<div dir="ltr">Here's a way to put the data breaches in perspective for your company.<div><br></div><div>Imagine if 2% of those 500M Yahoo Users have an account on your site. That's 10M of your users that are potentially impacted. Now ask yourself how many users reuse passwords across multiple websites (it could be a strong password or a weak one, doesn't matter, is it reused?). Let's say 10% reuse passwords. 10% of 10M is 1M users that have passwords that are now exposed, just waiting to be abused by an attacker. How will your site handle 1 million compromised accounts?</div><div><br></div><div>You can change the numbers as you see fit. But the take away is that a breach of an unrelated website can lead to millions of your users at risk through automated reuse password attacks.</div><div><br></div><div><br></div></div><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><br>--<br>Michael Coates | <a href="https://twitter.com/intent/user?screen_name=_mwc" target="_blank">@_mwc</a><br></div><div>OWASP Global Board<br></div><div dir="ltr"><div><br></div><div><br></div><div><br><br></div></div></div></div></div></div></div></div></div>
<br><div class="gmail_quote">On Thu, Sep 22, 2016 at 12:04 PM, Dave Wichers <span dir="ltr"><<a href="mailto:dave.wichers@owasp.org" target="_blank">dave.wichers@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div>Hey: <a href="http://money.cnn.com/2016/09/22/technology/yahoo-data-breach/index.html" target="_blank">http://money.cnn.com/2016/09/<wbr>22/technology/yahoo-data-<wbr>breach/index.html</a> - 500M Yahoo User Accounts compromised. Wonder how many new valid username/password pairs are floating around the interweb.  All the more reason why Michael's post is important/timely.<br><br>The breach is said to have occurred in late 2014. "The account information may have included names, email addresses, 
telephone numbers, dates of birth, hashed passwords (the vast majority 
with bcrypt) and, in some cases, encrypted or unencrypted security 
questions and answers,"<span class="HOEnZb"><font color="#888888"><br></font></span></div><span class="HOEnZb"><font color="#888888"><div><br></div>-Dave<br><br></font></span></div><div class="gmail_extra"><br><div class="gmail_quote"><div><div class="h5">On Thu, Jun 23, 2016 at 12:41 PM, Michael Coates <span dir="ltr"><<a href="mailto:michael.coates@owasp.org" target="_blank">michael.coates@owasp.org</a>></span> wrote:<br></div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div class="h5"><div dir="ltr">Leaders,<div><br></div><div>I just sent a related note to the top 10 list, but thought it was warranted for discussion here too.</div><div><br></div><div>I feel like we have a major gap in our discussion of application risks. Specifically we think about implementation bugs and often forget design flaws.</div><div><br></div><div>The main example here is password reuse attacks. From my vantage point in my day job (and just watching the news of my peers) this is a major concern.</div><div><br></div><div>Here are 3 recent stories on this issue</div><div><a href="http://www.csoonline.com/article/3086942/security/linkedin-data-breach-blamed-for-multiple-secondary-compromises.html" target="_blank">http://www.csoonline.com/artic<wbr>le/3086942/security/linkedin-<wbr>data-breach-blamed-for-<wbr>multiple-secondary-compromises<wbr>.html</a></div><div><a href="http://krebsonsecurity.com/2016/06/password-re-user-get-to-get-busy/" target="_blank">http://krebsonsecurity.com/201<wbr>6/06/password-re-user-get-to-<wbr>get-busy/</a></div><div><a href="https://blog.twitter.com/2011/keeping-your-account-safe" target="_blank">https://blog.twitter.com/2011/<wbr>keeping-your-account-safe<br></a></div><div><br></div><div><div><div data-smartmail="gmail_signature"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div>What do others think? Is this getting the focus, discussion and attention it deserves? Are you talking about it at your companies or with your clients?</div><div><br></div><div><br></div><div>Quick note on the technical side of the password reuse attack</div><div><ul><li>With password reuse attacks a breach anywhere on the web can mean a breach of millions of users who reuse passwords</li><li>These attacks are always done with automation 100million breached in site A with a reusue rate on site B of 1% means 1million breached on site B</li><li>There aren't "easy" answers here - The attacks always come from a variety of IP addresses. Rate limiting isn't effective because it's 1 attempt per account from a new ip</li><li>You have to rely on additional authentication information or anti-automation (tradeoffs to both)</li><li>Making this a "user problem" and walking away is not realistic</li></ul></div><div dir="ltr"><br></div><div dir="ltr"><br>--<br>Michael Coates | <a href="https://twitter.com/intent/user?screen_name=_mwc" target="_blank">@_mwc</a><br></div><div><br></div><div dir="ltr"><div><br></div><div><br></div><div><br><br></div></div></div></div></div></div></div></div>
</div></div>
<br></div></div><span class="">______________________________<wbr>_________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" rel="noreferrer" target="_blank">https://lists.owasp.org/mailma<wbr>n/listinfo/owasp-leaders</a><br>
<br></span></blockquote></div><br></div>
</blockquote></div><br></div>