本文目录一览:
为什么说短信验证也并不安全?
近几个月来,有消息证实,短信往往是双重核查中最薄弱的环节:黑客攻击了伊朗、俄罗斯甚至美国政治活动人士的短信。因此,如果可能的话,值得选择一种更好的认证方法,比如智能手机应用软件进行认证,或者可以生成一次性认证码的物理密码。对于只能提供短信作为第二身份验证服务的twitter来说,是时候醒悟了,发现可能的攻击,并为用户提供更好的选择。安全研究员兼法医专家乔纳森·兹齐亚尔斯基(Jonathan zdziarski)说:“发短信并不是最好的复查方式。”它依赖你的手机进行验证,这可能会被侵犯,失去控制。”
社交软件有问题不是空想。本月初,黑人生命事件活动家德里麦克森(derey McKesson)发现,尽管经过了双重验证,他的twitter账户还是遭到黑客攻击,黑客发出了支持唐纳德特朗普(Donald Trump)大选的信息。他说,黑客伪装成他,打电话给Verizon,要求该公司将他的短信发送到另一张SIM卡上,拦截他的一次性登录密码。俄罗斯活动人士最近还发现,他们的有线电视账户也遭到攻击,可能是国有电信公司帮助独裁政权劫持用户登录的短信。
事实上,目标不仅仅是公众人物。作为一名密码安全专家,Lorie cranor曾遭遇过相关的黑客攻击。她注意到,这些身份攻击已经变得非常普遍,以至于纽约州发布了官方警告。
在登录的过程中,增加更多基于短信认证的安全性,这势必比只基于密码登录的设置要好。但zdziarski指出,短信验证作为第二次验证,根本不安全。双重身份验证是根据人们知道的信息(如密码)和他们拥有的物品(如手机或其他设备)来识别他们。
基于RSA加密算法的“Google认证”和“令牌”具有较好的安全性,它们可以通过网络服务提供商提供唯一的一次性密码经过测试,由于加密技术的原因,这些安全信息不能在两台计算机之间使用。所以安全性远高于短信验证。然而,它的便利性已经降低,这可能是它不那么常见的原因。
推特遭大规模黑客入侵,哪些名人的账号被入侵了?
被入侵账号的包括美国前总统奥巴马、民主党总统候选人拜登、微软公司创始人比尔·盖茨、亚马逊公司创始人杰夫·贝佐斯、金融大亨沃伦·巴菲特、特斯拉CEO埃隆·马斯克、纽约市前市长迈克尔·布隆伯格、金·卡戴珊等。
此次受到影响的名人政要账号数量众多,这些账户发送了一种利用加密货币进行诈骗的推文和链接,推特官方对此回应称,已经开始调查并积极修复,并且禁用了某些帐号发送新推文和修改密码的功能。
也给我们的网络安全再次敲响了警钟,在登录一些社交证号时,一定要注意个人信息保密措施,比如不定时更换密码,设置高保密强度密码,减少用身份证号、生日作为登录密码等;不同网站最好设置不同的密码,网银、网购的支付密码定期更换;尽量不要使用“记住密码”模式,在公共电脑上网后注意清除个人使用记录。
扩展资料:
CNN报道称,目前交易数据已有320笔,黑客已经获得了至少11.3万美元的比特币。由于一些国家领导人会通过推特宣布重大政策决定,比如美国总统特朗普。目前尚没有特朗普推特账号被黑客攻击的消息。如果黑客入侵了某位领导人的账号,则可能会造成灾难性的后果。
当被问及是否担心特朗普的账户受到影响,或者是否与推特就该问题联系时,白宫方面拒绝置评。拜登的竞选助手则表示,拜登的账号已经被“锁定”,“我们在此事上与推特方面保持联系。”
参考资料来源:江苏都市网-推特遭大规模黑客入侵 多位名人政要和官方账号受影
参考资料来源:舜网-推特遭大规模黑客入侵
全球爆发勒索病毒,这到底是谁的锅?
全球多国爆发电脑勒索病毒,受害者电脑会被黑客锁定,提示支付价值相当于300美元(约合人民币2069元)的比特币才可解锁。目前已经波及99个国家。
可能人们的第一感觉就是现在的黑客真的太猖狂了,一个病毒竟然可以在短时间内传播如此多的国家,这都是那些黑客的惹的祸,当人们把这个锅甩给黑客的时候,我们有没有想过这个病毒到底谁制作的,这么厉害的病毒开发者需要靠勒索别人的几百美元来营生吗?
这种勒索病毒名为WannaCry(及其变种),全球各地的大量组织机构遭受了它的攻击。在一些遭受攻击的医院里,手术被迫取消,可能导致病人无辜死去。据说攻击者使用的很可能是美国国家安全局开发的某些工具。对的,这是美国的国家安全局开发的攻击工具的。
事情的经过是这样的,美国国安局研发的相关工具就被一个名为“影子经纪人”的黑客团体窃取了。 黑客们还尝试在一个网上拍卖中出售它们。但是,黑客们之后又决定免费提供这些工具,并在4月8日发布了加密密码。黑客们表示,他们发布密码,是为了对美国总统唐纳德·特朗普表示“抗议”。
现在事情变的很明朗了,虽然是一些不法的黑客发动了此次全世界大面积的勒索攻击,但是这个工具的开发者确实美国的安全局,所以这个锅就到了美国国家安全局的头上。一直以来,美国在从事网络攻击和网络窃听相关的研究,据一些爆料称,美国的网络攻击能力可以短时间内让一个国家的网络进入瘫痪状态,可以监听世界范围内的网络通信等,而此次被黑客盗取的攻击工具只是其攻击程序中的冰山一角,但是影响的范围就如此的广泛。
最后提醒大家做好预防的措施,注意自己的信息安全和网络安全。
短信验证并不安全!
为确保账户安全,双重验证已经成为网络服务的常规措施。但是对于大多数用户来说,双重设置需要有一个临时生成的验证码,或者额外地给你的手机发送一个密码,而这些验证码并不是不能破解的。尤其是那种通过短信形式发送的验证码。
在最近几个月里已经证实手机短信经常是双重验证中最薄弱的环节:黑客攻击了伊朗、俄罗斯甚至美国的政治活动家的手机短信。所以如果有可能的话,选择一种更好的验证方式是值得的,比如专门用于身份验证的智能手机app软件或者是能够生成一次性验证码的实物密码器。对于推特这类只能提供短信作为第二重验证的业务,是时候要清醒了,要察觉到可能的攻击,提供给用户更好的选择。
“短信并不是第二重验证的最佳方式,” 安全研究员兼法医专家Jonathan Zdziarski说:“它依赖你的手机进行验证,而这种验证能够受到侵犯并且失去控制。”
社交软件出问题不是空想出来的。在这个月初,Black Lives Matter的活动家DeRay McKesson发现,尽管他的推特账户有双重验证,但还是被黑了,黑客发了一条大选支持唐纳德?特朗普的消息。他说,黑客冒充他,打电话给Verizon(美国电信运营商),并让公司将他的短信发送至另一个不同的SIM卡上,从而截取他的一次性登陆密码。俄罗斯的活动家们近期也发现了他们的电报账号也被攻击了,可能是由国有电信公司帮助那些独裁政府劫持短信电报用于用户登录。
事实上,并不是只有公众人物才成为被攻击的目标。作为密码安全专家,Lorrie Cranor曾经历过一场相关的黑客攻击,她注意到这些身份识别攻击已经相当普遍,以至于纽约州发布了一个官方警告。
在你的登陆过程中,多增加一重基于短信验证的保障,势必要优于仅仅基于密码登陆的设置。但是Zdziarski指出,短信验证作为第二重验证却一点也不保险。双重验证是想确认人们的身份,基于一些他们知晓的信息(例如密码)以及他们拥有的一些物品(例如他们手机或其他设备)。
像“谷歌认证”和基于RSA加密算法的“令牌”就具有更好的安全性,它们可以通过网络服务商提供独一无二的一次性密码。经过测试,因为加密技巧的原因,这些安全信息无法在两台电脑之间互用。这样安全性就远远高于短信验证。不过,它方便性有所降低,这也可能是为什么没有那么普遍的原因吧。
“短信验证把你的登陆方式从‘你知晓的信息’变成了‘别人发送给你的信息’,” Zdziarski说:“如果交易发生了,这可能会被拦截。这也就意味着你的交易可能存在一定程度的风险。”
有一些策略诸如应用社交工程或者使用暴力手段,可以针对电话公司,从而破坏双重验证中的短信验证。被称为“国际移动用户识别码(IMSI)”和“黄貂鱼破解器”的假的手机信号塔也可以拦截短信。安全共同体最近呼吁关注七号信令系统(SS7),此协议允许网络通信彼此可以进行信息交流。黑客可以利用SS7,更改用户的电话号码,拦截他们的电话或短信。“现在任何网络可以告诉其他网络‘你的用户’信息,除非你的电话接通,否则电话和信息就会被转移到其他网络,”安全实验室的首席科学家Karstem Nohl说,此科学家最近演示了60分钟的攻击。“如果有一个攻击者,他们能得到你所有的短信。这确实千真万确……而且它是如此简单,简单到让人羞于说这是黑客行为。”
不过这些攻击准确的说也不是那么容易实现的,需要攻击者搞到用户的电话号码以及密码。这些号码可以是偷的,也可以是猜的,或者也可以是其他黑客组织泄露出的数据。因为任何一个人都有可能成为一个老练黑客的目标,所以这些基于短信服务的技术都应该避免任何登录相关信息的泄露。
幸运的是,大量的服务商提供了更好的选择。谷歌上周推出了“谷歌提示”,此服务可以直接从服务器发送第二重验证,到用户的安卓手机或者ISO系统的app应用“谷歌搜索”中。但是,更安全的应用应该不要求发送任何信息。像“谷歌认证”与“谷歌令牌”,以及RSA加密算法这样的app应用会生成一次性的密码,并且这些密码会在几秒之内就发生变更。这些由服务器产生的提取码被诸如Slack、WordPress或者Gmail这些服务商所应用,所以他们的用户可以说出密码来证明自己的身份,即使被泄露到网络上也是没有关系的。
蝌蚪君编译自wired,译者 天狼,转载须注明