由于在多個帳戶中重復使用相同且較簡單的密碼,全球約三分之一的大型公司 CEO 的工作郵箱賬戶和密碼被盜,連帶其家庭住址、公司機密、私人郵件內容等私密信息均遭到曝光。
實際上,電子郵箱帳戶對網絡犯罪分子來說非常有吸引力,因為它通常都包含一些敏感信息。比如, 第65任美國國務卿科林·鮑威爾的Gmail帳號曾在2016年的總統競選期間遭到攻擊,在泄露出來的一封郵件里他寫到:“這個死騙子(希拉里克林頓)連撒謊都不會”!研究人員推測,泄露的原因是因為鮑威爾在 Gmail 賬戶中用的是早先被盜的Dropbox帳戶里的密碼。不過正因為如此,美國民眾知曉了鮑威爾的真實想法;再比如,商業電子郵件泄露 (BEC):如果一家企業的財務總監收到了一封來自 “CEO” 的轉賬指令郵件并進行操作,后果將不堪設想。
根據F-Secure(計算機及網絡安全提供商)今天發布的一份報告(PDF)顯示,研究人員針對所泄露的憑據數據庫檢測了200位CEO們的郵箱地址,指出,技術公司的易曝光指數從30%上升到63%。他們還發現,超過七成的 CEO 連接公司郵箱地址的最高級別服務器大都為LinkedIn、Dropbox和專業網站。
有八成的 CEO 向研究人員透露,泄露的不僅僅只是郵箱賬戶和密碼泄露那么簡單, 他們的個人信息包括家庭住址,出生日期和電話號碼等等會以垃圾郵件列表的形式和公司營銷數據庫一起被曝光。
只有少于兩成的 CEO 的郵箱賬戶相對安全
不過,有一種防泄露方法是使用私人帳戶和個人電話號碼來偽裝成企業公司,但是 F-Secure 警告說,這個方法在殺毒鏈的后期階段以及防御層面都有缺陷:
當 CEO 使用私人郵箱、電話號碼或家庭住址來注冊企業相關服務時,很大程度上影響了企業的 IT、通信、知識產權、法律以及本應來自安全團隊所提供的安全保護,也就是說 CEO 脫離了自己的企業與員工,處于一種未被保護狀態。
所以,要想保護好郵箱帳戶和密碼, F-Secure 的建議是使用合格的密碼,比如無序的、字符數多的、更復雜的密碼。還可以使用密碼管理器來生成密碼,但要特別注意一下無需訪問設備的云端密碼管理器;另外,避免通過登錄第三方社交媒體的方式進行郵箱登錄,因為一旦社交媒體帳戶丟失了,其所關聯的所有帳戶也會相應丟失;最后,堅持使用多渠道身份驗證,比如首選離線認證和基于硬件的口令認證,避免使用SMS密碼。
密鑰即密碼。一般來說,服務提供商沒有用明文存儲密碼,而且使用較長的、完全隨機的密碼字符(一般為32個字符)來設置密碼,那么它就是相對安全的;但如果有一家情報機構的預算很足,這個機構理論上是可以破解 MD5 加密后的密碼的。但是,如果服務商花很大的精力在密碼保護這一塊上,那么上面這種情況出現的幾率就會大大減少。并且,即便是遇到“密碼破解攻擊”——即從被盜哈希中獲取明文密碼的情況下,通過增大計算量也就是“密鑰延伸”的加密方式后,密碼幾乎都相對安全。比如,當服務商使用PBKDF2,scrypt,bcrypt或一些其他方案時,就可以通過迭代的方式把密碼哈希驗證次數提升到數百萬次,包括一些相對簡單的密碼也很難被破解。
京公網安備 11010502049343號