Τι είναι ο συμπίεση του κωδικού πρόσβασης και τι μπορείτε να κάνετε για να προστατεύσετε τον εαυτό σας ενάντια σε αυτό;

Credential Password Stuffing

Ένας χρήστης έχει έναν από τους σε απευθείας σύνδεση λογαριασμούς του πειραστεί, και το πρώτο πράγμα που θέτουν οι ίδιοι είναι: «Πώς οι χάκερ παίρνουν τα βρώμικα χέρια τους στον κωδικό μου;». Είναι θυμωμένοι και θέλουν απαντήσεις. Όταν οι απαντήσεις καθυστερούν, γίνονται ακόμα πιο απογοητευμένοι.

Είναι μια φυσική αντίδραση, αλλά ας σταματήσουμε για μια στιγμή και σκεφτείτε τι είναι όπως στην άλλη πλευρά του φράχτη. Βάλτε τον εαυτό σας στα παπούτσια ενός παρόχου υπηρεσιών.

Έχετε διαβάσει αναρίθμητες αναρτήσεις ιστολογίου, άρθρα και ερευνητικά έγγραφα. Έχετε δει τους ειδικούς ασφαλείας να σας εξηγήσουν τι πρέπει και τι δεν πρέπει να κάνετε και αντίθετα με πολλές άλλες ηλεκτρονικές υπηρεσίες, δεν νομίζετε ότι μια δήλωση που περιλαμβάνει τις λέξεις "ασφάλεια" και "σοβαρά" είναι ένα εργαλείο για να καθησυχάσετε ορδές θυμωμένος χρήστες. Η σύνδεσή σας είναι ασφαλής, τα άλατα του συστήματος ελέγχου ταυτότητας και οι κωδικοί πρόσβασης των χρηστών και τα αποθηκεύουν με ασφάλεια. Οι διακομιστές σας και όλες οι εφαρμογές λογισμικού που χρησιμοποιείτε παρακολουθούνται συνεχώς και διορθώνονται τακτικά. Και όμως, μερικές φορές, εκατοντάδες χρήστες σας έφεραν τους λογαριασμούς τους σε κίνδυνο και δεν έχετε ιδέα πώς συνέβη αυτό. Οι χρήστες σας έχουν πιθανώς πέσει θύμα επίθεσης επίπληξης με πιστοποίηση (ή κωδικό πρόσβασης).

Υποφέροντας τις συνέπειες των ελλείψεων ασφάλειας κάποιου άλλου

Η παραλαβή των διαπιστευτηρίων είναι το όνομα μιας επίθεσης πολλαπλών σταδίων που γίνεται όλο και πιο δημοφιλής. Αυτό καθίσταται δυνατό από το γεγονός ότι πάρα πολλές ιστοσελίδες και ηλεκτρονικές υπηρεσίες δεν κάνουν αρκετά για να προστατεύσουν τα ευαίσθητα δεδομένα των χρηστών. Τα διαπιστευτήρια σύνδεσης αποθηκεύονται σε απλό κείμενο, για παράδειγμα, και οι βάσεις δεδομένων στις οποίες είναι τοποθετημένες εκτίθενται στο World Wide Web χωρίς καμία μορφή προστασίας.

Για ακόμη λιγότερο εξελιγμένα cybercrooks, hacking αυτών των ιστότοπων είναι παιχνίδι παιδιού, και προσπαθούν να ξύσει όσο το δυνατόν περισσότερα διαπιστευτήρια σύνδεσης. Τα διαδεδομένα ονόματα χρηστών και κωδικοί πρόσβασης διακινούνται τακτικά σε φόρουμ πειρατείας, κάτι που αποτελεί καλή είδηση για τα cybercrooks, διότι στις περισσότερες περιπτώσεις χρησιμοποιούν hacked βάσεις δεδομένων από πολλαπλές ιστοσελίδες για να οργανώσουν μια ενιαία επίθεση γεμάτη πιστοποίηση.

Η προσπάθεια να καταλάβετε λογαριασμούς πληκτρολογώντας όλα τα ονόματα χρηστών και τους κωδικούς πρόσβασης από μια ενιαία διεύθυνση IP θα διαρκέσει χρόνια και πιθανόν να οδηγήσει τους μηχανισμούς αποκλεισμού σε πολλούς ιστότοπους. Αυτός είναι ο λόγος για τον οποίο τα cybercrooks χρησιμοποιούν botnets (ομάδες συμβιβασμένων υπολογιστών και συσκευών που συνδέονται με το Διαδίκτυο) και σενάρια που καθορίζουν εάν τα κλεμμένα διαπιστευτήρια λειτουργούν. Δεν τα δοκιμάζουν στις ιστοσελίδες από τις οποίες είχαν κλαπεί, όμως.

Τους δοκιμάζουν σε ιστότοπους και σε διαδικτυακές υπηρεσίες όπου ο συμβιβασμός ενός λογαριασμού μπορεί να είναι πολύ πιο προσοδοφόρος. Και επειδή ένας μεγάλος αριθμός ατόμων χρησιμοποιεί τον ίδιο κωδικό πρόσβασης σε πολλούς ιστότοπους, οι προσπάθειες των χάκερ είναι συχνά επιτυχείς.

Είναι δίκαιο να κατηγορούμε όλοι τον χρήστη;

Οι περισσότεροι χρήστες γνωρίζουν ότι δεν πρέπει να το κάνουν. Πολλοί από αυτούς γνωρίζουν ότι λύσεις όπως το Cyclonis Password Manager θα τους βοηθήσουν να το αποφύγουν. Ωστόσο, εξακολουθούν να χρησιμοποιούν ταυτόσημους κωδικούς πρόσβασης για πολλούς λογαριασμούς. Θα μπορούσατε να πείτε ότι είναι υπεύθυνοι για την ύπαρξη και, πιο συγκεκριμένα, για τη δημοτικότητα των επιθετικών γροθιές.

Η αλήθεια είναι, ωστόσο, ότι όλοι πρέπει να τραβήξουν το βάρος τους. Το γεγονός ότι ένα ηλεκτρονικό φόρουμ δεν αποθηκεύει πληροφορίες πληρωμής δεν σημαίνει ότι ο ιδιοκτήτης του θα πρέπει να παραμελεί την ασφάλεια. Με τον ίδιο τρόπο, ο χρήστης δεν πρέπει να αισθάνεται άνετα γνωρίζοντας ότι η ίδια σειρά γραμμάτων και αριθμών προστατεύει τόσο τον τραπεζικό τους λογαριασμό όσο και ένα ξεχασμένο προφίλ σε ένα κοινωνικό δίκτυο που κανείς δεν χρησιμοποιεί πια. Όλοι πρέπει να γνωρίζουν το πρόβλημα και πρέπει να κάνουν ό, τι μπορούν για να το διορθώσουν.

Ας είμαστε ρεαλιστές, όμως, πόσο πιθανό είναι να συμβεί αυτό;

Λοιπόν, σκεφτείτε αυτό: είναι ευκολότερο από ποτέ να δημιουργήσετε έναν ιστότοπο. Σε μια προσπάθεια να πάρουν τους ανθρώπους να εγγραφούν, τα τμήματα μάρκετινγκ σε όλο τον κόσμο λένε ότι ακόμη και η γιαγιά σας μπορεί να το κάνει. Αυτό είναι απίθανο να αλλάξει οποιαδήποτε στιγμή σύντομα.

Αντιλαμβανόμαστε ότι υπάρχουν εξαιρέσεις, αλλά συνήθως οι γιαγιάδες δεν είναι οι πλέον κατάλληλες για να σχεδιάσουν ένα σύστημα που επικεντρώνεται γύρω από την ασφάλεια και το απόρρητο του χρήστη. Δυστυχώς, αυτό είναι απίθανο να αλλάξει οποιαδήποτε στιγμή σύντομα, όπως καλά. Αναπόφευκτα, μια μέρα, θα καταλήξετε να εγγραφείτε για μια ιστοσελίδα που σχεδίασε η γιαγιά κάποιου και αν επαναχρησιμοποιήσετε τον κωδικό σας, σύντομα θα βρίσκεστε σε έναν κόσμο προβληματικής.

Έτσι, όπως ή όχι, ως χρήστης, η μπάλα βρίσκεται στο γήπεδο σας.

November 5, 2019

Αφήστε μια απάντηση