脆弱なパスワード Pizza123、企業を崩壊させる

犯罪者のハッカーは、最近の FastCompany の違反について責任を負い、簡単に推測できるデフォルトのパスワード「pizza123」を悪用したと述べました。ハッカーによると、このビジネス誌は多数の WordPress アカウントで脆弱なパスワードを再利用し、サイトがダウンする前に FastCompany.com の記事で攻撃について説明していました。

パスワードの選択と管理には注意が必要です。

Table of contents

FastCompany の侵害の概要
1. プッシュ通知攻撃の広報への影響
「pizza123」タイプのパスワードの問題
カスタムパスワードポリシーを作成すると、脆弱なパスワードをブロックできる
パスワードハイジーンの重要性
Specops がパスワード保護を破る

FastCompany の侵害の概要

ハッカーは、脆弱なパスワード Pizza123 を使用して、認証トークン、Apple News API キー、および Amazon Simple Email Service (SES) トークンにアクセスしたと主張しました。次に、攻撃的なプッシュ通知を Apple News サービスの FastCompany チャネルの購読者のホーム画面に送信しました。

Apple は、プッシュ通知に応じて FastCompany ニュースチャネルアカウントを無効にしました。 FastCompany は一般に謝罪し、サイトを閉鎖しました。

FastCompany は、出版物が侵害に対応するために世界的な大手サイバーセキュリティ会社を雇ったとツイートしました。

彼らは調査を開始しており、FastCompany サイトはオンラインに戻っています。

プッシュ通知攻撃の広報への影響

組織のブランドイメージを形作るために何十年にもわたって投資した後、ビジネスはわいせつなプッシュ通知に直面して評判がガタガタになるのを何度も垣間見てきました

何百万人ものユーザの印象は、一瞬のうちに悪化する可能性があります。組織がメッセージをブロックして公に謝罪するまでに、被害は発生しています。

ユーザは、安全なコンテンツの提供をパブリッシャーに委託している場合、競合他社に乗り換えたり、違反を訴えたりすることさえできます。

規制機関は組織に罰金を科すことができます。会社は、法廷で自己弁護し、そのイメージを回復するために時間とお金を費やすことができます。

しかし、悪意のあるプッシュ通知は、顧客の気分を害するよりもはるかに悪いことをする可能性があります。

犯罪者のハッカーは、マルウェアを含むメッセージを読み込んで消費者のデバイスに感染し、プライバシーの侵害や消費者の金融詐欺につながる可能性があります。

「pizza123」タイプのパスワードの問題

多くの場合、頭に浮かぶ最初の単語と一連の短い数字を使用してパスワードを作成します。 Pizza123 は、推測しやすいパスワードの好例です。

従業員は、侵害されたパスワードのリストに既に表示されているパスワードを作成します。犯罪者のハッカーは、ブルートフォース攻撃を使用して、同じリストから有効なパスワードを確認します。

従業員のほぼ 3 分の 2 がパスワードを再利用しています。ビジネスと個人のアカウントでそれらを再利用すればするほど、犯罪者のハッカーがそれらを侵害し、組織でテストする可能性が高くなります.ハッカーは、パスワードの再利用のために、ハッキングしたさまざまな企業で同じパスワードを試すことを知っています。

カスタムパスワードポリシーを作成すると、脆弱なパスワードをブロックできる

堅牢なパスワード管理により、きめの細かいパスワードポリシーとポリシーのカスタマイズが可能になります。カスタムパスワードポリシーを使用すると、組織は長さや以前のパスワード変更の最小値など、複雑な要件を増やすことができます。より複雑な要件を備えたカスタムパスワードポリシーは、脆弱で侵害されたパスワードの 95% をブロックします。

パスワードの長さは、強力なパスワードの特に重要な要素です。ブルートフォース攻撃で使用されるパスワードの 93% には、 8 文字以上が含まれています。カスタムパスワードポリシーでは、パスワードのエントロピーを減少させるために、最小限のパスワードの長さを要求することができます。

パスワードハイジーンの重要性

パスフレーズ (通常は合計 20 文字以上の単語の文字列) は、ユーザーが非常に覚えやすい非常に強力なビット強度のパスワードになります。組織はカスタムパスワードポリシーを使用して、グループ内または組織全体で従業員のパスフレーズを優先できます。

パスワード管理により、組織はきめ細かなパスワードポリシーをカスタマイズできます。

しかし、組織の 54% は仕事用パスワードを管理するツールを持っていません。

動的な攻撃面と急増するパスワード侵害に直面して、強力なパスワードを強制することが不可欠です。

パスワード衛生監査により、組織は弱いパスワードや侵害されたパスワードを削除し、厳格なポリシーを満たす既知の適切なパスワードを追加します。

Specops がパスワード保護を破る

Specops Breached Password Protectionは、組織の Active Directory パスワードを、パスワードスプレー攻撃で積極的に使用されているパスワードを含む、20 億を超える侵害されたパスワードと比較します。侵害されたパスワード保護は、侵害されたパスワードのリストを継続的に更新して、すぐに保護します。

Active Directory のパスワードが変更されるたびに、侵害されたパスワード保護が侵害リストのパスワードをブロックするため、ユーザーは侵害されたパスワードを使用できません。侵害されたパスワード保護は、パスワードが拒否されたときにユーザーに通知し、別のパスワードを使用できるようにします。