程式BKDR_CYSXL.A。根據我們的分析,這個後門程式會連接遠端使用者,讓他可以在中毒系統上執行命令。更令人擔心的是,這個感染後門的系統還會遭受其他攻擊,包括會竊取網路銀行憑證的惡意軟體(密碼、帳號名稱等等)。 繼續閱讀

企業對消費性產品的期望:從iOS6不支援第一代的iPad說起

企業對消費性產品的期望:從iOS6不支援第一代的iPad說起

作者:趨勢科技資深分析師Rik Ferguson

 自從第一代的iPad問世,改變了平板電腦的遊戲規則以來,僅僅過了兩年,Apple就已經宣布即將到來的作業系統 iOS6不會支援第一代的iPad。

 Apple的iOS上有漏洞並不是什麼新鮮事,所以自作業系統問世以來也釋出了許多修補程式。有些漏洞非常嚴重,可以讓未簽章過的程式碼遠端執行在Apple裝置上。簡單地說,就是讓攻擊者可以在你的iPad上遠端執行他想跑的程式,這很不好。如果說Apple結束對一代iPad的支援,代表未來作業系統更新將不相容於舊設備。那這肯定有安全上的風險。

 一般業界實作會支援目前版本跟減一的版本,讓客戶有時間調適和升級,這種作法是跨行業和跨科技的。Windows XP則有點異常,可能是因為Windows Vista相對來說不受歡迎。但是隨著最新版本的推出,我期待看到微軟會回到「目前版本跟減一」的做法。對Apple來說,這成了另外一個問題,他們有個長壽的作業系統跑在每年都會更新的硬體上。某些時候舊的硬體需要被放棄支援。但如果這情況發生得太頻繁,那麼這並不會讓使用者想升級,反而會讓他們放棄買Apple的產品…… 繼續閱讀