Dashlane 密碼管理器引入無密碼登錄

知名密碼管理器 Dashlane 正在加入無密碼身份驗證技術。用戶可以使用特定于設備的 PIN 和生物識別技術訪問他們的帳戶。

確保密碼安全是第一道防線；用于您的計算機、電子郵件和信息；針對黑客企圖，許多安全專家建議使用密碼管理器將所有密碼安全保存在一個地方。密碼管理器是一種軟件，它可以創建復雜的密碼，存儲它們，組織計算機、網站、應用程序和網絡的所有密碼，并代表您記住它們。

11月30日，當大部分用戶已經忘掉這件事后，LastPass卻再次爆出數據泄露事件。目前， LastPass已經確認，此次黑客能夠順利侵入服務器，是因為TA利用了在今年8月被竊取的源代碼和專有信息，并借此獲得了對數據的訪問權限。隨后LastPass發布了一份聲明，指出其安全團隊觀察到并收到了潛在的未知攻擊者撞庫嘗試的報告。研究人員稱，即使LastPass允許用戶選擇自行關閉這些追蹤器，但其依然可能會給用戶帶來安全風險。

企業級密碼管理器已成為幫助員工鎖定在線帳戶的最簡單、最具成本效益的方法之一。大多數選項最初是為個人用戶設計的。您的組織需求將與具有安全意識的個人用戶大相徑庭，但好消息是，關鍵密碼管理公司都已將他們的解決方案應用于商業領域。

近日，《麻省理工科技評論》評選出了2022年十大突破性技術，其中“無密碼身份驗證”高居榜首，這是網絡安全技術（話題）首次進入《麻省理工科技評論》的TOP10顛覆性技術榜單，同時也意味著密碼這個古老的安全驗證正在走向終結。多年來，密碼戰勝了其他身份驗證方式，并成為我們登錄幾乎所有賬戶的標準驗證方式，無處不在。

據外媒報道，一位安全研究人員在LastPass密碼管理器應用中發現了7個跟蹤器，雖然沒有確鑿事實表示這些追蹤器正在轉移用戶的實際密碼或用戶名，但是對于一個處理此類敏感信息的安全關鍵型應用來說，追蹤器的存在還是存在一些隱性隱患，基于此，該安全人員表示最好不使用這款軟件。

據IBM表示，網絡攻擊者侵入公司網絡最常見的初始攻擊方法是使用受損憑證，這種方法造成了20%的數據泄露。Verizon 表示，71% 的數據相關事件是出于經濟動機。攻擊者可能會部署勒索軟件來勒索受害者，要求他們支付費用才能重新獲得對網絡的訪問權限。其他人可能會測試他們的接入點，并通過暗網將其出售給其他的網絡攻擊者。

威脅分子添加定制的惡意軟件載荷后，通過Grammarly、Malwarebytes和Afterburner等廣告關鍵字，以及Visual Studio、Zoom、Slack甚至Dashlane攻擊目標組織，提高在個人電腦上成功部署惡意軟件的機率。Vermux針對的就是這種GPU，不過出于另一個原因：挖掘加密貨幣。

惡意程序的運營者日益濫用 Google Ads 將惡意程序傳播給搜索合法軟件的用戶。受害者包括了 Grammarly、MSI Afterburner、Slack、Dashlane、Malwarebytes、Audacity、μTorrent、OBS、Ring、AnyDesk、Libre Office、Teamviewer、Thunderbird 和 Brave。黑客會創建上述項目官方網站的克隆，但將用戶點擊下載的軟件替換為惡意程序。通過這種方法傳播的惡意程序包括 Raccoon Stealer 的變種， Vidar Stealer 的定制版本， IcedID 惡意程序加載器。當廣告商利用 Google Ads 發布廣告時，如果 Google 檢測到目標網站是惡意的，廣告會刪除。

WordPress托管服務提供商Kinsta警告客戶稱，谷歌廣告中存在釣魚網站推廣。