精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

4名以色列科學家發布研究論文，詳細描述了一種新型攻擊，即“密碼重置中間人攻擊”（PRMitM），引導受害者在目標網站進行注冊，并在注冊過程中偷偷重置該受害者的其它密碼。

PRMitM屬于社會工程類攻擊，其要求攻擊者說服或誘騙潛在受害者在陷阱網站上注冊個人資料。

PRMitM攻擊要求攻擊者創建特殊后端，將數據輸入到注冊頁面，并發送至另一站點的密碼重置系統。

例如，當受害者在陷阱網站的注冊頁面輸入用戶名或電子郵件，惡意網站的后端會將這類信息發送至Google、Yandex或Yahoo目標頁面，從而啟動密碼重置操作。

如果密碼重置服務要求完成各種安全設置，例如驗證碼、安全問題或短信驗證碼，攻擊者便會通過新程序更新注冊程序，要求用戶在注冊頁面輸入這類信息。

PRMitM攻擊只對接管電子郵箱賬戶有效，因為如今大多數網站會通過電子郵件發送密碼重置鏈接。然而，電子郵件提供商會通過其它方式處理該過程，例如驗證碼、安全問題或短信驗證碼。

E安全提醒那些粗心大意的用戶注意，研究人員在測試期間證明，許多用戶在注冊頁面輸入了所有要求輸入的信息，絲毫沒有注意到有人在嘗試入侵他們的賬號。甚至當受害者通過短信驗證碼時，大多數用戶會在手機通知欄讀取驗證碼，而不會查看完整的短信內容。諸如Twitter或Facebook在內的網站會在短信中闡明驗證碼的真實用途（例如密碼重置、注冊等）。讀取完整的短信會讓用戶免遭這類攻擊。

E安全再次提醒大家，以后看短信信息別看個“驗證碼”就完了，請務必全文閱讀！

密碼重置時，請使用短信等多種方式發送密碼，勿僅限于電子郵件。

為了防止PRMitM攻擊，研究人員建議，如果網站或服務提供商取消了電子郵件發送密碼重置服務，應至少采用短信發送密碼重置鏈接。

當某人試圖在另一網站注冊時，通過短信接收密碼重置鏈接會提醒受害者可能存在風險。

盡管如此，這種緩解措施無法保護受害者免受國家攻擊者發起這類攻擊，這類攻擊者具有資源可以利用SS7協議中的漏洞，并劫持手機號碼，在自己的手機上接收密碼重置通知。