LastPass 警告:伪造安全警报攻击旨在窃取主密码
HackerNews 编译,转载请注明出处: LastPass 警告出现钓鱼攻击,攻击者利用伪造的未授权访问或密码修改安全警报,窃取用户主密码。 LastPass 向用户发出警告,新型钓鱼攻击使用伪造安全警报,声称发生未授权访问或主密码被修改。这些邮件伪造 LastPass 发件人显示名,试图诱骗收件人泄露主密码,导致账户被盗。 LastPass TIME 团队已向客户发出警报,该活跃钓鱼攻击约始于 2026 年 3 月 1 日。攻击者使用多个邮箱地址、多种邮件标题发送邮件,伪装成关于账户未授权访问的内部转发消息,以此欺骗用户。 LastPass 警告,攻击者会伪造邮件对话记录,制造有人试图导出密码库、恢复账户或注册新设备的假象。 攻击者通过伪造显示名冒充 LastPass,同时隐藏真实的、无关的发件人邮箱地址。邮件诱导用户点击链接,跳转到 verify-lastpass [.] com 伪造 SSO 页面,窃取凭证。 LastPass 发布的警报称:“攻击者利用多数邮件客户端(尤其是移动端)仅显示发件人名称、不展开就隐藏真实地址的特点。邮件要求目标用户通过链接执行操作(如报告可疑行为、断开并锁定密码库、吊销设备等);这些链接会将用户导向 https [:]//verify-lastpass [.] com 伪造 SSO 登录页面,用于窃取用户凭证。” LastPass 提醒用户,官方绝不会索要主密码,并正与合作伙伴关停钓鱼网站。建议用户保持警惕,并将可疑的仿 LastPass 邮件上报至 abuse@lastpass.com,共同保护社区安全。 公告中提供了失陷指标(IoC),包括恶意 URL 及相关 IP 地址。 消息来源:securityaffairs.com; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
Linux 基金会、AWS、思科、IBM 等巨头成立后量子密码学联盟
Linux基金会今天宣布成立后量子密码学联盟(PQCA),这是一个旨在推进和驱动后量子密码技术采用的倡议。 PQCA由Linux基金会、AWS、思科、IBM、IntellectEU、Nvidia、QuSecure、SandboxAQ以及滑铁卢大学共同创立,将专注于解决量子计算带来的安全挑战。由于量子计算飞速发展,可以预见未来将成为攻击者快速破解安全密钥的杀手锏。一旦量子计算被利用,现有的密码体系将遭遇毁灭性打击,因此在后量子时代保障数据和通信的安全变得至关重要,PQCA致力于解决这一问题。 PQCA联盟将参与开发标准化的后量子算法,旨在帮助寻找支持与商业国家安全算法套件2.0对齐的库和包的组织和开源项目。为了促进后量子密码技术的采用,PQCA将参与各种技术项目,包括开发软件以评估、原型设计和部署后量子算法。 PQCA的创始成员长期以来一直活跃在后量子密码学的标准化工作中,共同撰写了NIST后量子密码学标准化项目选定的首批四种算法,PQCA的工作正是基于这一基础。 PQCA的启动项目包括2014年在滑铁卢大学成立的Open Quantum Safe项目,以及新的PQ Code Package项目,后者旨在开发高保证、生产就绪的后量子密码学标准的软件实现。这两个项目都列在了PQCA的GitHub页面上。 思科公司总监Jon Felten指出:“量子计算提供了解决以前无法解决问题的潜力,同时也威胁到我们认为理所当然的许多数字保护措施。密码学是保护数据、用户、设备和服务的基础。转换到后量子密码学是数字时代最大和最复杂的技术迁移之一。” PQCA的成立大约是在IBM发布了一份路线图一年后,该路线图旨在帮助联邦机构和企业迁移到后量子计算。同样在去年,英国和美国政府机构发布了指南,以帮助组织进行过渡。 转自Freebuf,原文链接:https://www.freebuf.com/news/391747.html 封面来源于网络,如有侵权请联系删除
超百万站点使用,WordPress 插件 AIOS 被曝以明文记录密码
Bleeping Computer 网站披露,超过百万 WordPress 网站使用的 All-In-One Security(AIOS)WordPress安全插件被曝将用户尝试登录的明文密码记录到网站数据库中,此举可能危及账户安全。 AIOS 是 Updraft 开发的一体式解决方案,主要为 WordPress 网站提供网络应用程序防火墙、内容保护和登录安全工具,以阻止机器人并防止暴力攻击。 大约在三周前,一位用户反应 AIOS v5.1.9 插件不仅将用户尝试登录记录到 aiowps_audit_log 数据库表中,用于跟踪登录、注销和失败的登录事件,还记录了用了输入的密码。该用户担心此举违反了包括NIST 800-63 3、ISO 27000和GDPR在内的多项安全合规标准, 漏洞的初步报告(wordpress.org) 接到反馈后,Updraft 方面回应称该问题是一个 “已知错误”,并含糊地承诺将在下一个版修复问题。在意识到问题的严重性后,Updraft 支持人员两周前向相关用户提供了即将发布的开发版,但是试图安装开发版的用户仍指出密码日志没有被删除。 修复程序现已发布 7 月 11 日,AIOS 供应商发布了 5.2.0 版本,其中包括一个防止保存明文密码并清除旧条目的修复程序。AIOS 供应商在公告中一再强调 AIOS 发布的 5.2.0 版本更新版本修复了 5.1.9 版本中存在的一个错误,该错误导致用户密码以明文形式添加到 WordPress 数据库中。 一旦“恶意”网站管理员在用户可能使用相同密码的其他服务上尝试利用这些密码,此举会带来一些安全问题。此外,一旦被暴露者的登录信息在这些平台上没有受到双因素身份验证的保护,“恶意”管理员就可以轻易接管用户的账户。 除了“恶意”管理员带来的安全风险外,使用 AIOS 的网站还将面临黑客入侵的风险,这些黑客一旦获得网站数据库访问权限,便有可能会以明文形式泄露用户密码。 截止到文章发布,WordPress.org 统计数据显示大约四分之一的 AIOS 用户已将更新应用 5.2.0 版本,因此推算大概仍有超过 75 万个网站处于易受攻击状态。 更不幸的是,WordPress 一直以来都是网络攻击者的攻击目标,一些使用 AIOS 的网站可能已经被泄露,再加上该安全问题已经在网上传播了三周多,且 Updraft 没有警告用户暴露风险的增加,因此,可能已经发生了一些安全威胁事件。 最后,使用 AIOS 的网站应该尽快更新到最新版本,并要求用户重置密码。 转自Freebuf,原文链接:https://www.freebuf.com/news/372245.html 封面来源于网络,如有侵权请联系删除
微软研究人员发现网络攻击者对长密码进行暴力穷举的手段失去兴趣
根据微软蜜罐服务器网络收集的数据,大多数暴力攻击者主要试图猜测短密码,很少有攻击是针对长密码或包含复杂字符的凭证的。”我分析了超过2500万次针对SSH的暴力攻击所输入的凭证。这大约是微软安全传感网络中30天的数据,”微软的安全研究员罗斯·贝文顿说。 “77%的尝试使用了1到7个字符的密码。超过10个字符的密码只出现在6%的情况下。”他在微软担任欺诈主管,他的任务是创建看起来合法的蜜罐系统,以研究攻击者的趋势。在他分析的样本数据中,只有7%的暴力攻击尝试包括一个特殊字符。此外,39%的人实际上至少有一个数字,而且没有一个暴力尝试使用包括空格的密码。 研究人员的发现表明,包含特殊字符的较长密码很可能在绝大多数暴力攻击中是安全的,只要它们没有被泄露到网上,或者已经成为攻击者暴力攻击字典的一部分。 此外,根据截至今年9月针对微软蜜罐服务器网络尝试的140多亿次暴力攻击的数据,对远程桌面协议(RDP)服务器的攻击与2020年相比增加了两倍,出现了325%的增长。网络打印服务也出现了178%的增长,还有Docker和Kubernetes系统,也出现了110%的增长。 “关于SSH和VNC的统计数字也同样糟糕–它们只是自去年以来没有那么大的变化,”贝文顿说。”默认情况下,像RDP这样的解决方案是关闭的,但如果你决定打开它们,不要把它直接暴露在互联网上。记住,攻击者会对任何强行的远程管理协议进行攻击。如果你必须让你的东西在互联网上访问,请运用各种加固手段,例如强密码,管理身份,MFA,”这位微软经理说。 (消息及封面来源:cnBeta)
微软研究发现其 4400 万个帐户使用已泄露的密码
微软在2019年对超过30亿个公司账户进行了密码重用分析,以找出微软客户使用的密码数量。该公司从公共来源收集密码散列信息,并从执法机构获得额外数据,并将这些数据用作比较的基础。 对2016年密码使用情况的分析显示,约20%的互联网用户重复使用密码,另有27%的用户使用的密码与其他账户密码几乎相同。2018年的研究结果显示,大部分网民仍然青睐弱密码,而非安全密码。 像Mozilla或Google这样的公司都引入了改善密码使用的功能。谷歌于2019年2月发布了其密码检查扩展程序,并于2019年8月开始将其本地集成到浏览器中。该公司还于2019年在其网站上推出了针对Google帐户的新密码检查功能。Mozilla将Firefox Monitor集成到Firefox 浏览器中,该浏览器旨在检查弱密码并监视密码是否已经泄漏。 微软一直在推动无密码登录已经有一段时间了,该公司的密码重用研究提供了一个原因。根据微软的说法,4400万个Azure AD和微软服务帐户使用在泄漏的密码数据库中也可以找到的密码。这大约是该公司在研究中检查所有凭证的1.5%。 现在微软将强制重置泄露的密码。微软用户将被要求更改帐户密码。目前尚不清楚如何将信息传达给受影响的用户或何时重置密码。在企业方面,微软将提高用户风险并警告管理员,以便可以强制执行凭据重置。微软建议客户启用一种形式的多因素身份验证,以更好地保护其帐户免受攻击和泄漏。根据微软的说法,如果使用多因素身份验证,则99.9%的身份攻击不会成功。 (稿源:cnBeta,封面源自网络。)
A站受黑客攻击:近千万条用户数据外泄 涉ID及密码等
讯 6月13日早间消息,今日凌晨,AcFun发布公告称,受黑客攻击,近千万条用户数据外泄,其中包含用户ID、用户昵称、加密存储的密码等信息。 AcFun向用户表示,如果在2017年7月7日之后一直未登录过AcFun,密码加密强度不是最高级别,账号存在一定的安全风险,恳请尽快修改密码。如果在其他网站使用同一密码,也请及时修改。 2017年7月7日,AcFun升级改造了用户账号系统。AcFun称,如果在此之后有过登录行为,账户会自动升级使用强加密算法策略,密码是安全的。但是如果密码过于简单,也建议修改密码。 AcFun称事故的根本原因在于没有把网站做得足够安全,在事发后,已在第一时间联合内部和外部的技术专家成立了安全专项组,排查问题并升级了系统安全等级。 接下来,AcFun会对服务做全面系统加固,实现技术架构和安全体系的升级。同时,AcFun表示已经搜集了相关证据并报警。 此次事故公告之前,快手刚刚完成对Acfun的整体收购。 未来,A站将保持独立品牌、维持独立运营、保持原有团队、独立发展,而快手会在资金、资源、技术等给予A站大力支持。 同日,Acfun发布招聘贴。网友戏称:“有钱了”。(李楠) 以下为AcFun公告原文: 尊敬的AcFun用户: 我们非常抱歉,AcFun受黑客攻击,近千万条用户数据外泄。 如果您在2017年7月7日之后一直未登录过AcFun,密码加密强度不是最高级别,账号存在一定的安全风险,恳请尽快修改密码。如果您在其他网站使用同一密码,也请及时修改。 AcFun在2017年7月7日升级改造了用户账号系统,如果您在此之后有过登录行为,账户会自动升级使用强加密算法策略,密码是安全的。但是如果您的密码过于简单,也建议修改密码。 这次重大事故,根本原因还在于我们没有把AcFun做得足够安全。为此,我们要诚恳地向您道歉。 接下来,我们会采取一切必要的措施,保障用户的数据安全。我们的措施包括但不限于: 1、强烈建议账号安全存在隐患的用户尽快修改密码。我们会通过AcFun站内公告、微博、微信、短信、QQ群、贴吧等途径提醒这部分用户,也请大家相互转告。对于未及时主动修改密码的存在隐患的账户,将会在重新登录访问时,被要求修改密码。 2、事发之后,我们第一时间联合内部和外部的技术专家成立了安全专项组,排查问题并升级了系统安全等级。 3、接下来,我们会对AcFun服务做全面系统加固,实现技术架构和安全体系的升级。 4、我们已经搜集了相关证据并报警。 后续,我们会与用户、媒体和各界保持信息的及时沟通。 最后,我们再次向您诚恳地道歉。未来我们要用实际行动把A站的安全能力建设好,真正让用户放心。 AcFun弹幕视频网 2018年6月13日 稿源:,稿件以及封面源自网络;
研究显示:主流网站用户密码复杂性都有潜在问题
研究显示,大多数主要网站都通过密码保持基本安全性,但同时他们也可以是信息跟踪手段,特别是如果用户不小心使用其凭据,或网站管理或存储密码不当。Dashlane 于 8 月 9 日发布了密码性能排名调查。这项调查检查了主要消费者和企业 SaaS 和媒体服务密码安全性,结果非常令人震惊。消费者网站当中近一半未能实施最基本的密码安全策略,而企业网站则有 36% 的未能提升其密码的安全性,包括亚马逊网络服务。 网站排名从零到五,零分是最差的得分,五分是最好的得分,三分是及格成绩。在排名评测当中,DashLane 考察了五个不同的东西: 密码长度:网站是否要求所有密码超过八个字符? 密码复杂度:该网站是否阻止用户创建 “ aaaaaa ” 或 “ 111111 ” 等密码?令人震惊的是,研究人员能在亚马逊、Google、Instagram 和 Venmo 上创建只包含小写字母 “ a ” 的密码。 密码强度评估:网站告诉用户密码的强度(或其他)是通过仪表还是彩色条形码? 暴力:经过十次失败的尝试后,网站是否采取行动来停止暴力攻击,要么通过锁定帐户或提交人机识别系统? 因素身份验证:网站是否要求用户通过短信发送的令牌或使用验证器应用程序来确认身份? 在针对消费者的网站当中,只有一个网站获得了满分,那就是 GoDaddy,一个受欢迎的网络托管平台。其它通过测试的网站包括包括 Apple、Microsoft、Tumblr、PayPal、Reddit和Slack。 不幸的是,Netflix、Pandora、Spotify 和 Uber都得了零分。 稿源:cnBeta,封面源自网络;
NIST 密码安全新标准更新,旧版作者承认存在不妥
美国国家标准和技术协会( NIST )今年 6 月提供的最新数字身份指南的新版草案中,指出不再推荐用户使用密码混合大写字母、字符和数字,也不再要求定期修改密码。因为研究显示此类要求并不能增加密码强度,NIST 认为最重要的是储存密码必须盐化 + 哈希 + MAC 处理。 不过,对于 2003 年一篇广为流传的密码混合大写字母、字符和数字的 NIST 安全专家建议文章,其作者前 NIST 主管 Bill Burr 开始承认当时提供的建议并不成熟,后来也被证实不是太奏效,当然也有媒体的一些误导总结,导致更多的曲解。根据他当年写的一份文档 NIST Special Publication 800-63,媒体总结为专家建议大家采用混合大写字母、字符和数字,构成一个常用词组的方式(比如 P@ssW0rd123!)。事实证明,这种密码对于破解密码工具来说,只需要增加一些代码,根据这种规则的密码强度几乎与弱密码的破解相差无几,倒是催生了许多有创意的网名 ID。 比如一篇形象的漫画指出根据这样的规则,形似 “ Tr0ub4dor&3 ” 这样的密码只需要用标准技术在三天之内就能够破解,而且你很容易在被破解之前就忘掉自身密码。而一句完全采用英文单词组成的摸不着头脑的短语 “ correct horse battery staple ” 却需要约 550 年破解,而这组词语很容易形成独特的画面,对于人类来说非常容易形成记忆,但对于计算机来说堪比天书,随机性使得它很难被自动化工具猜出。Burr 承认当时的确找错方向。 NIST 数字身份指南的新版草案的作者 Paul Grassi 指出,NIST 此前的密码安全建议都是在摸索中前进,没有前人的尝试也无法摸索出切实有效的密码建议。NIST 也不再要求密码混合大写字母、字符和数字,因为研究显示此类的要求并不能带来强密码。NIST 认为,如果用户想要使用绘文字作为密码,那么就应该允许用户使用。NIST 认为最重要的是储存的密码必须盐化哈希 MAC 处理。 稿源:cnBeta,封面源自图片;