"差不多到了午餐时间",Cameron 在通过电子邮件单击时想。 "文档审阅...文档审阅...公司..." 她喜欢成为法律助理,但希望她的公司再雇用一些人员来帮助处理工作负荷。
她暂停片刻,看一封来自 Tailwind Toys 的电子邮件,该邮件前一天已到达。 显然,他们进行了某种安全漏洞,但他们认为攻击者未获得任何付款信息。 "很好,"她直说:"现在,他们了解我的孩子最喜欢的玩具是什么了。"
稍后她与她的好友 Akihito 共进午餐。 拉起椅子 Akihito 随意将钥匙链放在了桌子上。
"你好!" Cameron 感叹,"你在哪里获得钥匙串上这个令人惊叹的拼图立方体?"。
"这很有趣,"Akihito 回答。 "在 Tailwind Toys 上是 $5。"
"Ooh"Cameron 说,突然记得她之前看到的电子邮件。 "你是否听到他们被黑客攻击并丢失了大量客户信息?"
"真的吗? Wow。"
"是的,我确定他们很高兴知道 Ethan 喜欢蓝色块。" Cameron 回应道,笑。
"这就是他们获得的所有功能吗?"
"嗯,通常的'客户姓名,电子邮件地址,密码'资料也一样。 但显然没有信用卡。" Cameron 回复。
"Hmmm..但电子邮件和密码?" Akihito 看起来十分担心。
"是的,他们收到了我非常好的密码。 他们现在可能全部为自己使用! 它长 23 个字符,看起来像是用 Klingon 编写的。 我可以在某处使用这个功能。"
"所有位置? 您的电子邮件地址和密码是银行或社交媒体的登录名吗?"
"嗯...是..." Cameron 回复说,"但这些网站是不同的。"
"无关紧要。" Akihito 说。 "有一种称为"凭据填充"的攻击。 当不法者在一个网站获取用户名和密码时,他们会转到所有其他站点,并尝试这些用户名和密码组合,查看其中有多少网站可以工作。 如果你经常使用同一密码,并且知道密码会与电子邮件地址一起使用,他们就可以在任何使用相同用户名和密码的系统中访问你的帐户。"
现在,Cameron 非常担心。 "我认为我的电子邮件地址是很多地方的用户名,包括工作地址。 我该怎么办?"
"是否为这些站点开启了两步验证?" Akihito 询问。
"这看起来有点麻烦,因此我没有打开它。" 她承认。
"Oh. 那么,我一定不会浪费任何时间,我会从工作密码开始更改这些密码。 为一切使用唯一密码,你确实应该将验证功能开启到任何可能的地方。 实际上,第二步并不经常会打扰你,因此,值得防止不法者破坏你的银行帐户或工作。"
"是的,我只不想记住所有这些密码。 我只知道我会不断单击"忘记密码"。 她对之前的任务感到有点不知所措。
"获取密码管理器。 他们可以记住密码,甚至建议 新的强密码。" Akihito 建议。 "我为此Microsoft Edge浏览器。 这让我更加轻松,甚至可同步到所有设备。" 他拿起智能手机说。
"好的,我想我可以这样做。" 她说。
"你应该现在去做,我准备午餐。" 他说,正在接近他的钱包。 "错过...她可以下订单吗?"
"谢谢小马,我将获得下一个。" 她说,朝计数器去收集她的食物。
摘要
重新使用密码非常危险。 罪犯可能很难进入银行系统,但只有一个安全性弱的网站被破解,他们可能会获得你的用户名和密码。 在几个小时内,他们可以尝试在数百或数千个 Web 站点中组合使用用户名和密码。 他们有可能在至少几个其他站点中发现该用户名和密码有效。
如果没有其他保护,例如双重验证 (有时称为启用多重身份验证 ) , 那么在知道第一个站点被入侵之前,它们可能会位于你的帐户内。
这就是凭据填充攻击。
Cameron 可以做的更好吗?
重要的是不要重新使用她的密码,无论密码有多好。
她还可以在提供验证的地方启用两步验证。 这样一来,即使坏人确实获取了她的密码,他们也会更难进入她的帐户。
Cameron 做了哪些正确的工作?
一旦她意识到潜在的危险,她 立即去更改了密码,在 Microsoft Edge 中启用了密码管理,然后开始使用两步验证。
若要了解有关详细信息,请访问 https://support.microsoft.com/security。
如果你喜欢这个...
如果喜欢通过类似这样的短篇故事了解网络安全,可能还想要查看钓鱼故事。这是一位帐户主管在工作上遭遇钓鱼攻击的一个案例。
