密歇根大學譴責第三方數據洩露的密碼洩露

星期五，密歇根大學（UM）的學生收到了有關浮動的登錄憑據列表的警報。該文件是自由分發的，確實包含成千上萬對@umich.edu電子郵件地址和純文本密碼。一些學生看了看清單，他們被嚇到發現他們的登錄數據是有效的。可以預見，他們最初將責任歸咎於UM，但後來證明該機構不以任何方式對洩漏負責。實際上，事實證明，正是學生們才能做更多的事情來保護自己。

在不相關的違規期間，登錄數據被洩漏

名單公開後不久，密歇根大學發布了一份官方通報，解釋說洩漏的電子郵件地址和密碼來自第三方數據洩露。這所大學向學生保證，其係統並未受到威脅，並宣布，如果發現未經授權的訪問確實存在危險，它將重置密碼。

在弄清實際發生的事情之後，該通報為學生提供了一些有關如何提高整體在線安全性的提示。必須說，如果學生在密碼列表發布之前已經註意了這些提示，那麼就完全沒有必要進行諮詢了。

UM的學生如何將自己置於危險之中

用戶名和密碼列表使UM的學生極有可能遭受憑證填充攻擊。對於那些不知道的人，在憑據填充攻擊中 ，黑客會從一個服務中竊取大量用戶名和密碼，然後嘗試對多個用戶名和密碼進行攻擊。他們希望許多人在許多不同的網站上使用相同的憑據，事實是，憑據填充被認為是用最少的努力來破壞大量帳戶的最佳方法，這表明他們的賭注通常能帶來回報。

眾所周知，阻止憑據填充攻擊的唯一方法是停止密碼重用，但是很顯然，這說起來容易做起來難。這就是為什麼存在雙重身份驗證的原因。

密歇根大學已經考慮到學生的安全，並且已經實施了一個系統，該系統要求用戶接聽電話，輸入密碼或點擊推送通知才能成功登錄。不幸的是，默認情況下未啟用它，並且很難說有多少受影響的學生正在使用它。

我們可能還應該涉及數據來自何處的問題。密歇根大學在其諮詢中提到了過去曾被破壞的三個在線服務提供商，它們可能是洩露電子郵件地址和密碼的來源：Chegg，LinkedIn和Zynga。我們應該指出，沒有人正式確認失竊數據的來源，但是我們將與這三個提供商一起說明註冊時考慮使用的電子郵件地址的重要性。一個在線帳戶。

Chegg在教育領域提供服務，您可以看到學生如何使用其密歇根大學的電子郵件地址註冊Chegg帳戶。 LinkedIn是世界上最受歡迎的專業社交網絡，您也許也可以證明將個人資料與@umich.edu地址相關聯的合理性。

另一方面，Zynga是在線遊戲的開發商。它要求您進行註冊，以便您可以種植虛擬蔬菜或解決在線填字遊戲。用大學的電子郵件地址創建這種類型的帳戶似乎並不正確，而且如您所見，它還會使您的在線安全受到威脅。

處理大量在線帳戶的需求使一些人認為我們已經完全失去了對數據的控制。這僅在一定程度上是正確的。當我們需要與有能力塑造未來的人們交流時，我們需要使用官方電子郵件地址。另一方面，當我們希望從耗時的手機遊戲中獲得更新時，最好使用我們不太在意的一次性電子郵件。畢竟，如果要進行憑據填充攻擊，我們一定不能忘記用戶名和密碼必須相同。