官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
据Bleeping Computer网站消息,刚刚发布的Windows 11 22H2版本附带了一项名为增强网络钓鱼防护的新安全功能,当用户在不安全的应用程序或网站上输入 Windows 密码时会发出警告。
在既往的钓鱼攻击中,Windows 登录凭证往往是高价值目标,凭借这些账号,攻击者能够访问内部公司网络以进行数据盗窃或勒索软件攻击。这些密码通常是通过网络钓鱼攻击或用户将密码保存在不安全的应用程序(如文字处理器、文本编辑器和电子表格)中获得。甚至在某些情况下,在网络钓鱼登录表单中输入了密码,即使没有提交,也会被攻击者成功窃取。
根据微软安全产品经理Sinclaire Hamilton的说法,在Windows 11 22H2版本中,微软通过“SmartScreen”可以识别并防止用户在已经“记录在案”的钓鱼网站或连接到钓鱼网站的应用程序上输入密码、密码在任何应用程序或网站上进行重复使用,以及在记事本、写字板或 Microsoft 365 应用程序中输入密码。
虽然在Windows 11 22H2中默认启用网络钓鱼防护,但保护密码的选项需要手动开启。用户需要在开始>设置>隐私和安全> Windows 安全>应用和浏览器控制 > 基于信誉的保护中进行设置,这时用户将看到分别标有“警告我密码重用”和“警告我密码存储不安全”两种选项,都启用后,当用户在一个网站上输入Windows密码时,会提示“密码重用”的警告,无论它是一个钓鱼网站还是一个合法网站;而当用户在记事本、写字板和Microsoft Office 等应用程序中输入密码并按回车键时,会提示"密码存储不安全 "的警告。
Bleeping Computer对其进行了测试,发现在记事本中输入密码并按下回车键,Windows 11 就会显示一条警告,指出“将密码存储在此应用程序中不安全”,并建议将密码从文件中删除。
在记事本中输入密码时出现 Windows 11 警告
Bleeping Computer还尝试使用 Google Chrome 和 Microsoft Edge通过Windows 密码登录 Twitter,从而测试密码重用功能。在输入密码后,Windows 11 会显示以下警告,提示更改 Windows 密码。但这一功能在Mozilla Firefox中还不能奏效。
Windows 11 关于网站密码重用的警告
总体而言,对于 Windows 用户来说这是一项出色的新安全功能,强烈建议用户将其开启保护自己免受网络钓鱼攻击。
参考来源:Windows 11 now warns when typing your password in Notepad, websites