标记为“密码”的条目

第23页第1页

邮寄技术支持炸弹

我理解他的沮丧,但是极端:

当警察问CryptoPay是什么促使Salonen给公司发了一枚管道炸弹,或者,更确切地说,双管炸弹这就是调查人员在拆开炸药包时发现的——公司唯一能想到的是,公司拒绝了他更改密码的请求。

2017年8月,SalonenCryptoPay的客户,通过电子邮件向客户服务团队索要新密码。他们拒绝了,因为这违反了公司的隐私政策。

一个公平的观点,因为在电子邮件中发送新密码从来不是一个好主意。密码重置链接更安全,尽管目前尚不清楚CryptoPay是否向Salonen提供此选项。

11月16日发布,2018年下午2:11·查看评论188滚球网站

特洛伊狩猎密码

Troy Hunt有好文章关于为什么密码会留在这里,尽管存在安全问题:

这就是为什么密码在可预见的将来不会出现在任何地方,也就是为什么[在这里插入东西]不会杀死它们。如果只关注密码有多糟糕,或者有多少账户被破解,或者当人们无法访问他们的账户时,所需的费用,那么这一切都不会改变。[在这里插入内容]的技术能力也不会改变讨论,因为它根本无法与密码竞争,一个度量标准组织如此关注:可用性。当然,会出现边缘情况,当然还有一些情况是,由于受保护资产的性质或受众的人口统计,更大的摩擦是合理的,但你不会看到你的日常电子商务,社会媒体,甚至银行网站都在大规模变化。

他正确地指出,生物识别认证系统——比如苹果的人脸识别和指纹认证——增加了密码,而不是取代它们。我想补充一下,好的双因素系统,像哆一样,同时增加密码而不是替换它们。

黑客新闻线.

11月5日发布,2018年上午10:24·查看评论188滚球网站

美国武器系统的安全漏洞

美国政府会计办公室刚刚出版一份新报告:武器系统网络安全:国防部刚刚开始应对脆弱性的规模“(摘要)在这里)结果对我的任何一个老读者都不会感到惊讶:他们很脆弱。

总结如下:

自动化和连接性是国防部现代军事能力的基本推动力。然而,它们使武器系统更容易受到网络攻击。尽管高和其他人几十年来一直在警告网络风险,直到最近,国防部没有优先考虑武器系统的网络安全。最后,国防部仍在决定如何最好地解决武器系统网络安全问题。

在操作测试中,国防部经常在正在开发的系统中发现关键任务的网络漏洞,然而,项目官员高认为他们的系统是安全的,并认为一些测试结果是不现实的。使用相对简单的工具和技术,测试人员能够控制系统,并且大部分操作未被检测到,部分原因是一些基本问题,如密码管理不善和未加密的通信。此外,由于测试限制,国防部意识到的漏洞可能占整个漏洞的一小部分。例如,并不是所有的程序都经过测试,测试也不能反映出所有的威胁。

很容易,更便宜,忽略这个问题,或者假装这不是什么大问题。但从长远来看,这可能是个错误。

10月10日发布,2018年上午6:21·查看评论188滚球网站

使用智能手机的麦克风和扬声器窃听密码

令人惊讶的是,这甚至是可能的。”声纳:主动声侧信道攻击“:

文摘:我们报告了第一次主动声侧信道攻击。扬声器用来发出人耳不见的声音信号,通过麦克风记录回声。把智能手机的音响系统变成声纳系统。回波信号可用于描述用户与设备的交互。例如,受害者的手指移动可以推断为窃取安卓手机解锁模式。在我们的实证研究中,攻击者必须尝试在三星S4安卓手机上验证自己身份的候选解锁模式数量,使用这种新颖的声学侧通道最多可减少70%。我们的方法可以很容易地应用于其他应用场景和设备类型。总体而言,我们的工作突出了一系列新的安全威胁。

新闻文章.

9月5日发布,2018年上午6:05·查看评论188滚球网站

1密码的旅行模式

1密码管理器介绍“旅行模式”,允许您在其他国家或跨界时删除存储的密码:

你的金库不仅仅是隐藏的;它们已完全从您的设备中删除只要行驶模式打开.包括所有项目和所有加密密钥。没有留下任何人可以找到的痕迹。所以即使有人在边境要求你解开1密码,他们没有办法告诉他们旅行模式已经启用。

在1个密码组中,行驶模式更冷。如果你是团队管理员,你完全可以控制你的员工可以携带哪些秘密。您可以为团队成员打开和关闭旅行模式,因此,您可以确保公司信息始终安全。

这项工作的方式很重要。如果恐怖的边境警察要求你打开密码库,边境警察找不到这些密码/钥匙。

唯一的缺陷——这是次要的——是系统要求你撒谎。当恐怖的边境警察问你“你还有其他密码吗?”或者“你启用了旅行模式”,你不能告诉他们真相。在美国,向联邦办公室撒谎是重罪。

之前描述过一个不需要你说谎的系统。实施起来更复杂,不过。

这是一个很好的功能,我很高兴看到它的实施。

发表于7月23日,2018年上午6:17·查看评论188滚球网站

基于密码盗窃的合理巧妙勒索电子邮件

想象一下,你已经掌握了一个包含电子邮件地址和密码的文件。你想把它货币化,但它的目的地不是很有价值。你怎么用它?你说服密码的拥有者给你寄钱。

我最近看到一封垃圾邮件,把密码和色情网站联系在一起。电子邮件标题包含密码,这一定会引起收件人的注意。

我知道,约哈布是您的密码。你可能不认识我,你很可能在想你为什么收到这封邮件,正确的?

事实上,我在成人视频剪辑(色情材料)网站上设置了一个恶意软件,你知道吗,你访问这个网站是为了好玩(你知道我的意思)。当你看视频的时候,您的Web浏览器开始作为RDP(远程桌面)运行,它有一个键记录器,可以让我访问您的显示器和Web摄像机。之后,我的软件从您的通讯器中获取了您的全部联系人,社交网络,和电子邮件。

我到底做了什么?

我制作了一个双屏视频。第一部分展示了你正在观看的视频(你很有品味;)第二部分显示网络摄像头的录制。

你应该怎么做?

好,我相信,2900美元是我们这个小秘密的合理价格。你将通过比特币支付(如果你不知道,在谷歌搜索“如何购买比特币”)。

这很聪明。有效密码建立合法性。收信人很有可能访问过色情网站,可能还设置了一个他们不记得密码的帐户。RDP攻击是合理的,打开相机并下载联系人文件。

当然,这一切都失败了,因为没有足够的细节。如果攻击者真的这么做了,他们将包括色情网站的名称,并附上视频文件。

但这是个聪明的攻击,还有一个我以前没见过的。如果攻击者要求一个数量级的减价,我想他们会赚更多。

编辑添加:Brian Krebs书面的关于这一点,也是。

发表于7月16日,2018年上午6:30·查看评论188滚球网站

WPA3

每个人 写作关于新的WPA3 Wi-Fi安全标准,以及它如何提高当前WPA2标准的安全性。

本综述与其他产品一样好:

WPA3的第一大新功能是防止离线,密码猜测攻击。这是攻击者从您的Wi-Fi流捕获数据的地方,把它带回一台私人电脑,反复猜测密码,直到找到匹配的密码。使用WPA3,攻击者只能在离线数据变得无用之前对其进行一次猜测;相反,他们每次想猜测时都必须与现场Wi-Fi设备进行交互。(这就更难了,因为他们需要亲自出席,并且可以设置设备以防止重复猜测。)

WPA3的其他主要附加项目,正如联盟强调的那样,是前进的秘密。这是一个隐私功能,可以防止旧数据受到后续攻击的影响。因此,如果攻击者捕获加密的Wi-Fi传输,然后破解密码,他们仍然无法读取旧的数据——他们只能看到当前通过网络传输的新信息。

注意,本周我们刚推出新标准。执行该标准的实际设备仍需数月的时间。

发表于7月12日,2018年上午6:11·查看评论188滚球网站

通过热成像恢复键盘输入

加州大学的研究人员,尔湾能够恢复用户密码通过热成像。技术很简单,但是,考虑一下它可能在哪种情况下实现是很有趣的。

文摘:作为温血哺乳动物,我们人类经常把热残留物留在我们接触的各种物体上。这包括公共输入设备,比如键盘,用于输入(除其他外)机密信息的,比如密码和密码。尽管热残留会随着时间的推移而消散,总是有一个特定的时间窗口,在此期间,可以从输入设备中获取热能读数,以恢复最近输入的热量,而且可能很敏感,信息。

到目前为止,目前还没有对键盘的热特性进行系统的研究,因此,还没有采取任何措施来保护它们。这是我们构建从键盘热辐射获取密码的方法的主要动机。明确地,我们介绍了Thermanator,一种新的基于热传递的制造后内部攻击,由用户在典型的外部键盘上输入密码引起。我们进行并描述了一项用户研究,收集了30个用户在4个流行的商品键盘上输入10个唯一密码(弱密码和强密码)的热残留物。结果表明,非专家用户可以在初始密码输入后30秒内恢复整组按键。而部分集可以在输入后1分钟内恢复。此外,我们发现亨特和派克打字员特别容易受到攻击。我们还讨论了一些治疗缓解策略。

这项工作的主要成果有三个方面:(1)使用外部键盘输入(已经被恶意攻击)密码的安全性甚至比以前识别的还要低,(2)事后(计划或临时)热成像攻击是现实的,最后(3)也许是时候停止使用键盘输入密码了,或者完全放弃密码。

新闻文章.

发表于7月10日,2018年上午6:18·查看评论188滚球网站

在野外看到的传播代码注入

去年,研究人员写关于一种叫做传播的新的Windows代码注入技术。上周,它是第一次见到恶意软件:

此技术滥用了setwindowssubclass函数(用于安装或更新系统上运行的子类窗口的进程),可以用来修改在同一会话中运行的窗口的属性。这可以用来插入代码和删除文件,同时也隐藏发生的事实,使其成为有用的,秘密攻击。

攻击者很可能在propagate上观察到公开可用的帖子,以便为自己的恶意目的重新创建该技术。

发表于7月9日,2018年上午6:13·查看评论188滚球网站

在iOS中绕过密码

上周,一故事在解释如何暴力破解iOS密码。基本上,诀窍是将手机插入外置键盘,并立即尝试每个PIN码:

我们星期五报告了希基的发现,它声称能够一次性发送用户密码的所有组合,通过枚举0000到9999之间的每个代码,并将结果连接到一个不带空格的字符串中。他解释说,因为这不会给软件带来任何中断,键盘输入程序优先于设备的数据擦除功能。

我没有写过,因为这似乎太好了,不可能是真的。几天后,苹果公司推迟了调查结果,但似乎不起作用。

这并不是说没有人能闯入iPhone。我们知道公司喜欢硅钙石灰度偏移正在向执法部门出租/销售iPhone解锁工具——这意味着政府和犯罪分子可以做同样的事情——苹果正在发布一个新的 特征称为“限制模式”,可能会使这些黑客过时。

Grayshift是声称它的技术仍将发挥作用。

前苹果安全工程师Braden Thomas,他现在为一家叫Grayshift的公司工作,警告那些购买了他的Graykey iPhone解锁工具的用户,iOS 11.3将使警察更难从被扣押的iPhone中获取证据和数据。测试版的改变没有打破格雷基,但这将要求警察在最后一次解锁后的一周内使用格雷基手机。

“从iOS 11.3开始,iOS保存上次解锁设备(使用生物识别或密码)或连接到附件或计算机的时间。如果自上次iOS保存其中一个事件以来,经过了整整七天(168小时)的时间,“闪电端口是完全禁用的,”托马斯在一个客户专用门户网站上发表的一篇博文中写道,哪个主板得到的。“您不能使用它来同步或连接附件。在这一点上,它基本上只是一个充电端口。这被称为USB限制模式,它会影响所有支持iOS 11.3的设备。”

不管是真的还是市场营销,我们不知道。

6月26日发布,2018年上午9:38·查看评论188滚球网站

布鲁斯·施耐尔的照片。188滚球网站

188滚球网站施耐尔的安全是一个个人网站。表达的意见不一定是IBM弹性.