Password

Pengelola Kata Sandi Chrome Google mendapatkan fitur keamanan dan utilitas baru

June 9, 2023 by Søren

Google Password Manager, yang terintegrasi ke dalam Chrome di desktop, Android, dan iOS, melakukan perbaikan kecil dengan sejumlah fitur keamanan dan utilitas baru. Salah satunya fiturnya dirancang untuk membuat Anda menggunakannya dengan benar sejak awal, dengan memungkinkan Anda mengunggah file .csv dari layanan pesaing.

Pada pembaruan Google Password Manager yang terakhir, penambahan catatan ke detail login yang disimpan. Jika ada pin tambahan atau pertanyaan keamanan yang perlu Anda ingat jawabannya, informasi tersebut sekarang dapat disimpan bersama dengan kata sandi akun tersebut.

Yang perlu Anda lakukan hanyalah memilih kata sandi, klik “catatan,” dan kemudian “edit.” Setelah Anda menambahkan informasinya, cukup tekan simpan, dan itu akan disimpan secara aman. Saat login, klik ikon kunci untuk mengakses apa yang Anda tulis.

Dalam hal keamanan, Google menambahkan lebih banyak pilihan otentikasi biometrik di desktop Anda. Langkah ini memungkinkan Anda untuk memerlukan sidik jari atau pengenalan wajah sebelum kata sandi Anda diisi otomatis. Ini adalah pilihan yang baik jika Anda menggunakan komputer bersama dan ingin menjaga privasi akun Anda.

Di iOS, Google Password Manager akan menandai kata sandi yang digunakan ulang dan kata sandi yang lemah di tab “Pemeriksaan Kata Sandi” — tempat pemberitahuan tentang kata sandi yang kompromi berada. Penanda tambahan akan diluncurkan dalam beberapa bulan mendatang, sementara otentikasi biometrik untuk desktop akan segera tersedia. Anda dapat mengakses semua pembaruan kenyamanan tersebut sekarang.

Selengkapnya: engadget

300K Taylor Swift, kata sandi terkait Bad Bunny yang ditargetkan oleh Hacker

March 17, 2023 by Coffee Bean

Sebuah laporan baru mengungkapkan bahwa 300.000 kata sandi yang terkait dengan Taylor Swift dan Bad Bunny berisiko diretas pada tahun 2022.

“Kata sandi yang terkait dengan tren budaya pop juga tetap populer, dengan SpyCloud memulihkan lebih dari 327.000 kata sandi yang terkait dengan artis Taylor Swift dan Bad Bunny,” lapor Business Wire.

Kata kunci yang terkait dengan dua artis paling banyak streaming tahun 2022 termasuk “Taylor”, “Swiftie”, “Benito”, “Me Porto Bonito”, dan “Midnights”.

Musisi populer bukan satu-satunya kata sandi terkait budaya pop yang rentan.

Business Wire menambahkan bahwa ada “lebih dari 261.000 terkait dengan layanan streaming seperti Netflix dan Hulu dan lebih dari 167.000 terkait dengan kematian Ratu Elizabeth dan keluarga kerajaan Inggris.”

Keduanya adalah dua dari penghibur bayaran terbaik termuda tahun 2022, menurut Forbes, keduanya membuat sejarah dengan Swift sebagai satu-satunya wanita dalam daftar dan Bad Bunny sebagai satu-satunya orang Latin.

Hanya di AS pada tahun 2022, Bad Bunny menjadi artis ketiga yang paling banyak diputar di Spotify Wrapped setelah masing-masing Drake dan Swift.

sumber : nypost.com

Password Vault Bitwarden Ditargetkan Dalam Serangan Phishing Google Ads

January 28, 2023 by Coffee Bean

Bitwarden dan password manager lainnya manjadi sasaran dalam kampanye phishing iklan Google untuk mencuri kredensial brankas kata sandi pengguna.

Saat perusahaan dan konsumen beralih menggunakan kata sandi unik di setiap situs, penting untuk menggunakan pengelola kata sandi untuk melacak semua kata sandi.

Namun, kecuali anda menggunakan pengelola kata sandi lokal, seperti KeePass, sebagian besar pengelola kata sandi ebrbasis cloud memungkinkan pengguna untuk mengakses kata sandi mereka melalui situs web dan aplikasi seluler.

Pengguna bitwarden yang ditargetkan oleh phishing iklan Google
Domain yang digunakan dalam iklan adalah ‘appbitwarden.com’ dan, saat diklik, mengarahkan pengguna ke situs ‘bitwardenlogin.com.’

Situs phishing Bitwarden dipromosikan melalui iklan Google
Sumber: Reddit

Halaman di ‘bitwardenlogin.com’ adalah replika persis dari halaman login Bitwarden Web Vault yang sah, seperti yang terlihat di bawah ini.

Bitwarden phishing page
Source: BleepingComputer

Dalam pengujian kami, halaman phishing akan menerima kredensial dan, setelah dikirimkan, mengarahkan pengguna ke halaman login Bitwarden yang sah.

Namun, pengujian awal kami menggunakan kredensial palsu, dan halaman ditutup saat kami mulai menguji dengan kredensial login pengujian Bitwarden yang sebenarnya.

Oleh karena itu, kami tidak dapat melihat apakah halaman phishing juga akan mencoba mencuri cookie sesi yang didukung MFA (token autentikasi) seperti banyak halaman phishing tingkat lanjut.

Melindungi brankas kata sandi Anda
Dalam hal melindungi brankas kata sandi Anda dari serangan phishing, garis pertahanan pertama selalu mengonfirmasi bahwa Anda memasukkan kredensial di situs web yang benar.

Namun, jika Anda salah memasukkan kredensial di situs phishing, Anda harus selalu mengonfigurasi autentikasi multifaktor dengan pengelola kata sandi.

Serangan phishing AiTM adalah saat pelaku ancaman menggunakan perangkat khusus seperti Evilginx2, Modlishka, dan Muraena untuk membuat halaman arahan phishing yang mewakili formulir masuk yang sah di layanan yang ditargetkan.

Dengan menggunakan metode ini, pengunjung halaman phishing akan melihat formulir masuk layanan yang sah, seperti Microsoft 365. Saat mereka memasukkan kredensial dan kode verifikasi MFA, informasi ini juga diteruskan ke situs yang sebenarnya.

Namun, begitu pengguna masuk dan situs yang sah mengirimkan cookie sesi yang didukung MFA, perangkat phishing dapat mencuri token ini untuk digunakan nanti.

phishing attack flow — The flow of an AiTM phishing attack
Source: BleepingComputer

Sayangnya, hal ini membawa kita kembali ke garis pertahanan pertama — pastikan Anda hanya memasukkan kredensial Anda di situs web atau aplikasi seluler yang sah.

selengkapnya : bleepingcomputer

Pengawas pemerintah menghabiskan $15.000 untuk Memecahkan Kata Sandi Agen Federal dalam Hitungan Menit

January 12, 2023 by Coffee Bean

Laporan oleh Kantor Inspektur Jenderal untuk Departemen Dalam Negeri, yang bertugas mengawasi badan eksekutif AS yang mengelola tanah federal negara, taman nasional, dan anggaran miliaran dolar, mengatakan bahwa ketergantungan departemen pada kata sandi sebagai satu-satunya cara untuk melindungi beberapa sistem terpentingnya dan akun pengguna karyawannya telah melawan hampir dua dekade pedoman keamanan siber pemerintah sendiri untuk mengamanatkan otentikasi dua faktor yang lebih kuat.

Disimpulkan bahwa kebijakan kata sandi yang buruk menempatkan departemen pada risiko pelanggaran yang dapat menyebabkan “kemungkinan tinggi” gangguan besar pada operasinya.

Kata sandi itu sendiri tidak selalu dicuri dalam bentuk yang dapat dibaca. Kata sandi yang Anda buat di situs web dan layanan online biasanya diacak dan disimpan sedemikian rupa sehingga tidak dapat dibaca oleh manusia — biasanya berupa rangkaian huruf dan angka yang tampak acak — sehingga kata sandi yang dicuri oleh malware atau pelanggaran data tidak dapat dengan mudah digunakan di peretasan lebih lanjut. Ini disebut hashing kata sandi.

staf pengawas mengatakan bahwa mengandalkan klaim bahwa kata sandi yang memenuhi persyaratan keamanan minimum departemen akan memakan waktu lebih dari seratus tahun untuk pulih menggunakan perangkat lunak peretas kata sandi yang tersedia telah menciptakan “rasa aman yang salah”

Singkatnya, pengawas menghabiskan kurang dari $ 15.000 untuk membangun rig peretas kata sandi.Pengawas juga memulihkan ratusan akun milik pegawai pemerintah senior dan akun lain dengan hak keamanan yang ditingkatkan untuk mengakses data dan sistem sensitif.

Rig peretas kata sandi juga mengandalkan sejumlah besar data yang dapat dibaca manusia untuk dibandingkan dengan kata sandi yang diacak. Menggunakan perangkat lunak open source dan tersedia secara bebas seperti Hashcat dapat membandingkan daftar kata dan frasa yang dapat dibaca dengan kata sandi hash.

Dalam tanggapannya, Departemen Dalam Negeri mengatakan setuju dengan sebagian besar temuan inspektur jenderal dan mengatakan “berkomitmen” untuk melaksanakan perintah eksekutif pemerintahan Biden yang mengarahkan lembaga federal untuk meningkatkan pertahanan keamanan siber mereka.

sumber : techcrunch

Peretas Mencuri Brankas Kata Sandi LastPass Terenkripsi, Tim The Verge Baru Saja Mendengarnya

December 23, 2022 by Flamango

Bulan lalu, perusahaan mengumumkan bahwa pelaku ancaman telah mengakses elemen tertentu dari informasi pelanggan. Sama seperti banyak pekerja AS yang pergi untuk liburan, perusahaan mengungkapkan itu berarti kata sandi terenkripsi mereka.

LastPass adalah salah satu aplikasi penyimpan dan pengaturan kata sandi yang populer. Baru-baru in LastPass mengumumkan pelanggaran data, yaitu peretas dapat menyalin cadangan data brankas pelanggan. LastPass berjanji untuk menyimpan semua kata sandi di satu tempat aman.

Pengguna yang masih memiliki akun untuk menyimpan kata sandi dan informasi sign-in di LastPass, kemungkinan besar sudah di tangan peretas. Perusahaan memastikan bahwa kata sandi akan aman jika tersusun dari kata sandi utama yang kuat sesuai anjuran dan secara berkala mengubah kata sandi situs web yang telah disimpan.

Pada bulan Agustus, LastPass mendapatkan kabar bahwa data pengguna telah diakses, namun tidak mempercayainya. Kemudian pada bulan November, LastPass mendeteksi gangguan dan tampaknya mengandalkan informasi yang dicuri dalam insiden Agustus.

CEO LastPass, Karim Toubba, mengatakan bahwa aktor jahat hanya bisa mendapatkan data terenkripsi dan karena itu, kata sandi utama haruslah bagus. Sangat sulit untuk mencoba memaksa menebak kata sandi utama tetapi tetap dapat dicoba untuk membukanya dengan menebak kata sandi acak atau brute-forcing. LastPass mengatakan tidak pernah memiliki akses ke kata sandi utama.

Data yang tidak terenkripsi dapat memberikan peretas petunjuk tentang situs web mana yang terdapat akun si target. Jika peretas menargetkan pengguna tertentu, hal itu dapat menjadi informasi kuat jika digabungkan dengan phishing atau jenis serangan lainnya.

Pengumuman ini muncul tiga hari sebelum natal, saat dimana banyak departemen IT akan berlibur dan orang cenderung kurang memperhatikan pengelolaan pembaruan kata sandi mereka.

Menurut Toubba, perusahaan mengambil segala macam tindakan pencegahan sebagai akibat dari pelanggaran awal dan pelanggaran sekunder yang mengungkap cadangan, termasuk menambahkan lebih banyak pencatatan untuk mendeteksi aktivitas mencurigakan di masa mendatang, membangun kembali lingkungan pengembangannya, merotasi kredensial, dan banyak lagi.

Selengkapnya: The Verge+

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Password

Cookies Settings