مایکروسافت «انقضای پسورد» را حذف کرد

مایکروسافت بی سروصدا در یک پست وبلاگی خبر داده که گزینه «انقضای پسورد» را حذف کرده زیرا تغییر مداوم پسوردها سبب می شود افراد بیش از گذشته در معرض خطر هک باشند.
 
به گزارش مهر به نقل از دیلی میل، تعداد کثیری از کارشناسان امنیت سایبری از جمله شرکت‌های بزرگی مانند مایکروسافت معتقدند تغییر پسوردها به طور مداوم امنیت کاربران را به خطر می‌اندازد.
 
در همین راستا مایکروسافت در ماه می یک پست وبلاگی منتشر کرد و بی سروصدا گزینه «انقضای پسورد» را حذف کرده است. این گزینه در حقیقت برای تغییر مداوم پسوردهای قدیمی ارائه شده است.
 
دهه‌های متوالی کارشناسان امنیت سایبری معتقد بودند برای کاهش خطر هک و استفاده از پسوردهای سرقت شده بهتر است افراد به طور مداوم پسوردهای خود را تغییر دهند.
 
اکنون موضع مایکروسافت در مورد این استراتژی را می‌توان به طور خلاصه با گزیده‌ای از یک پست وبلاگ Technet (پورتالی برای متخصصان امنیت سایبری) توضیح داد. آرون مارگوسیس یکی از مشاوران مایکروسافت در این پست نوشته است: فرایند مداوم انقضای پسورد یک روش قدیمی و منسوخ است که ارزشمند نیست.
 
یکی از دلایل احتمالی رویگردانی از روش انقضای پسورد را می‌توان به عادات افراد در ابداع رمز مربوط دانست. افراد به جای انتخاب پسوردهای سخت، بیشتر اوقات از رمزهایی استفاده می‌کنند که یادآوری آنها بسیار ساده باشد.
 
این بدان معناست که بسیاری از کاربران پسوردهایی را بر می‌گزینند که ساده یا ضعیف باشد و در نتیجه هکرها راحت تر می‌توانند پسوردهای آنان را هک کنند.
 
این درحالی است که گوگل معتقد است روش احراز هویت دو عاملی امنیت کاربران را تا سطح زیادی ارتقا می‌دهد.

مایکروسافت «انقضای پسورد» را حذف کرد

مایکروسافت بی سروصدا در یک پست وبلاگی خبر داده که گزینه «انقضای پسورد» را حذف کرده زیرا تغییر مداوم پسوردها سبب می شود افراد بیش از گذشته در معرض خطر هک باشند.
 
به گزارش مهر به نقل از دیلی میل، تعداد کثیری از کارشناسان امنیت سایبری از جمله شرکت‌های بزرگی مانند مایکروسافت معتقدند تغییر پسوردها به طور مداوم امنیت کاربران را به خطر می‌اندازد.
 
در همین راستا مایکروسافت در ماه می یک پست وبلاگی منتشر کرد و بی سروصدا گزینه «انقضای پسورد» را حذف کرده است. این گزینه در حقیقت برای تغییر مداوم پسوردهای قدیمی ارائه شده است.
 
دهه‌های متوالی کارشناسان امنیت سایبری معتقد بودند برای کاهش خطر هک و استفاده از پسوردهای سرقت شده بهتر است افراد به طور مداوم پسوردهای خود را تغییر دهند.
 
اکنون موضع مایکروسافت در مورد این استراتژی را می‌توان به طور خلاصه با گزیده‌ای از یک پست وبلاگ Technet (پورتالی برای متخصصان امنیت سایبری) توضیح داد. آرون مارگوسیس یکی از مشاوران مایکروسافت در این پست نوشته است: فرایند مداوم انقضای پسورد یک روش قدیمی و منسوخ است که ارزشمند نیست.
 
یکی از دلایل احتمالی رویگردانی از روش انقضای پسورد را می‌توان به عادات افراد در ابداع رمز مربوط دانست. افراد به جای انتخاب پسوردهای سخت، بیشتر اوقات از رمزهایی استفاده می‌کنند که یادآوری آنها بسیار ساده باشد.
 
این بدان معناست که بسیاری از کاربران پسوردهایی را بر می‌گزینند که ساده یا ضعیف باشد و در نتیجه هکرها راحت تر می‌توانند پسوردهای آنان را هک کنند.
 
این درحالی است که گوگل معتقد است روش احراز هویت دو عاملی امنیت کاربران را تا سطح زیادی ارتقا می‌دهد.

گوگل پسوردهای برخی کاربران را ذخیره کرد

گوگل در یک پست وبلاگی فاش کرده به دلیل وجود یک باگ پسوردهای برخی کاربران شرکت «جی سویت» در یک فایل متنی واضح در سرورهای شرکت ذخیره شده بوده اند.
 
به گزارش ورج، به نظر می‌رسد فیس بوک تنها شرکتی نیست که پسوردهای کاربران را در یک فایل متنی واضح ذخیره کرده است. گوگل در یک پست وبلاگی فاش کرد که در این اواخر باگی را کشف کرده است. این باگ سبب شده پسورد برخی از کاربران G Suit در فایل متنی واضح ذخیره شود.
 
این باگ از سال ۲۰۰۵ میلادی وجود داشته است. البته گوگل ادعا می‌کند هیچ شواهدی مبنی بر سواستفاده از پسورهای افراد کشف نکرده است. این شرکت پسوردهایی که احتمالاً در معرض خطر قرار دارند را ریست کرده است.
 
G Suit یکی از نسخه‌های شرکتی جی میل و اپلیکیش های دیگر گوگل است و به نظر می‌رسد دلیل ایجاد این باگ طراحی یک ویژگی مخصوص شرکت‌ها بوده است.
 
در اوایل ارائه سرویس G Suit، مجری اپلیکیشن‌های آن در شرکت‌ها می‌توانست پسورهای کاربران به طور دستی تغییر دهد. در صورت این کار پسوردها به صورت یک فایل متنی در کنسول ادمین ذخیره می‌شد. به هرحال این شرکت ادعا می‌کند فایل‌های متنی مذکور درون سرورهای گوگل ذخیره شده اند بنابراین دسترسی به آنها سخت‌تر بوده است.
 
به هرحال این رویداد و نمونه‌های مشابه آن نشانگر مشکل فزاینده امنیت در فضای اینترنت هستند. روش‌های امنیتی ضعیف گذشته برای شرکت‌ها مشکل ساز شده اند.

اجرای رمز دوم یک‌بار مصرف به تعویق افتاد

اجرای طرح رمز دوم یک‌بار مصرف که قرار بود از ابتدای خردادماه سال جاری اجرایی شود، برای مدتی به تعویق افتاد.
 
بانک مرکزی از سال گذشته با ابلاغ بخشنامه‌ای به بانک‌ها خبر از اجرای طرح رمز دوم یک‌بار مصرف از خرداد ماه سال جاری داد و بانک‌ها را ملزم کرد تا زیرساخت‌های لازم برای اجرای کامل این طرح و ابطال رمزهای دوم ایستا را فراهم کنند.
 
اما پیگیری‌های خبرنگار ایسنا حاکی از آن است که اجرای این طرح برای مدتی به تعویق افتاده و ممکن است روش آن نیز تغییر کند. بر اساس آنچه بانک مرکزی در نظر داشت، قرار بود رمزهای دوم یک‌بار مصرف از طریق اپلیکیشن‌های بانکی در اختیار مردم قرار گیرد اما با توجه به مشکلاتی که برای اپلیکیشن‌های گوشی‌های اپل در ایران اتفاق افتاد، ممکن است مشکلاتی در زمینه اجرای این طرح به وجود آید.
 
به این ترتیب نظام بانکی کشور بر آن شده تا روش جایگزینی را به جای اپلیکیشن‌های بانکی بیابد که به نظر می‌رسد در دسترس‌ترین گزینه در حال حاضر استفاده از پیامک است.
این در حالی است که حدود ۷۰ درصد از مشتریان نظام بانکی شماره تلفن همراه خود را به صورت درست در اطلاعات هویتی خود در بانک‌ها ثبت نکرده‌اند، بنابراین به نظر می‌رسد تأخیر به وجود آمده در اجرای این طرح برای ساماندهی شماره‌های تلفن همراه مشتریان باشد.
 

چگونه برای کارت‌های بانکی رمز دوم جدید بگیریم؟

بانک مرکزی در راستای افزایش امنیت تراکنش‌های الکترونیکی و با توجه به گسترده شدن استفاده از خریدهای اینترنتی و سوءاستفاده‌های سایبری از این تراکنش‌ها، از سال گذشته طرح رمزهای دوم یک‌بار مصرف را در دستور کار خود قرار داد که این امر از ابتدای خرداد سال جاری اجرایی می‌شود. در این اینفوگرافی با چگونگی تغییر رمزهای کارت‌های بانکی آشنا خواهید شد.
 

پسورد ۲ میلیون شبکه خصوصی وای فای فاش شد

 
اپلیکیشنی که به کاربران کمک می کند هات اسپات های وای فای عمومی را در نزدیکی خود بیابند پسوردهای ۲ میلیون شبکه های خصوصی کاربران را فاش کرده است.
 
به گزارش دیلی میل، یک اپلیکیشن اندروید که به کاربران کمک می‌کند هات اسپات های وای فای را در نزدیکی خود بیابند پسوردهای حدود ۲ میلیون شبکه را فاش کرده است.
 
این اپلیکیشن کهWiFi Finder نام دارد به کاربرانش اجازه می‌دهد پسورد شبکه‌های وای فای را آپلود کنند بنابراین آنها می‌توانند به نزدیک ترین هات اسپات متصل شوند.
 
محققان امنیتی کشف کرده‌اند این اپلیکیشن نه تنها اطلاعات شبکه‌های عمومی وای فای، بلکه اطلاعات مربوط به شبکه‌های خصوصی وای فای در مناطق مسکونی را نیز جمع آوری می‌کند.
 
مخزن این اپلیکیشن حاوی بیش از ۲ میلیون سوابق پسورهای مربوط به شبکه‌های بدون اقدامات امنیتی بوده است. علاوه بر آن اطلاعات حساسی مانند موقعیت مکانی دقیق شبکه و همچنین «شناسه سرویس پایه» نیز همراه این اطلاعات ذخیره شده‌اند.
 
«شناسه سرویس پایه» یک رشته کاراکترهای خاص است که به شناسایی نقاط خاص دسترسی در شبکه وایرلس کمک می‌کند.
 
خوشبختانه اطلاعات تماس صاحبان شبکه‌ها در این شکاف امنیتی فاش نشده است.
 
درهمین راستا تک کرانچ با شرکتDigitalOcean ( میزبان مخزنی که حفاظت نشده) تماس گرفته و اکنون مخزن اطلاعاتی مذکور آفلاین شده است. این درحالی است که هزاران نفر از کاربران گوگل پلی این اپلیکیشن را دانلود کرده‌اند. چنین روندی بدان معنا است که بسیاری از شبکه‌های خصوصی در مقابل دسترسی‌های غیر مجاز قرار دارند.
 
از سوی دیگر امکان دارد فردی با ورود به شبکه و تغییر تنظیمات روتر کاربر را به سمت وب سایت‌های حاوی بدافزار هدایت کند یا ترافیک اطلاعات رمزگذاری نشده کاربر را رصد کند.

اسامی سایت‌هایی که از آن‌ها ۶۱۷ میلیون اکانت و پسورد سرقت شد

از ۱۶ وب‌سایت بیش از ۶۱۷ میلیون اکانت و پسورد به سرقت رفته است.
 
هکرها با سرقت از ۱۶ سایت، دیتای ذخیره‌شده را به قیمت ۲ هزار دلار به‌صورت بیت کوین می‌فروشند.
 
این تعداد اکانت از طریق سایت Dream Market روی شبکه Tor قابل‌خرید و فروش شده و اسامی سایت‌ها و تعداد اکانت سرقتی از آن‌ها به شرح زیر اعلام‌شده است:
 
Dubsmash (۱۶۲ million), MyFitnessPal (۱۵۱ million), MyHeritage (۹۲ million), ShareThis (۴۱ million), HauteLook (۲۸ million), Animoto (۲۵ million), EyeEm (۲۲ million), ۸fit (۲۰ million), Whitepages (۱۸ million), Fotolog (۱۶ million), ۵۰۰px (۱۵ million), Armor Games (۱۱ million), BookMate (۸ million), CoffeeMeetsBagel (۶ million), Artsy (۱ million), and DataCamp (۷۰۰,۰۰۰)
 
بر اساس سمپل دیده‌شده، دیتا حاوی نام کاربری، پسورد و ایمیل کاربر موردنظر است.
 
معمولاً اسپمرها و ارسال‌کنندگان ایمیل‌های تبلیغاتی این اکانت‌ها را می‌خرند.
 
البته برخی از هکرها هم با تحلیل الگوریتم نام کاربری و پسورد از روی ۵۰۰ هزار اکانت، می‌توانند روش پسورد نویسی را کشف کرده و برای هک در آینده اقدام کنند.

کروم کاربران را از سرقت کلمات عبور مطلع می کند

افزایش حملات هکری و نشت اطلاعات از طریق مرورگرها باعث شده تا طراحان مرورگرهای اینترنتی به دنبال یافتن روش های جدیدی برای حفظ امنیت کاربران باشند.
 
به گزارش یاهونیوز، گوگل در همین راستا افزونه تازه ای را برای مرورگر کروم خود عرضه کرده که پی بردن به احتمال سرقت کلمات عبور را ساده تر می کند.
 
این افزونه که Password Checkup نام دارد، بعد از نصب شدن در داخل محیط کروم مستقر می شود و به کاربران در صورت شناسایی موارد ناایمنی از ترکیب نام کاربری و کلمه عبور مذکور در اینترنت هشدار می دهد.
 
گوگل برای افزایش دقت کاربرد این افزونه از یک پایگاه داده حاوی اطلاعات 4 میلیارد کلمه عبور هک شده استفاده می کند. زمانی که افزونه یادشده کلمه عبور ناایمنی را شناسایی کند با به نمایش آوردن یک پیام هشدار قرمز رنگ از کاربر می خواهد تا به سرعت آن را به روز کند.
 
گوگل می گوید داده های رد و بدل شده میان کاربر و این افزونه محرمانه باقی می ماند و هیچ کس از جزئیات آن مطلع نمی شود.
 

فروش ۷۷۳ میلیون آدرس ایمیل و ۲۱ میلیون پسورد در اینترنت

هکری در اینترنت ۷۷۳ میلیون آدرس ایمیل و ۲۱ میلیون پسورد را می‌فروشد. دیتای مذکور از چندین فوروم هکری اخذشده و به‌صورت یکجا بسته‌بندی‌شده است.
 
دیتای لورفته در فولدری به نام Collection۱ روی یک فوروم هکری معروف قرارگرفته که حاوی ۸۷ گیگ دیتا شامل ۷۷۲۹۰۴۹۹۱ آدرس ایمیل و ۲۱۲۲۲۹۷۵ پسورد است و «تروی هانت» محقق امنیت اطلاعات پس از ظاهرشدن روی سرویس کلود MEGA آن را رسانه‌ای کرده است.
 
به گفته هانت مجموعه آدرس‌های ایمیل و «پسورد لورفته» قبلاً به‌صورت جداگانه، روی فوروم‌های هکری دیده‌شده اما ۱۴۰ میلیون آدرس ظاهراً جدید است که به مجموعه قبلی افزوده‌شده است.
 
«برایان کربس» دیگر محقق امنیت اطلاعات می‌گوید عمر دیتای سرقتی دو تا سه سال است و برخلاف گفته‌های دیگران بزرگ‌ترین رخنه اطلاعات نیست که در جهان به وقوع پیوسته است.
 
فروشنده به گفته کربس کاربری با نام Sanixer است که دیتای مذکور را ۴۵ دلار می‌فروشد. وی بسته دیگری حاوی ۴ ترابایت پسورد را نیز به‌صورت جداگانه می‌فروشد که کمتر از یک سال سن دارد.
 
دلیل لورفتگی در این حجم به گفته این دو کارشناس این است که کاربران اغلب از یک ایمیل و پسورد برای تمامی فعالیت‌های آنلاین خود استفاده می‌کنند و این امر خطرناک محسوب شده و میزان لورفتن دیتای شخصی را بیشتر می‌کند.

عرضه محصولات دارای کلمه عبور ضعیف غیرقانونی می شود

به زودی قانون جدیدی در ایالت کالیفرنیا به تصویب می رسد که عرضه محصولات سخت افزاری برای اتصال به اینترنت با کلمات عبور پیش فرض ضعیف را غیرقانونی می سازد.
 
به گزارش آسین ایج، اکثر سخت افزارهای مورد استفاده برای دسترسی به اینترنت مانند مودم، روتر و غیره به طور پیش فرض دارای کلمات عبور ساده ای هستند و کاربران هم معمولا کلمات عبور مذکور را تغییر نمی دهند. همین مساله باعث می شود تا امنیت افراد به طور جدی به خطر بیفتد.
 
بنابراین برخی مقامات محلی در ایالت کالیفرنیای امریکا به طور جدی به این فکر افتاده اند تا شرکت های فناوری را برای ارتقای امنیت تولیداتشان تحت فشار قرار دهند. این طرح قرار است از سال ۲۰۲۰ به قانون مبدل شده و به طور جدی اجرا شود.
 
بنابراین مودم ها و روترهایی که از این پس عرضه می شوند دیگر نمی توانند دارای کلمات عبور ساده ای مانند admin، password و ۱۲۳۴۵۶ باشند. جری براون فرماندار ایالت کالیفرنیا نیز موافقت خود را با این طرح اعلام کرده است.
 
کارشناسان می گویند با از راه رسیدن اینترنت اشیا و اتصال انبوهی از وسایل برقی به فضای مجازی استفاده از کلمات عبور ساده پیش فرض مشکلات جدی ایجاد خواهد کرد و این روند باید متوقف شود.