بوٹ نائنٹ نے 20 لاکھ پاس ورڈ سوائپ کیے ، ان میں سے بیشتر واقعی خراب تھے

اس ہفتے کے شروع میں ، ٹرسٹ ویو نے بڑے پیمانے پر نباتیات پر اپنا مطالعہ جاری کیا ، بہت سے افراد میں سے ایک ٹٹو بٹ نیٹ کنٹرولر کا استعمال کرتے ہوئے۔ محققین نے اس کے کمانڈ اینڈ کنٹرول سرور کی جگہ لے کر ، بوٹ نیٹ پر کنٹرول حاصل کرلیا۔ ایک بار قابو میں آنے پر ، انہیں پتہ چلا کہ بوٹ نیٹ متاثرہ کمپیوٹرز سے تقریبا computers دو ملین پاس ورڈ چوری کرنے میں کامیاب ہوگیا ہے۔ انہوں نے ایک ایسی چیز بھی دریافت کی جسے ہم میں سے بیشتر جان چکے ہیں: کہ پاس ورڈ پر لوگ خوفناک ہوتے ہیں۔

پاس ورڈز حاصل کریں

دو ملین سمجھوتہ شدہ اکاؤنٹس 1.58 ملین ویب سائٹ کی اسناد ، 320،000 ای میل لاگ انز ، 41،000 ایف ٹی پی اکاؤنٹس ، 3،000 ریموٹ ڈیسک ٹاپ اسناد ، اور 3،000 سیکیور شیل اکاؤنٹ کی اسناد کے مابین پھیلا ہوا تھا۔ یقینا تشویش یہ ہے کہ کتنے متاثرہ صارفین نے دوسری سائٹوں کے لئے ایک ہی پاس ورڈ کا انتخاب کیا تھا۔

محققین کو 318،121 فیس بک کی اسناد ملی ہیں جو مجموعی طور پر کل 57 فیصد ہیں۔ یاہو تقریبا 60 60،000 اکاؤنٹس کے ساتھ دوسرے نمبر پر تھا ، اس کے بعد 21،708 ٹویٹر اکاؤنٹس ، 8،490 لنکڈ پاس ورڈ اور 7،978 اکاؤنٹ تنخواہ دینے والے اے ڈی پی کے لئے تھے۔ یہ آخری حد قدرے غیر معمولی ہے ، بلکہ کافی نقصان دہ بھی ہے کیونکہ اس سے حملہ آوروں کو متاثرین کی ذاتی معلومات تک رسائی حاصل ہوتی ہے۔

مجھے سب سے زیادہ خوفزدہ کرنے والی بات یہ تھی کہ Google.com کے 16،095 اسناد اور 54،437 گوگل اکاؤنٹ کی سندیں تھیں۔ اس سے حملہ آوروں کو Gmail تک رسائی حاصل ہوسکتی ہے ، اور وہاں سے ویب سائٹوں پر "میرا پاس ورڈ بھول گئے" خصوصیت کا استعمال کرتے ہوئے دوسرے پاس ورڈ کو دوبارہ ترتیب دیں۔ اس سے حملہ آوروں کو گوگل ڈرائیو میں نجی فائلوں تک رسائی ، یا گوگل والےٹ میں ادائیگی کی معلومات بھی مل سکتی ہے۔

اس سب کا مطلب یہ نہیں ہے کہ ان سائٹوں کے خلاف بڑے پیمانے پر حملہ ہوا ہے۔ اس کا زیادہ امکان ہے کہ مجرم ان پتوں کو ایک سے زیادہ ذرائع ، جیسے فشنگ اور کیلوگرس کے ذریعہ حاصل کرنے میں کامیاب ہوگئے تھے اور ان سرورز پر ان کو محفوظ کر چکے تھے۔ وہ انہیں دوسرے خریداروں کو بیچ سکتے ہیں یا مستقبل کے استعمال کے ل saving انہیں بچا سکتے ہیں۔

خوفناک پاس ورڈز ، ایک بار پھر

ٹرسٹ ویو نے پاس ورڈ کو زمرے میں تقسیم کردیا: ان میں سے چھ فیصد "خوفناک" تھے جبکہ ان میں سے 28 فیصد "خراب" تھے۔ مشترکہ 22 فیصد یا تو "اچھے" یا "عمدہ" تھے اور 44 فیصد "میڈیم" تھے۔ بدترین میں سے تھے: 123456 ، 123456789 ، 1234 اور ، "پاس ورڈ۔"

بیشتر پاس ورڈ میں حروف اور نمبر نہیں ملتے تھے۔ ٹرسٹ ویو نے کہا کہ پاس ورڈ کی اکثریت یا تو تمام خطوط (ایک ہی کیس) یا تمام نمبروں کے ساتھ ہوتی ہے ، اس کے بعد پاس ورڈ کی دو اقسام ہوتی ہیں (مثال کے طور پر اوپری اور لوئر کیس حرفوں کا مرکب ، یا اعداد کے ساتھ چھوٹے کیس کے حروف) ، ٹرسٹ ویو نے کہا۔

ایک اچھی بات یہ تھی کہ تقریبا half نصف 46 - 46 - پاس ورڈز کے پاس لمبے پاس ورڈز تھے ، 10 حروف یا اس سے زیادہ کے۔ ٹرسٹ ویو نے کہا ، زیادہ تر پاس ورڈز چھ سے نو کرداروں کے حدود میں تھے۔

ہائی پروفائل اہداف

جہاں تک رسا ڈاٹا کے ایک انٹرپرائز ڈیٹا آرکیٹیکٹ لوکاس زائچکوسکی کا تعلق ہے ، سب سے بڑی پریشانی یہ ہے کہ مجرم ان اکاؤنٹس کو تلاش کریں گے جن کا تعلق لوگوں سے ہے "اعلی قیمت والے اہداف والی تنظیموں میں۔" زیچکوکسی نے بتایا کہ اگر ان لوگوں نے ان سائٹس پر اور ساتھ ہی کام سے متعلق وسائل کے لئے بھی وہی پاس ورڈ استعمال کیے ہیں تو حملہ آور وی پی این کے ذریعے کارپوریٹ نیٹ ورک میں داخل ہوسکتے ہیں یا ویب پر مبنی موکل کے ذریعہ ای میل کرسکتے ہیں۔

زیچکوکسی نے کہا ، "وہ بلیک مارکیٹ میں دوسروں کو قیمتی اکاؤنٹس بیچ سکتے ہیں جو صحیح اسناد کے لئے بہت بڑی رقم ادا کرتے ہیں جو انہیں منافع بخش ہدف تنظیموں میں شامل کرتے ہیں۔"

لوگ اپنے کام کے ای میل پتوں کو ذاتی سرگرمیوں جیسے فیس بک پر اکاؤنٹس کے لئے سائن اپ کرنے کے لئے استعمال کرتے ہیں۔ IOActive کے CTO ، سیزر سیروڈو نے ، مختلف فوجی اہلکاروں کو پایا ، جن میں جرنیل اور لیفٹیننٹ جرنیل بھی شامل ہیں ("مستقبل کے جرنیل ،" سیروڈو نے انہیں کہا تھا) نے اپنے .mil ایڈریس کا استعمال ٹریول سائٹ اوربٹز ، جی پی ایس کمپنی گارمین ڈاٹ کام ، فیس بک پر اکاؤنٹ بنانے کے لئے کیا تھا۔ ٹویٹر ، اور اسکائپ ، کچھ ناموں کے ل.۔ اس سے پاس ورڈ کے دوبارہ استعمال کے امکانات اور بھی دشوار ہوجاتے ہیں ، کیونکہ یہ افراد اہداف کی حیثیت سے انتہائی قیمتی ہیں اور انھیں بہت سی حساس معلومات تک رسائی حاصل ہے۔

کوئلیس کے ڈائریکٹر انجینئرنگ مائک شیما نے ، تاہم ، کہا کہ وہ مستقبل میں امید دیکھتے ہیں۔ "2014 کی طرف دیکھتے ہوئے ، دو عنصر کی توثیق سے پورے انٹرپرائز اور صارفین کی ٹکنالوجی میں جوش و خروش برقرار رہے گا ، اور بہت سے ایپس بھی دو عنصر کو اپنانا شروع کردیں گے۔ ہم کثیر توثیقی پاس ورڈز کے لئے اسمارٹ کریپٹو انجینئرنگ کا عروج بھی دیکھیں گے۔ " دو عنصر کی توثیق کے لئے دوسرا توثیقی اقدام کی ضرورت ہوتی ہے ، جیسے ٹیکسٹ میسج کے ذریعہ بھیجا گیا خصوصی کوڈ۔

سلامت رہیں

عام اتفاق رائے یہ ہے کہ یہ پاس ورڈ صارف مشینوں سے کاٹے گئے تھے ، اور سائٹس سے لاگ ان معلومات چوری نہیں کرتے تھے - جو رفتار کی خوشگوار تبدیلی ہے۔ کیلوگرس ایک ممکنہ طور پر مشتبہ ، اور خاص طور پر خطرناک ہیں۔ یہ بدنیتی پر مبنی ایپلی کیشنز نہ صرف کلیدی نشانات پر گرفت کرسکتی ہیں ، بلکہ اسکرین شاٹس ، آپ کے کلپ بورڈ کے مندرجات ، جو پروگرام آپ لانچ کرتے ہیں ، جن سائٹوں پر آپ جاتے ہیں ، اور یہاں تک کہ آئی ایم بات چیت اور ای میل کے دھاگوں سے بھی استفادہ کرسکتے ہیں۔ خوش قسمتی سے ، سب سے زیادہ اینٹی وائرس سافٹ ویئر کو آپ کا احاطہ کرنا چاہئے۔ ہم تجویز کرتے ہیں کہ ایڈیٹرز کے چوائس ایوارڈ یافتہ ویبروٹ سیکیور ینی ویرس (2014) یا بٹ ڈیفینڈر اینٹی وائرس پلس (2014)۔

نوٹ کریں کہ کچھ اے وی پروگرام "گرین ویئر" یا "ممکنہ طور پر ناپسندیدہ پروگراموں کو ڈیفالٹ کے ذریعے مسدود نہیں کرتے ہیں۔ کیلاگگر بعض اوقات اس زمرے میں آتے ہیں ، لہذا اس خصوصیت کو قابل بنائیں۔

فشینگ اور دیگر تدبیروں سے متاثرین کو پاس ورڈ سے متعلق معلومات فراہم کرنے کے لئے دھوکہ دہی کرنا مشکل ہے۔ خوش قسمتی سے ، ہمارے پاس فشینگ حملوں کو کیسے روکا جائے اور اس سے کیسے بچیں اس کے بارے میں ہمارے پاس بہت سارے نکات ہیں سوشل انجینئرنگ کے حملے . اس میں تھوڑا سا اضافی سوچا جاتا ہے ، اور آپ اعدادوشمار بننے سے روک سکتے ہیں۔

سب سے اہم بات یہ ہے کہ لوگ پاس ورڈ مینیجر کو استعمال کریں۔ یہ ایپلی کیشنز آپ کی استعمال کردہ ہر سائٹ یا خدمت کے ل unique انفرادیدہ ، پیچیدہ پاس ورڈ تخلیق اور محفوظ کرتی ہیں۔ وہ آپ کو خود بخود لاگ ان کردیں گے ، کیلیگرز کے ل your آپ کی معلومات چھیننا زیادہ مشکل بنادیں۔ یہ یقینی بنائیں کہ ڈیشلن 2.0 یا لسٹ پاس 3.0 ، جو دونوں ہمارے ایڈیٹرز کے پاس ورڈ مینجمنٹ کے لئے چوائس ایوارڈ یافتہ ہیں۔