Le cattive password utilizzate per violare la sicurezza nella vita reale?

Sì, le password rubate sono usate negli attacchi reali. In realtà non mi conoscevo fino a quando non ho cercato, ed è sepolto fino in fondo nella terza pagina della mia ricerca di quarta o quinta ricerca Google; cioè l'informazione praticamente non esiste. ; -)

Comunque, apparentemente nel 2012 ci fu un periodo di diversi mesi in cui Gli account Best Buy sono stati compromessi da password rubate da un altro sito . E nel 2015, Verizon ha stimato 63% delle violazioni dei dati password rubate, predefinite o deboli utilizzate . Non ho voglia di registrarmi per scaricare il rapporto completo da Verizon quindi non sono sicuro di quanti siano stati rubati rispetto a quelli deboli o predefiniti, ma immagino che sia una parte significativa se la stanno segnalando in quel modo.

Direi che più informazioni sono disponibili per la ricerca, se necessario.

• Si ritiene che siano state utilizzate password comuni per l'incidente di Celebgate / Fappening del 2014.
• Il sito Web Groupon ha accusato riutilizzo della password come fonte di alcuni acquisti fraudolenti nel 2016.
• Verison report 422 violazioni dei dati utilizzando le credenziali rubate per l'anno 2013.
• ...

L'elenco continua e ... Questa è solo una frazione dei risultati di una ricerca rapida. Devi solo cercare "password breach".

Quindi, sì, le cattive password vengono utilizzate per violare la sicurezza nella vita reale.

Una sfida quando si cerca di valutare l'impatto specifico delle password scarsamente selezionate è che non sempre sappiamo come un utente malintenzionato abbia ottenuto una password. Forse la password è stata appresa perché è stata una supposizione facile, oppure è stata riutilizzata e trapelata da un altro sito violato, o è stata phishing, o poche altre possibilità. O l'utente o il proprietario del sistema di destinazione non conoscono effettivamente la risposta a tale domanda, o lo sanno e semplicemente non è incluso nelle informazioni condivise con il pubblico.

Una decina di anni fa registravo storie su incidenti legati alla password e guardando indietro nel mio indice non c'erano molti dettagli su come venivano ottenute le password compromesse. Ad esempio, ecco la una storia che menziona uno studente che indovina la password del suo insegnante in un'ora. Un altro rapporto ha rivelato che il codice PIN di una donna è stato indovinato perché era la sua data di nascita, che è stata archiviata insieme alla sua banca rubata carta. Ma per pochi di quelli con dettagli vedrai decine di altre storie senza menzionare il modo in cui le password sono state rubate. Come sottolinea @Matthew nel suo commento, questi attacchi tendono ad essere più focalizzati sull'individuo, che spesso non è considerato degno di nota.

Fortunatamente abbiamo un po 'più di dati a cui possiamo rivolgerci. Nel Rapporto sulla sicurezza globale di Trustwave del 2016 hanno segnalato che le password deboli erano responsabili del 7% delle centinaia di incidenti che hanno indagato l'anno precedente. Non definiscono ciò che intendono per "debole", ma è ragionevole supporre che ciò significhi una password che può essere indovinata o decifrata entro pochi minuti fino a settimane di sforzi. O era una password predefinita del venditore. Allo stesso modo, hanno segnalato password deboli come metodo di intrusione identificato 28% del tempo nel 2015 e 31% nel 2014 .

RSA ha condiviso notizie su una situazione in cui un utente ha tentato una singola password popolare contro i 145.000 utenti di un sito e con successo compromesso 434 dei conti.

In questi giorni alcune organizzazioni si sono spostate sulla lista nera delle password più deboli perché sono stanche di affrontare i compromessi dei clienti che risultano dagli hacker che li hanno indovinati. Microsoft ha annunciato che erano divieto di password comuni per i loro account clienti l'anno scorso. Hanno aderito a organizzazioni come GitHub e ArenaNet che lo fanno da anni.

Sì, lo sono. Ti suggerisco di sfogliare il rapporto sugli incidenti della violazione dei dati di Verizon .

Last year, 63% of confirmed data breaches involved weak, default, or stolen passwords.

...

The capture and/or reuse of credentials is used in numerous incident classification patterns. It is used in highly targeted attacks as well as in opportunistic malware infections. It is in the standard toolkit of organized criminal groups and state-affiliated attackers alike.

La botnet Mirai utilizzava password errate per compromettere molti dispositivi con password predefinite deboli. Ciò ha permesso ai suoi operatori di raccogliere una delle (sempre più) botnet DDoS più potenti di sempre.

Ci sono molti dati su di esso online, questo rapporto discute il problema della password: link

In realtà, ciò accade molto più spesso di quanto tu stia suggerendo.

Un esempio molto buono (e pratico) di ciò che accade sarebbe quello che è successo a Mr. Facebook, Mark Zuckerberg: link .

La versione breve è: altrimenti intelligente, e si presume dal nastro sulla sua webcam, un professionista IT ragionevolmente ben informato si è messo in imbarazzo in pubblico perché ha scelto password sbagliate e ha riutilizzato le password.

Si può solo immaginare cosa potrebbe essere stato disponibile a chiunque sia riuscito a mettere le mani sul suo account Facebook ...

Modifica: molti di noi sembrano concentrarsi sulle password degli utenti.

Ci sono altre istanze da considerare:

• i codici master per alcuni modelli di ATM sono trapelati online, consentendo a chiunque sappia di fare cose come fare in modo che il bancomat ritenga che un conto da 20 $ per la CURRENCY sia un conto da 5 $ di CURRENCY
• Le applicazioni e i sistemi SCADA con password predefinite hard-coded e / o conosciute sono state (presumibilmente) sfruttate per causare problemi di infrastruttura (c'è una teoria che il blackout del 2011 in California è stato uno di questi casi)
• Pincodi della scheda SIM, che (AFAIK) quasi sempre vengono impostati su 0000: questo può sembrare un esempio banale, ma è la differenza tra perdere un costoso componente hardware e perdere un costoso componente hardware e dover pagare per servizi utilizzati dal ladro.

Sì, i dump di dati hackerati di credenziali vengono spesso usati per violare centinaia o addirittura migliaia di account su siti diversi. In effetti, SWIM mi dice che in realtà è piuttosto banale da fare.

Quando un sito viene violato e scaricato, gli hacker finiscono con milioni di e-mail: coppie di password. Poiché le password vengono riutilizzate molto, questi accessi hanno un'alta probabilità di lavorare su siti diversi. Quindi, scegli un sito, codifica uno script veloce per il login, quindi prova tutte le password e salva quelle che funzionano. C'è un intero mercato intorno a questi account rubati - Netflix sembra abbastanza popolare.

Per farla breve, non riutilizzare le password.

Fortunatamente o sfortunatamente, a seconda del lato in cui ti trovi, la maggior parte delle persone usa la stessa password per ogni sito. Pertanto, rende davvero facile rubare le password da siti Web non sicuri, in particolare le app Android o anche il wifi. Quindi usi la stessa password per inoltrarti ad altri siti come conti bancari, ecc. Quindi se entri nella posta di qualcuno, diventa davvero facile cambiare quasi tutte le password. Questa potrebbe essere in realtà la vulnerabilità più semplice e più antica.

Sì, ma esponiamo questo punto per punto:

1. Prima di tutto: come già detto da molte altre risposte, molte persone usano sempre la stessa password, solitamente debole. Quindi una volta rubato, un attacco importante può quindi essere possibile. Come alcuni altri utenti hanno informato sulla perdita di Verizon, e altri ... possiamo aggiungere a questo elenco la violazione dei dati di Yahoo, in cui probabilmente (non sono sicuro) molte di quelle credenziali rubate sono state utilizzate in molti altri siti.
2. Una password rubata può anche essere aggiunta alle tabelle Rainbow (invertire le password hash) in modo che possano essere utilizzate per altri attacchi.
3. Le password rubate / password deboli sono anche aggiunte ai dizionari di forza bruta per attaccare, è uno degli attacchi più semplici e facili che chiunque può provare.
4. Una password rubata può rendere più facile un attacco di social engineering. Ad esempio: se riesci a rubare la password della posta dei dipendenti, puoi ingannare alcuni compagni e boss; diventando un ulteriore attacco.

Tutto ciò è dimostrato essere un fatto che si è verificato migliaia di volte.