OkCupid -tilin kaappaukset korostavat verkkosivustojen tilinhallintaongelmia

Suositun treffisivuston käyttäjät OKCUPID

ovat valittaneet

hakkereista, jotka ottavat tilinsä, lukitsemalla ne muuttamalla siihen liittyvää sähköpostiosoitetta ja salasanaa sekä käyttämällä tililtä kerättyjä tietoja häiritäkseen heitä.

Mutta yrityksen tiedottaja sanoi, että tilinostot eivät ole lisääntyneet eikä tietoturvaloukkauksia Okcupidissa.

Mitä tapahtui?

Jos OKCUPID: n vakuutukset ovat voimassa, todennäköinen selitys tilin kaappauksille on, että hyökkääjät käyttävät muista sivustoista varastettuja kirjautumistietoja OKCUPID -tilien käyttämiseen.

"Jos käytät samaa salasanaa useilla eri sivustoilla tai palveluilla, niin kaikilla niissä olevilla tililläsi on potentiaalia ottaa haltuunsa, jos jollakin sivustolla on turvallisuusrikkomus.Luettelot, mukaan lukien sähköpostiosoitteesi ja salasanat, voidaan myydä huonoille toimijoille, jotka kokeilevat salasanasi monilla eri sivustoilla, kunnes he löytävät sellaisen, joka toimii ", yritys

selittää

sen tukisivuilla.

He neuvovat käyttäjiä käyttämään OKCUPID: n ainutlaatuista salasanaa, käyttämään kirjaimia, numeroita, isoja symboleja ja sen tekemistä pitkään.

Lisää neuvoja käyttäjille

"Olen samaa mieltä kaikkien Okcupidin neuvojen kanssa.Käyttäjillä tulisi olla yksilöllisiä salasanoja jokaiselle verkkosivustolle tai ainakin oltava yksilöllinen salasana jokaiselle sivustolle, josta välität mitä tahansa.Sinun tulisi ainakin harkita ainutlaatuisia salasanoja asioille, jotka vaikeuttavat elämäsi, kun he saavat hakkeroimaan ", Terry Ray, Imperva SVP ja muut, kertoi HELP Net Security.

"Salasananhallinnasta on saatavana - jotkut ilmaiseksi ja jotkut maksusta, jotkut tietokoneeltasi, jotkut mobiililaitteille ja toiset molemmille - joten ei ole todellista syytä olla käyttämättä sitä.Kyllä, voi olla erittäin ärsyttävää, ettet tiedä salasanasi ja joudut etsimään sitä, mutta on ärsyttävämpää, että tilisi hakkeroidaan."

Hän huomautti myös, että salasanan vaihtaminen Tomething Ainutlaatuiseksi ei tarkoita salasanan1, salasanan2, salasanan 3 ja niin edelleen eri tilien käyttöä.

"Käytä kirjaimia ja numeroita lastentarimissa:" HDS4ton4W@ll ", Humpty Dumpty istui seinällä.Mikä tahansa toimii, laita ne salasananhallinnalle ja siirry seuraavalle verkkosivustolle."

Lopuksi hän neuvoi kahden tekijän todennuksen käytöstä mahdollisuuksien mukaan.

"Käyttäjätunnusten ja salasanojen testaaminen luettelosta on automaattinen prosessi.Hyökkääjien on halpaa, nopeaa ja helppoa suorittaa. Two-factor authentication helps for sure and I encourage its use, but not every website supports it yet," he concluded.

Valitettavasti OKCUPID -käyttäjille sivusto ei silti tarjoa vaihtoehtoa.

Neuvoja verkkosivustojen omistajille ja järjestelmänvalvojille

Synopsysin vanhempi tekninen evankelista Tim Mackey huomautti,kohta tilin elinkaaren aikana.

"Ilmoitettujen OKCUPID -vastausten perusteella kyselyihin näyttää siltä, että käyttäjän sähköpostiosoite on heidän ensisijainen tilinmuoto. Given that users can change email addresses, that email addresses may no longer become valid (say as the result of a provider shutting down), and that email is an insecure form of communication, the use of email as a primary form of identification is problematic from the outset," he explained.

"Vaikka OKCUPID: n on todennäköisesti melko vaikeaa ratkaista nopeasti sähköpostinsa käyttämisen tunnisteeksi, siellä on joitain parhaita käytäntöjä, jotka kaikki organisaatiot pyrkivät käyttämään sähköpostia sovelluksissa, tulisi harkita.

1.

Suostumus on avain.

Älä oleta, että käyttäjä kirjoitti oikein kelvollisen sähköpostiosoitteen.Jos he eivät voi vahvistaa sähköpostitse, että he saivat vahvistusviestin, he eivät todennäköisesti saa mitään muita viestejä.Mikä pahempaa, jos he eivät voi vahvistaa, niin ehkä sähköpostiosoite ei kuulu heille ja olet saattanut vuotaa henkilökohtaisia tietoja käyttäjästä, joka ei ole tehnyt mitään vakavampaa kuin kirjoitusvirhe.

2.

Suostumus on avain – again.

Kun muutat sähköpostiosoitetta.Vahvista heidän osoitteensa uudella sähköpostiosoitteella ja sitten vain kerran vahvistettu muutos edellisestä.Lähetä myös vahvistusviesti tästä toiminnasta vanhaan osoitteeseen.Tällä tavoin, jos tilin haltuunotto tapahtuu, laillisella käyttäjällä olisi mahdollisuus tunnistaa asia.

3.

Ota henkilöllisyyspetokset vakavasti.

Jos joku väittää,.

4.

Säilytä käytettyjen aikaisempien tunnistusmuotojen loki.

Jos joku muuttaa sähköpostiosoitettaan, älä vain korvaa vanhaa arvoa uudella.Säilyttää, että tämä toiminta tapahtui.Identiteettivarkaudet voivat tapahtua kaikissa Web -kiinteistöissä, ja yrityksiä ei ole rakennettu turhautuneiden käyttäjien kanssa."

Päivittäinen uutiskirje

- Sähköposti lähetettiin jokaisen arkipäivänä viimeisen 24 tunnin kertomuksella

Viikoittainen uutiskirje

- Sähköposti lähetetään joka maanantai viimeisen 7 päivän kertomuksella

(In) Secure Magazine

- Sähköposti lähetetään, kun uusi kysymys julkaistaan

I have read and agree to the terms & conditions

Kirjaudu

Jätä tämä kenttä tyhjä, jos olet ihminen: