Hvad er fyldning af kodeord, og hvad kan du gøre for at beskytte dig mod det?

Credential Password Stuffing

En bruger har en af deres onlinekonti kapret, og den første ting, de spørger sig selv, er: 'Hvordan fik hackerne deres beskidte hænder på mit kodeord?'. De er vrede, og de vil have svar. Når svarene er forsinket, bliver de endnu mere frustrerede.

Det er en naturlig reaktion, men lad os stoppe et øjeblik og tænke over, hvordan det er på den anden side af hegnet. Sæt dig selv i skoene fra en tjenesteudbyder.

Du har læst utallige blogindlæg, artikler og forskningsartikler. Du har set sikkerhedsspecialister forklare, hvad du skal og ikke skulle gøre, og i modsætning til mange andre onlinetjenester, tror du ikke, at en erklæring, der involverer ordene "sikkerhed" og "seriøst", er et værktøj til at berolige horder af vrede brugere. Din forbindelse er sikker, dit godkendelsessystem salter og hascher brugeres adgangskoder og gemmer dem sikkert. Dine servere og alle de softwareapplikationer, du bruger, overvåges konstant og patches regelmæssigt. Og alligevel fik hundreder af dine brugere på en eller anden måde kompromitteret deres konti, og du har ingen idé om, hvordan det skete. Dine brugere er sandsynligvis blevet offer for et udskrivningsangreb (eller adgangskode).

Lidelse af konsekvenserne af en andens sikkerhedsmangler

Credential stuffing er navnet på et flertrinsangreb, der bliver mere og mere populært. Det muliggøres ved, at alt for mange websteder og onlinetjenester ikke gør nok for at beskytte brugernes følsomme data. Loginoplysninger gemmes f.eks. I almindelig tekst, og databaserne, de sættes i, udsættes for World Wide Web uden nogen form for beskyttelse.

For endnu mindre sofistikerede cybercrooks er hackning af disse websteder børns leg, og de prøver at skrabe så mange login-legitimationsoplysninger som muligt. Lækkede brugernavne og adgangskoder handles også regelmæssigt på hackingfora, hvilket er en god nyhed for cybercrooks, fordi de i de fleste tilfælde bruger hackede databaser fra flere websteder til at udføre et enkelt legitimationsstoppningsangreb.

Forsøg på at kapre konti ved at skrive alle brugernavne og adgangskoder fra en enkelt IP vil tage år og vil sandsynligvis udløse lockout-mekanismerne på mange websteder. Derfor bruger cybercrooks botnets (grupper af kompromitterede computere og enheder, der er forbundet til internettet) og scripts, der bestemmer, om de stjålne legitimationsoplysninger fungerer. De prøver dog ikke dem på de websteder, hvorfra de blev stjålet.

De prøver dem på websteder og onlinetjenester, hvor kompromis med en konto kan være meget mere indbringende. Og fordi et stort antal mennesker bruger den samme adgangskode på tværs af flere websteder, er hackernes forsøg ofte vellykkede.

Er det rimeligt at skylde det hele på brugeren?

De fleste brugere ved, at de ikke burde gøre det. Mange af dem ved, at løsninger som Cyclonis Password Manager vil hjælpe dem med at undgå det. Alligevel bruger de fortsat identiske adgangskoder til mange konti. Du kan måske sige, at de har skylden for eksistensen og mere specifikt for populariteten af legitimationsudstoppningsangreb.

Sandheden er dog, at alle er nødt til at trække deres egen vægt. Det faktum, at et online forum ikke gemmer nogen betalingsoplysninger, betyder ikke, at dets ejer skal forsømme sikkerheden. På samme måde skal en bruger ikke føle sig godt tilpas ved at vide, at den samme streng med bogstaver og tal beskytter både deres online bankkonto og en glemt profil på et socialt netværk, som ingen bruger mere. Alle skal være opmærksomme på problemet og skulle gøre, hvad de kan for at løse det.

Lad os være realistiske, hvor sandsynligt er det at ske?

Overvej dette: det er lettere end nogensinde at oprette et websted. I et forsøg på at få folk til at tilmelde siger marketingafdelinger overalt i verden, at selv din bedstemor kan gøre det. Dette vil sandsynligvis ikke ændre sig snart.

Vi er klar over, at der er undtagelser, men som regel er bedstemødre ikke bedst kvalificerede til at designe et system, der er centreret omkring brugerens sikkerhed og privatliv. Desværre ændrer det sig sandsynligvis ikke nogen tid snart. Uundgåeligt en dag vil du ende med at tilmelde dig et websted, som andres bedstemor har designet, og hvis du genbruger din adgangskode, vil du snart være i en verden af problemer.

Så ligesom det eller ej, som bruger er bolden i din domstol.

November 5, 2019

Efterlad et Svar