홈페이지 » 인터넷 » Dropbox Hack이 웹 보안 상태에 대해 가르쳐 줄 수있는 것

    Dropbox Hack이 웹 보안 상태에 대해 가르쳐 줄 수있는 것

    지난 주, Dropbox는 해킹을 통해 헤드 라인을 만들고있었습니다. 6 천 8 백만 건의 보관 용 계정이 손상된 이메일 주소 및 비밀번호. 모든 Dropbox 사용자에게 이것은 물론 관심의 대상입니다. 특히 개인 또는 업무용으로 Dropbox에 무엇인가 저장하는 경우 특히 그렇습니다.

    특정 해킹에서 손실 된 이메일 주소와 비밀번호를 사용하여 사진, 문서, 데이터 등을 알지 못해도 액세스 할 수 있습니다. 좋은 소식은 Dropbox 해킹에서 악의적 인 내용이 나왔다는 어떠한보고도 없었습니다., 지금까지. 그러나 그것이 걱정할 것이 없다는 것을 의미하지는 않습니다..

    보관 용 해킹 정보

    우선,이 방법을 벗어나게하십시오. Dropbox 해킹은 지난 주에 발생하지 않았습니다. 해킹에서 6800 만 개 이상의 이메일 주소와 비밀번호가 도용되었지만 해킹 자체는 해킹 당합니다. 4 년 전, 2012 년에 다시 일어났습니다..

    할리우드의 해커 씬 (많은 사람들이 해킹을 잘못하게 만들었습니다)을 상상하기보다 해킹이 일어났습니다. 인간의 실수로.

    해커는 다른 데이터 유출의 사용자 이름과 비밀번호를 사용하여 보관 용 계정에 로그인했습니다. 이 계정 중 하나 Dropbox 직원이 소유했습니다., 위반 사이트와 보관 용 계정에 동일한 비밀번호를 사용했던 사람.

    우연히도 같은 직원은 폴더가 가득했습니다. 68,680,741 보관 용 계정의 이메일 주소를 포함하는 문서 만큼 잘 해시 된 암호. 게임, 설정 및 일치.

    1. Dropbox는 혼자가 아니 었습니다. LinkedIn도 마찬가지로 해킹당했습니다.

    2016 년 5 월, LinkedIn은 지난 주 Dropbox 해킹과 비슷한 것을 발표했습니다. 그들은 2012 년에 LinkedIn 사용자가 발생 했었던 이메일과 암호를 도용 한 사실을 알게 된 후 "모범 사례로"암호를 변경하도록 권유했습니다..

    이전 단락에서 해당 링크를 클릭하면 데이터 손실이 얼마나 큰지에 대한 언급이 없습니다. 긴박감이 분명하다. 와 더불어 빈번한 업데이트 특정 페이지로.

    무슨 일이 있었 니? 1 억 1700 만명 이상 LinkedIn 계정에 영향을 미쳤지 만 실제 수 1 억 6,700 만 달러에 달할 수있다..

    2. 지금 해킹 된 암호가 왜 다시 나타나고 있습니까??

    전하는 바에 따르면 Dropbox와 LinkedIn에 대한 데이터 세트가 있습니다 지금은 어두운 웹에서 거래되고있다. (또는 그들은 1 주일 전부터 시작되었습니다).

    LinkedIn의 세트는 처음에 2,200 달러에 판매되었으며 Dropbox는 1,200 달러를 약간 상회했습니다. 이 데이터 세트의 가치는 그들이 더 오래있을수록 줄어 듭니다., 일단 대량의 사용자가 암호를 변경하면 데이터 세트는 가치가 거의 없기 때문에.

    그런데 왜 지금? 해킹 4 년 후? 내가 가장 가까운 대답은 트로이 헌트 (Troy Hunt)에서 온 것이다. (사이버 보안에 대해 많은 글을 쓰는이 포스트에서 꽤 많이 언급된다. 그가 말하고 싶은 말만 인용하면됩니다.

    필연적으로 촉매제가 있지만 여러 가지가있을 수 있습니다. 결국 공격자가 수익을 창출하기로 결정하고, 목표를 설정하고 데이터를 잃거나 궁극적으로 가치있는 것을 위해 거래합니다..

    3. 해킹 및 데이터 덤프는 모든 사람이 인정하는 것보다 더 자주 발생합니다.

    이 Dropbox 해킹에 대해 읽으면서이 데이터베이스 디렉토리 인 Vigilante.pw는 데이터 유출 정보를 제공하는 사이트였습니다. 이 글을 쓰는 시점에서 전체 데이터베이스에는 1470 건의 침해에 대한 정보가 포함되어 있습니다 20 억 개의 손상된 계정.

    가장 큰 것은 2013 년 Myspace 해킹입니다. 그 해킹은 3 억 5 천만 개의 계정.

    같은 디렉토리에서 Dropbox의 6 천 8 백만 항목은 알려진 데이터 덤프의 역사에서 9 번째로 큰 항목입니다. LinkedIn은 5 번째로 큰데, 그 수가 167 만 개로 수정 되었다면 디렉토리에서 두 번째로 큰 데이터 덤프가됩니다..

    Dropbox 및 LinkedIn의 데이터 덤프 날짜는 2016 대신 2012로 표시됩니다.

    그러나 악명 높은 애슐리 매디슨 해킹뿐만 아니라 게임을 바꾸는 락도 해킹 할 가치가 있습니다. 아니 디렉토리에 포함되어 있습니다. 그래서 실제로 무슨 일이 일어나고있는거야? 더 큼 사이트에서 보는 것보다.

    haveibeenpwned.com은 또한 당신이 볼 수있는 또 다른 소스입니다. 온라인 서비스 및 도구를 괴롭히는 해킹 및 데이터 덤프의 심각성.

    이 사이트는 트로이 헌트 (Troy Hunt)에 의해 운영됩니다. 보안 전문가 인이 전문가는이 최근 Dropbox 해킹을 비롯하여 데이터 유출 및 보안 문제에 대해 정기적으로 씁니다. 참고 :이 사이트에는 이메일이 유출 된 경우 알려주는 무료 알림 도구가 함께 제공됩니다..

    데이터가 사이트에 통합 된 게시 된 사이트의 목록을 찾을 수 있습니다. 다음은 상위 10 개 위반 사항 목록입니다 (모든 숫자를 살펴보십시오). 전체 목록은 여기에서 찾으십시오..

    아직도 나와 함꼐? 그것은 훨씬 나 빠지게된다..

    4. 모든 데이터 유출이있을 때 해커는 암호를 해독하는 것이 좋습니다.

    이 소식 아르스 테크니카 Jeremi Gosney가 전문 암호 크래커를 읽을 가치가 있습니다. 그것의 부족은 데이터 유출이 증가할수록 해커가 쉽게 침입 할 수 있습니다. 미래 암호.

    RockYou 해킹은 2009 년에 일어났습니다. 일반 텍스트의 3200 만 개의 비밀번호가 유출되었으며 비밀번호 크래커는 사용자가 비밀번호를 만들고 사용하는 방법을 내부적으로 파악했습니다..

    그것은 해킹의 증거를 보여주었습니다. 우리가 암호를 선택하는 것에 대해 거의 생각하지 못했습니다. 예 :. 123456, 사랑해, 암호. 하지만 더 중요한 것은 :

    RockYou 위반은 암호 크래킹에 혁명을 일으켰습니다..

    3200 만개의 무분별하고 무질서하며 비보호 된 암호 확보 전문 패스워드 크래커를위한 게임을 올렸다. 왜냐하면 데이터 유출을 수행 한 사람이 아니기 때문에 데이터 덤프가 발생하면 암호 해시를 해독 할 준비가되어 있습니다. RockYou 해킹에서 얻은 암호는 사람들이 실생활에서 사용하는 실제 암호로 사전 공격 목록을 업데이트하여 중요하고 더 빠르고 효과적인 크래킹에 기여합니다.

    후속 데이터 유출 올 것이다 : Gawker, eHarmony, Stratfor, Zappos, Evernote, LivingSocial - 그리고 일부 하드웨어 업그레이드, 저자 (업계 관련 팀과 팀을 구성한 후)가 17370 만개의 LinkedIn 비밀번호 단순한 6 일 (그게 98 % 전체 데이터 집합의). 보안을 위해 너무 많이, 응.?

    5. 암호 해싱 - 도움이됩니까??

    데이터 유출을 경험 한 사이트에서 단어를 가져 오는 경향이 있습니다. 해시 된 암호, 해시 된 암호, 해시 알고리즘 및 기타 유사한 용어를 사용하여 암호가 암호화 된, 귀하의 계정은 안전합니다 (). 잘…

    무엇을 이해하고 싶다면 해싱염분 그들이 일하는 방법과 그들이 금이 간 방법은, 이것은 훌륭한 기사입니다..

    개념을 단순화 할 위험이 있습니다.

    • 해시 알고리즘 그것을 보호하기 위해 암호를 변경합니다. 알고리즘은 암호를 모호하게하여 제 3자가 쉽게 식별 할 수 없도록합니다. 그러나 해시는 사전 공격 (포인트 6이 들어오는 곳) 및 무차별 대입 공격으로 금이 갈 수 있습니다.
    • 소금 암호가 해시되기 전에 임의의 문자열을 암호에 추가합니다. 이렇게하면 동일한 암호가 두 번 해시 된 경우에도 소금으로 인해 결과가 달라집니다..

    Dropbox 해킹으로 돌아 가기, 패스워드의 절반은 SHA-1 해시 아래에있다. (포함되지 않은 소금은 균열을 일으키지 않음) 나머지 절반은 bcrypt 해시.

    이 혼합 SHA-1에서 bcrypt 로의 전환을 나타냅니다., 이는 SHA1이 2017 년까지 단계적으로 폐지되고 SHA2 또는 SHA3으로 대체되기 때문에 시간보다 앞섰다..

    즉 해커와 크래커의 속도를 늦추는 "해싱은 보험 정책"이라는 사실을 이해하는 것이 중요합니다. 이러한 추가 된 보호 장치로 인해 암호가 "해독하기 어렵다", 그것은 그들이 깨지기 불가능하다는 것을 의미하지 않는다..

    기껏해야 해싱과 소금 내기 만하면됩니다. 사용자 구매 시간, 계정을 탈취하지 못하도록 비밀번호를 변경하기에 충분합니다..

    6. 해킹 (데이터 위반)의 여파

    (1) 해킹은 Dropbox 해킹과 같은 비교적 양심적이거나 애쉴리 매디슨 데이터 위반과 같은 치명적인 결과를 낳을 수 있습니다.

    후자의 경우 실제 집 주소, 신용 카드 거래 및 사용자의 검색 기록을 포함하여 25GB의 데이터가 누출되었습니다. 웹 사이트의 성격으로 인해 공중 쉐이핑, 협박, 강탈, 이혼, 자살조차도 일어났습니다..

    해킹은 또한 가짜 계정 생성과 유료 고객의 유치를 유도하여 계정에 가입하도록 노출했습니다..

    (2) 해킹 암호 선택에 우리의 무관심을 보여라. - 즉 위반이 발생할 때까지.

    우리는 # 4에서 RockYou 위반을 논의 할 때 이것을 확립했습니다. 중요한 데이터가 웹에 떠 다니는 경우에는 비밀번호 관리 앱 사용. 과 2 단계 인증 사용. 과 데이터 유출로 인한 비밀번호를 다시 사용하지 마십시오.. 그리고 함께 일하는 다른 사람들이 있는지 확인하십시오. 같은 안전 조치를 취하다..

    한 걸음 더 나아가려면 이메일이 데이터 유출과 관련되어있을 때이를 알리는 알림 도구에 등록하십시오..

    (3) 해킹은 사이트의 사용자 암호 보호에 무관심 및 데이터.

    Dropbox 대 LinkedIn의 경우 Dropbox를 볼 수 있습니다. 피해를 최소화하기 위해 더 잘 계산 된 조치를 취했습니다. 이 같은 데이터 유출에서.

    Dropbox는 더 나은 해싱 및 솔팅 방법을 사용하여 가능한 빨리 암호를 변경하라는 전자 메일을 보내고 보안 요소를 사용하는 Two-Factor 인증 및 U2F (Universal Second Factor)를 제공하고 직원 정책 변경을 수행했습니다 (Dropbox 직원들 1Password를 사용하여 암호를 관리하고 법인 계정 암호를 더 이상 재사용 할 수 없으며 모든 내부 시스템이 2FA에 있음).

    LinkedIn이 한 일에 대한 분석을 위해이 기사는 아마도 더 철저하고 적합한 읽기 일 것입니다..

    마무리

    솔직히 말하면 Dropbox 해킹을 연구하는 것에서이 모든 것을 배우는 것은 눈을 뜨고 두려운 경험이었습니다. 우리는 일반 인구, 독특하고 강력한 암호의 필요성을 과소 평가합니다. 비밀번호를 공유하거나 반복하지 말라고 여러 번 들었거나 사전에 단어를 사용하십시오..

    데이터가 Dropbox 해킹의 영향을받은 경우 개인 정보를 보호하기 위해 필요한 예방 조치를 취하십시오.. 암호에 약간의 노력을 기울이십시오. 또는 비밀 번호 관리자를 얻으십시오.. 오, 사용하지 않을 때는 노트북 카메라 나 웹캠으로 테이프를 감 으세요. 너무 조심해서는 안됩니다..

    (GigaOm을 통해 표지 사진)

    TV의 HDMI 포트에 표시되는 레이블의 의미 (중요 시점)
    Snapchat Friend Emoji가 실제로 의미하는 것
    & # % $는 CryptoKitty입니다.
    다음 기사
    지옥이 밸브가하는 것조차도 (돈을 버는 것 외에)
    이전 기사
    Amazon Dash Wand가 할 수있는 것 (그리고 할 수없는 것)