密歇根大学谴责第三方数据泄露的密码泄露

星期五，密歇根大学（UM）的学生收到了有关浮动的登录凭据列表的警报。该文件是自由分发的，确实包含成千上万对@umich.edu电子邮件地址和纯文本密码。一些学生看了看清单，他们被吓到发现他们的登录数据是有效的。可以预见，他们最初将责任归咎于UM，但后来证明该机构不以任何方式对泄漏负责。实际上，事实证明，正是学生们才能做更多的事情来保护自己。

在不相关的违规期间，登录数据被泄漏

名单公开后不久，密歇根大学发布了一份官方通报，解释说泄漏的电子邮件地址和密码来自第三方数据泄露。这所大学向学生保证，其系统没有受到威胁，并宣布，如果发现未经授权的访问存在真正的危险，它将重置密码。

在弄清实际发生的事情之后，该通报为学生提供了一些有关如何提高整体在线安全性的提示。必须说，如果学生在密码列表发布之前已经注意了这些提示，则完全没有必要进行咨询。

UM的学生如何将自己置于危险之中

用户名和密码列表使UM的学生极有可能遭受证书填充攻击。对于那些不知道的人，在凭据填充攻击中 ，黑客会从一个服务中窃取大量用户名和密码，然后尝试对多个用户名和密码进行攻击。他们希望许多人在许多不同的网站上使用相同的凭据，事实是，凭据填充被认为是用最少的努力来破坏大量帐户的最佳方法，这表明他们的赌注通常能带来回报。

众所周知，阻止凭据填充攻击的唯一方法是阻止密码重用，但是很显然，这说起来容易做起来难。这就是为什么存在双重身份验证的原因。

密歇根大学已经考虑到学生的安全，并且已经实施了一个系统，该系统要求用户接听电话，输入密码或点击推送通知才能成功登录。不幸的是，默认情况下未启用它，并且很难说有多少受影响的学生正在使用它。

我们可能还应该涉及数据来自何处的问题。密歇根大学在其咨询中提到了三个在线服务提供商，它们曾在过去遭到破坏，可能充当泄漏电子邮件地址和密码的来源：Chegg，LinkedIn和Zynga。我们应该指出，没有人正式确认失窃数据的来源，但是我们将与这三个提供商一起说明注册时考虑使用的电子邮件地址的重要性。一个在线帐户。

Chegg在教育领域提供服务，您可以看到学生如何使用其密歇根大学的电子邮件地址注册Chegg帐户。 LinkedIn是世界上最受欢迎的专业社交网络，您也许也可以证明将个人资料与@umich.edu地址相关联的合理性。

另一方面，Zynga是在线游戏的开发商。它要求您进行注册，以便您可以种植虚拟蔬菜或解决在线填字游戏。用大学的电子邮件地址创建这种类型的帐户似乎并不正确，而且如您所见，它还会使您的在线安全受到威胁。

处理大量在线帐户的需求使一些人认为我们已经完全失去了对数据的控制。这仅在一定程度上是正确的。当我们需要与有能力塑造未来的人们交流时，我们需要使用官方电子邮件地址。另一方面，当我们希望从耗时的手机游戏中获得更新时，最好使用我们不太在意的一次性电子邮件。毕竟，如果要进行凭据填充攻击，我们一定不能忘记用户名和密码必须相同。