Был ли взломан Disney Plus? Да и нет

Это не (полностью) вина Диснея, если вы в первую очередь повторно используете слабый пароль. Но у Диснея еще есть над чем поработать.

Повторяйте за мной: «Я не буду использовать пароль более одного раза. Я буду использовать какой-нибудь менеджер паролей для создания надежных уникальных паролей. И я буду, когда это возможно, использовать какую-либо форму двухфакторной аутентификации ".

Вы должны повторять эту мантру про себя, когда просыпаетесь утром и незадолго до сна. Это необязательно делать в шляпе из фольги. Но хорошая гигиена паролей - нет.

Это как никогда очевидно в недавний ZDNet отчет учетные записи Disney + «взломаны» или, по крайней мере, некоторые клиенты быстро теряют доступ к своим учетным записям Disney +, учетные данные которых продаются через Интернет.

Проблема проявляется по-разному: вина не только на Дисней, но и на нас.

Проблема 1: Повторное использование паролей

Один из наиболее распространенных способов «взломать» вашу учетную запись - точнее сказать «взломан» - это повторно использовать имя пользователя и пароль, которые уже были пропущены где-то еще.

Скажем, мой адрес электронной почты - [email protected] - и пароль - TomRocks123 - использовался с одной из 359 миллионов учетных записей MySpace, которые стали жертвой взлома в 2008 году. Затем «хакеры» в черных капюшонах будут использовать это имя пользователя и пароль во всех других службах, просто чтобы проверить, работают ли они. Это называется заполнением учетных данных, и это большая проблема.

Вот почему утечки данных - это большая проблема, даже если на самом деле ничего плохого в данный момент не происходит. Может быть, вы станете ленивым и повторно используете этот пароль где-нибудь еще.

Проблема 2: Обмен паролями

Совместное использование учетных записей потоковых сервисов так же стара, как и сами потоковые сервисы. Вы можете обвинить миллениалов в том, что они покинули гнездо с паролями от Netflix их родителей, но простой факт в том, что мы все в какой-то момент это сделали.

На момент написания этой статьи Disney допускает совместное использование пароля для Disney +. И это не редкость. Когда вы начинаете относиться к своим пользователям как к другим, вам придется заплатить технические, денежные и политические издержки. преступники, и до сих пор такие компании, как Netflix и HBO, также в значительной степени отказались от случайного обмена паролями не отмечен. (Другое дело - крупномасштабное пиратство.

Это не означает, что такая система невмешательства, которой мы пользуемся сегодня, будет продолжаться - в последнее время ходили разговоры о том, что Netflix и другие расправятся.

Но есть и простая причина не делиться своим логином Disney + - никогда не знаешь, что этот другой человек (или люди) будет с ним делать. Если ваш пароль знают два человека, это уже не секрет.

Проблема 3: Актуальное вредоносное ПО

Я упомяну об этом здесь, потому что он упоминается в исходной статье ZDNet. Да, вполне вероятно, что компьютеры некоторых людей заражены каким-либо вредоносным ПО или кейлоггером, который улавливает их учетные данные Disney +.

И если это правда, это, вероятно, меньшая из их проблем.

Решение: менеджеры паролей, 2FA и Disney делают вещи немного иначе

Вы можете сделать несколько вещей, чтобы защитить свои учетные данные Disney +. Они тоже то, что вам следует делать тем не мение, не говоря уже о Disney +.

Решение 1. Используйте какой-нибудь менеджер паролей

Лучший пароль - это тот, которого вы на самом деле не знаете. Мы очень рекомендую использовать какой-нибудь менеджер паролей. В большинстве современных браузеров они встроены, и это хорошо. Есть ряд отличных приложений для управления паролями, которые еще лучше и предлагают большую гибкость.

Суть, если вы никогда не использовали его раньше, заключается в том, что диспетчер паролей запоминает все ваши пароли, а затем вы блокируете диспетчер паролей мастер-паролем, который знаете только вы. Тогда вы сможете использовать безумные уникальные пароли для всех своих служб и никогда не использовать пароль более одного раза.

Лучшие менеджеры паролей

Бонус: посмотрите, где ваши учетные данные уже просочились

Я большой поклонник Меня уговорили, бесплатная служба, которая исследует утечки данных и делает их доступными для поиска, чтобы определить, были ли ваши имя пользователя или пароль раскрыты в конкретном случае. (Но это так, что HIBP также не допускает утечки ваших учетных данных. Это важно отметить.)

По факту, корм HIBP Ваш адрес электронной почты и он предупредит вас, когда ваш адрес электронной почты появится в новой утечке. Очень круто.

Решение 2. Disney может остановить обмен паролями

По общему признанию, этот вариант не будет популярным среди пользователей. (В особенности те, кто в настоящее время бездельничает.) И в любом случае это не обязательно такая уж хорошая идея.

Но Disney вполне может реализовать систему, в которой вы можете входить в систему только на одном устройстве за раз, чтобы смотреть Disney +. Или он может геоблокировать объекты на небольшом участке - хотя для этого потребуется, чтобы Disney знал, где вы находитесь, с хорошей степенью точности, а это не очень хорошо для конфиденциальности.

Еще одна проблема: Disney + позволяет использовать до семи профилей в одной учетной записи. Моей 9-летней девочке не нужна собственная учетная запись Disney +. (В основном потому, что я еще не обучил ее менеджерам паролей.) Итак, ее планшет вошел в систему с нашими семейными учетными данными.

Решение 3. Двухфакторная аутентификация

Я постоянно говорю о том, как недоволен тем, что Disney + не предлагает какой-либо двухфакторной аутентификации, то есть все, что вам нужно, это адрес электронной почты и пароль для входа в систему.

Не требуется никакого вторичного метода. Нет текстового сообщения. (В любом случае, это не самая лучшая функция безопасности.) Никакого временного токена из такого приложения, как Authy. Нет возможности использовать аппаратный универсальный двухфакторный ключ. (Да, это было бы излишним, но принцип тот же.)

Почему нет 2FA для Disney +? Это еще одна вещь, которую нужно поддерживать - как со стороны Диснея, так и с болью в спине пользователя. Это обычный компромисс между безопасностью и удобством использования.

Почему вам и вашей семье следует использовать 2FA

Итог: все дело в паролях

Если бы мне пришлось выбрать одну вещь, на которой я хотел бы сосредоточиться здесь, это были бы пароли пользователей.

Мы, как пользователи, должны хранить свои пароли в максимальной безопасности. Самый (относительно) простой способ сделать это - использовать какой-нибудь менеджер паролей, а затем позаботиться о том, чтобы никогда не использовать пароль повторно.

Да, это накладывает на нас бремя и имеет оттенок стыда жертвы. Однако я предпочитаю называть это ответственным пользователем.

Но еще одна вещь, которую Disney может (и должна) сделать, - это использовать такую ​​услугу, как Меня уговорили, который предоставляет API, чтобы узнать, пытается ли пользователь зарегистрироваться с уже взломанным адресом электронной почты и паролем. Итак, если бы я попытался зарегистрироваться с [email protected] а также TomRocks123 как мои полномочия, там было бы сказано: «Эй, это произошло в результате взлома MySpace в 2008 году, поэтому вы не можете использовать его здесь». (Фактически, это то, что Google уже встроил в свой браузер Chrome.)

Думаю, ответственность ложится на обе стороны. Нам нужно хранить свои пароли в безопасности. Но у Диснея тоже есть над чем поработать.