Microsoft: nem lesz többé 123456
A Microsoft változtat az eddigi jelszóbiztonsági szabályain. Ezentúl nem enged olyan jelszavakat beállítani, amelyek nagyon gyakoriak és könnyen megfejthetők.Amikor a LinkedIn 2012-es, 167 millió felhasználói fiókot érintő biztonsági incidense után napvilágra kerültek az eltulajdonított adatok, akkor kiderült, hogy a felhasználók által leggyakrabban megadott jelszónak az "123456" számít. (A második legtöbbször használt jelszó a "linkedin" volt.) Emellett azonban egyéb könnyen kipuhatolható jelszavak is léteznek, mint amilyen például a "password".
A Rapid7 márciusi jelentése arra világított rá, hogy a rendszerek távoli elérésére használt hitelesítő adatok esetében is nagyon aggasztó a helyzet. A távoli asztali kapcsolatokat ugyanis leggyakrabban a "x,", a "Zz" és a "St@rt123" jelszavak "védik". Ennek tükrében nem csoda, hogy a Google gőzerővel dolgozik azon az Abacus projektjén, amelynek célja a jelszavak leváltása. Az Abacus elsősorban viselkedéselemzéssel azonosítja a felhasználókat. Ugyanakkor azért ennek a technológiának még időre van szüksége ahhoz, hogy megbízhatóvá váljon, és széles körben is elterjedhessen.
Szigorított jelszóválasztás
A Microsoft egyelőre kitart a jelszavak mellett, de továbbra is arra ösztökéli a felhasználókat, hogy a fiókjaikat kétfaktoros hitelesítéssel lássák el, legyen szó tokenes, mobil appos vagy telefonos/SMS-es azonosításról. Ugyanakkor a vállalat is tisztában van a jelszavak gyengeségeivel, ezért úgy döntött, hogy a jelszókezelési szabályokat megszigorítja. Kifejtette, hogy a jelszavak biztonságának fokozása érdekében a legtöbbször olyan megkötésekkel lehet találkozni, amelyek a jelszavak hosszára, komplexitására és élettartamára vonatkoznak. Azonban ez jól láthatóan nem elégséges, ezért további előírások bevezetésére van szükség.
A Microsoft úgy határozott, hogy az internetre milliószámra kiszivárgó jelszavak folyamatos elemzésével egy dinamikus listát állít össze, amely a leggyakoribb és legkönnyebben megfejthető jelszavakat tartalmazza. Amennyiben a felhasználó ezek közül választ, akkor hibaüzenetet kap, majd egy erősebb, egyedibb jelszót kell választania. Ezáltal megnehezíthetővé válhat a támadók dolga, és a támadások során használt szivárványtáblák hatékonysága is romlani fog.
Forrás: Microsoft
Mivel a gyenge jelszavak kitiltása még korántsem jelenti azt, hogy az elkövetők nem fognak próbálkozni, ezért a Microsoft egy második védelmi vonalként több szolgáltatásának esetében is bevezeti a Smart Password Lockout technológiát. Ennek célja, hogy felismerje a jelszavak megfejtésére irányuló próbálkozásokat. Ilyen megoldások már régóta léteznek, de a vállalat szerint az új módszer a korábbiaknál megbízhatóbban tudja megállapítani, hogy a felhasználó próbálkozik (mert például elfelejtette a jelszavát), vagy egy támadó igyekszik hozzáférni bizalmas adatokhoz.
Forrás: Microsoft
A két új technológia a Microsoft Account esetében már élesben működik. Néhány hónapon belül pedig az Azure AD is megkapja e biztonsági fejlesztéseket.
-
Kritikus fontosságú hibajavítás vált elérhetővé a ChromeOS-hez.
-
A ClamAV kapcsán egy közepes veszélyeségű sebezhetőségre derült fény.
-
Az IBM két sebezhetőségről számolt be a WebSphere Application Server kapcsán.
-
Az Oracle 71 hibajavítást adott ki az Oracle Linux operációs rendszerhez.
-
Több mint egy tucat biztonsági javítással bővült a Google Chrome.
-
Letölthető a VirtualBox legújabb kiadása benne 13 biztonsági javítással.
-
Az Oracle nyolc olyan biztonsági résről számolt be, amelyeket a Database Server kapcsán kellett orvosolnia.
-
A MySQL három tucat biztonsági frissítéssel gyarapodott.
-
Az Java több mint egy tucat biztonsági frissítést kapott.
-
A Microsoft három biztonsági rést foltozott be az Edge webböngészőn.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.