首页
论坛
专栏
课程

又是弱密码的锅,近10TB的商业文件被窃,或与FBI有关

Editor 发布于 看雪学院 2019-03-12 09:42

软件制造商Citrix近日承认公司因国际黑客窃取大量数据,现已沦为数据泄露的新受害者。美国联邦调查局(FBI)已经就此事和公司取得联系,并警告称本次网络攻击行为极有可能是伊朗黑客组织所为,约有6TB至10TB的商业文件被窃取。


Citrix是世界领先的应用服务软件方案提供商,总部位于美国佛罗里达州,是一家致力于云计算虚拟化、虚拟桌面和远程接入技术领域的高科技企业。现在流行的BYOD(Bring Your Own Device自带设备办公)就是Citrix公司提出的。Citrix基于服务器的企业级网络解决方案,使各行各业的计算机用户,包括大中型企事业单位以及新兴的应用服务提供商(ASP),能以更快的速度、更高的可预测性以及更优的性能价格比,为更多的访问者提供更丰富的应用,所覆盖的地域及范围更加广泛。


图片来自于 Flickr


针对本次安全事件,Citrix已经采取积极措施。公司表示:“我们已经全面配合FBI开展调查,并且聘请了一家专业领先的网络安全公司提供协助,巩固我们的内部网络。”随后补充道没有任何迹象表明Citrix的产品或者服务受到了损害,但也承认并不清楚黑客到底访问了哪些文件,以及有多少文件被访问过。


Resecurity总裁查尔斯·尤(Charles Yoo)表示,有证据表明黑客大约在10年前首次攻击Citrix的网络,并且此后一直处于等待状态。这些被盗的文件主要和FBI、NASA、航空航天业,以及沙特阿拉伯国拥有石油的公司有关。


而造成此次泄露事件的关键要素又回到了我们经常谈到的“弱密码”,披露的细节显示,黑客使用了一种名为“password spraying”的策略,利用弱密码获取有限的访问权限,然后努力绕过其他安全系统。弱密码不只被用户广泛使用着,甚至连一些有名的公司也会犯同样的错误。


尽管前不久万维网联盟(W3C)与 FIDO 联盟宣布,新标准WebAuthn让我们无需担心泄密问题,哪怕被入侵者跟踪到用户行为,也无法轻易取得Web 准入资格,传统的钓鱼攻击也会变得更加困难。(详情戳:新!Web身份验证新标,支持免密登陆


不过目前,WebAuthn 只在Dropbox、Facebook、Github、Salesforce、Stripe和Twitter等网站上实现了。因此,并非所有网站都可以实现如此安全的免密登陆。


那么,在WebAuthn 被普及之前,更多的人仍然需要警惕存在风险和危险的弱密码。



如何将弱密码升级为强密码?


使用密码短语,而非单纯的密码


密码短语的关键是将词或短语连在一起,形成一个长的短语,最好选择一个自己容易记住但他人很难猜到或破解的短语,入一些随机的符号和字符,进一步加强安全性。


例如:mydogfido’sbirthdayisnovember19


使用双因素验证加强密码安全


双因素验证可以把你知道的一些信息(你的密码)与你拥有的东西(你的电话)或你具有的特征(你的指纹),甚至是你所在的地方(你的位置)结合起来。


其在于,如果你的密码不知何故泄露了出去,那么在不知道双因素验证信息的情况下,攻击者还是无法登录你的帐户。


在工具箱中加入密码管理器


实际上,如果没有什么东西来帮助记忆、整理和创建密码,很难养成良好的密码习惯,那就选择一款密码管理器。


你可以从我们之前的文章中选择一款你会更感兴趣的密码管理器,详情戳:《4款好用的密码管理器,你值得拥有》


在无密码登陆时代来临前,密码仍然是保护网络安全的重要部分,无论对于个人还是企业,都至关重要,警惕弱密码!


参考来源:

  • cnBeta.COM
  • lastpass




更多资讯:



分享到:
最新评论 (0)
登录后即可评论