Wurde Disney Plus gehackt? Ja und nein

Es ist nicht (völlig) Disneys Schuld, wenn Sie ein schwaches Passwort überhaupt wiederverwenden. Aber Disney hat auch noch einiges zu tun.

Wiederholen Sie nach mir: "Ich werde ein Passwort nicht mehr als einmal verwenden. Ich werde einen Passwort-Manager verwenden, um sichere, eindeutige Passwörter zu erstellen. Und ich werde, wann immer möglich, irgendeine Form der Zwei-Faktor-Authentifizierung verwenden. "

Sie sollten dieses Mantra für sich selbst wiederholen, sobald Sie morgens aufwachen und kurz bevor Sie ins Bett gehen. Dies ist optional, wenn Sie einen Alufolienhut tragen. Eine gute Passworthygiene gibt es aber nicht.

Das ist so offensichtlich wie immer in ein kürzlich ZDNet Bericht Wenn Disney + -Konten "gehackt" werden oder zumindest einige Kunden schnell den Zugriff auf ihre Disney + -Konten verlieren, werden die Anmeldeinformationen online verkauft.

Das Problem manifestiert sich auf verschiedene Weise, wobei die Schuld nicht nur Disneys, sondern auch uns zu Füßen liegt.

Problem 1: Passwörter wiederverwenden

Eine der häufigsten Möglichkeiten, Ihr Konto "gehackt" zu bekommen - eigentlich ist "entführt" ein besserer Begriff - besteht darin, einen Benutzernamen und ein Passwort wiederzuverwenden, die bereits an einer anderen Stelle durchgesickert sind.

Sagen wir meine E-Mail-Adresse - [email protected] - und Passwort - TomRocks123 - wurde mit einem der 359 Millionen MySpace-Konten verwendet, die 2008 Opfer eines Verstoßes wurden. Die "Hacker" mit dem schwarzen Kapuzenpulli verwenden diesen Benutzernamen und das Passwort dann für alle Arten anderer Dienste, nur um zu sehen, ob sie funktionieren. Es wird als Anmeldeinformationsfüllung bezeichnet und ist ein großes Problem.

Aus diesem Grund sind Datenverletzungen eine große Sache, auch wenn zu diesem Zeitpunkt tatsächlich nichts Schlimmes zu passieren scheint. Vielleicht werden Sie faul und verwenden dieses Passwort wieder woanders.

Problem 2: Passwort teilen

Das Teilen von Streaming-Dienst-Anmeldungen ist so alt wie die Streaming-Dienste selbst. Sie können Millennials beschuldigen, das Nest mit den Netflix-Passwörtern ihrer Eltern verlassen zu haben, aber die einfache Tatsache ist, dass wir es alle irgendwann getan haben.

Zum jetzigen Zeitpunkt toleriert Disney das Teilen von Passwörtern für Disney +. Und das ist keine ungewöhnliche Einstellung. Es fallen technische, finanzielle und politische Kosten an, wenn Sie Ihre Benutzer als behandeln Kriminelle und bisher auch Netflix und HBO haben das gelegentliche Teilen von Passwörtern weitgehend aufgegeben deaktiviert. (Piraterie in großem Maßstab ist jedoch eine andere Sache.

Das heißt nicht, dass die Art von Laissez-Faire-System, die wir heute genießen, fortbestehen wird - es wurde in letzter Zeit davon gesprochen, dass Netflix und andere hart gegen sie vorgehen.

Es gibt aber auch einen einfachen Grund, Ihr Disney + -Login nicht zu teilen - Sie wissen nie, was diese andere Person (oder Personen) damit machen wird. Wenn zwei Personen Ihr Passwort kennen, ist es kein Geheimnis mehr.

Problem 3: Tatsächliche Malware

Ich werde dies hier erwähnen, weil es im Original-ZDNet-Stück erwähnt wird. Ja, es ist sehr wahrscheinlich, dass die Computer einiger Leute mit einer Art Malware oder Keylogger infiziert sind, die ihre Disney + -Anmeldeinformationen beeinträchtigen.

Und wenn das stimmt, ist das wahrscheinlich das geringste ihrer Probleme.

Die Lösung: Passwortmanager, 2FA und Disney machen die Dinge etwas anders

Es gibt einige Dinge, die Sie tun können, um Ihre Disney + Anmeldeinformationen sicherer zu machen. Sie sind auch Dinge, die Sie tun sollten wie auch immer, egal Disney +.

Lösung 1: Verwenden Sie einen Passwort-Manager

Das beste Passwort ist das, das Sie eigentlich nicht kennen. Wir höchst empfehlen, dass Sie einen Passwort-Manager verwenden. Die meisten modernen Browser haben sie eingebaut, was gut ist. Es gibt eine Reihe großartiger Passwort-Manager-Apps, die noch besser sind und mehr Flexibilität bieten.

Das Wesentliche, falls Sie noch nie zuvor eines verwendet haben, ist, dass sich der Passwort-Manager alle Ihre Passwörter merkt und Sie dann den Passwort-Manager mit einem Master-Passwort sperren, das nur Sie kennen. Dann können Sie verrückte, eindeutige Passwörter für alle Ihre Dienste verwenden und vermeiden, jemals ein Passwort mehr als einmal zu verwenden.

Die besten Passwort-Manager

Bonus: Sehen Sie, wo Ihre Anmeldeinformationen bereits durchgesickert sind

Ich bin ein großer Fan von Bin ich pwned worden?, ein kostenloser Dienst, der Datenverletzungen untersucht und durchsuchbar macht, um festzustellen, ob Ihr Benutzername oder Passwort in einer bestimmten Instanz gelöscht wurde. (Aber es tut so, dass HIBP leckt auch nicht Ihre Anmeldeinformationen. Dieser Teil ist wichtig zu beachten.)

Eigentlich, Futter HIBP deine Emailadresse und es benachrichtigt Sie, wenn Ihre E-Mail-Adresse in einem neuen Verstoß angezeigt wird. Sehr cool.

Lösung 2: Disney kann die Kennwortfreigabe beenden

Zugegeben, dies wird bei den Benutzern keine beliebte Option sein. (Besonders diejenigen, die gerade mogeln.) Und es ist sowieso nicht unbedingt eine großartige Idee.

Aber Disney könnte sehr gut ein System implementieren, bei dem Sie jeweils nur an einem Gerät angemeldet sein können, um Disney + zu sehen. Oder es könnte Dinge auf einen kleinen Bereich beschränken - obwohl dies erfordert, dass Disney mit einem guten Maß an Genauigkeit weiß, wo Sie sich befinden, und das ist keine gute Sache für die Privatsphäre.

Ein weiteres Problem: Disney + ermöglicht bis zu sieben Profile unter einem einzigen Konto. Meine 9-jährige braucht keinen eigenen Disney + Account. (Meistens, weil ich sie noch nicht ganz in Passwort-Managern geschult habe.) Ihr Tablet ist also mit unseren Familienanmeldeinformationen angemeldet.

Lösung 3: Zwei-Faktor-Authentifizierung

Ich gehe hin und her, wie unglücklich es ist, dass Disney + keine Zwei-Faktor-Authentifizierung anbietet - das heißt, Sie benötigen lediglich eine E-Mail und ein Passwort, um sich anzumelden.

Es ist keine sekundäre Methode erforderlich. Keine SMS. (Was ohnehin keine so große Sicherheitsfunktion ist.) Kein zeitbasiertes Token von einer App wie Authy. Keine Option für einen hardwarebasierten universellen Zwei-Faktor-Schlüssel. (Ja, das wäre übertrieben, aber das Prinzip ist dasselbe.)

Warum kein 2FA für Disney +? Es ist eine weitere Sache, die jemand pflegen muss - sowohl von Disneys Seite als auch von einem Schmerz im Rücken des Benutzers. Es ist der übliche Kompromiss zwischen Sicherheit und Benutzerfreundlichkeit.

Warum Sie und Ihre Familie 2FA verwenden sollten

Fazit: Es geht nur um die Passwörter

Wenn ich eine Sache auswählen müsste, auf die ich mich hier konzentrieren möchte, wären es Benutzerkennwörter.

Wir als Benutzer müssen unsere Passwörter so sicher wie möglich halten. Der (relativ) einfachste Weg, dies zu tun, ist eine Art Passwort-Manager - und dann darauf zu achten, dass ein Passwort niemals wiederverwendet wird.

Ja, das belastet uns und hat einen Hauch von Opferbeschämung. Ich nenne es jedoch lieber einen verantwortungsbewussten Benutzer.

Aber das andere, was Disney tun könnte (und sollte), wäre, einen Dienst wie diesen zu nutzen Bin ich pwned worden?, die eine API bereitstellt, um festzustellen, ob ein Benutzer versucht, sich mit einer E-Mail-Adresse und einem Kennwort anzumelden, die bereits kompromittiert wurden. Also, wenn ich versucht habe, mich anzumelden [email protected] und TomRocks123 Als meine Anmeldeinformationen würde es heißen "Hey - das ist in dieser MySpace-Verletzung im Jahr 2008 durchgesickert, also können Sie es hier nicht verwenden." (Tatsächlich hat Google dies bereits in seinen Chrome-Browser integriert.)

Die Verantwortung liegt also auf beiden Seiten, denke ich. Wir müssen unsere Passwörter sicher aufbewahren. Aber auch Disney hat noch einiges zu tun.