Cos'è il ripieno di password e cosa puoi fare per proteggerti da esso?

Credential Password Stuffing

Un utente ha dirottato uno dei suoi account online e la prima cosa che si chiede è: "Come hanno fatto gli hacker a mettere le mani sporche sulla mia password?". Sono arrabbiati e vogliono risposte. Quando le risposte vengono ritardate, diventano ancora più frustrate.

È una reazione naturale, ma fermiamoci un attimo e pensiamo a com'è dall'altra parte della barriera. Mettiti nei panni di un fornitore di servizi.

Hai letto innumerevoli post di blog, articoli e articoli di ricerca. Hai visto specialisti della sicurezza spiegare cosa dovresti e non dovresti fare e, a differenza di molti altri servizi online, non pensi che una dichiarazione che includa le parole "sicurezza" e "seriamente" sia uno strumento per calmare orde di rabbia utenti. La tua connessione è sicura, il tuo sistema di autenticazione salta e hash le password degli utenti e le memorizza in modo sicuro. I server e tutte le applicazioni software utilizzate vengono costantemente monitorati e sottoposti a patch. Eppure, in qualche modo, centinaia di utenti hanno compromesso i loro account e non hai idea di come sia successo. È molto probabile che i tuoi utenti siano caduti vittima di un attacco di riempimento delle credenziali (o della password).

Soffrire le conseguenze delle carenze di sicurezza di qualcun altro

Il ripieno di credenziali è il nome di un attacco in più fasi che sta diventando sempre più popolare. È reso possibile dal fatto che troppi siti Web e servizi online non fanno abbastanza per proteggere i dati sensibili degli utenti. Le credenziali di accesso sono archiviate in testo semplice, ad esempio, e i database in cui sono inseriti sono esposti al World Wide Web senza alcuna forma di protezione.

Per i cybercrook ancora meno sofisticati, l'hacking di questi siti Web è un gioco da ragazzi e cercano di ottenere il maggior numero possibile di credenziali di accesso. I nomi utente e le password trapelati vengono regolarmente scambiati anche nei forum di hacking, il che è una buona notizia per i cybercrook perché, nella maggior parte dei casi, usano database hackerati da più siti Web per organizzare un singolo attacco di ripieno di credenziali.

Cercare di dirottare gli account digitando tutti i nomi utente e le password da un singolo IP richiederà anni e probabilmente farà scattare i meccanismi di blocco su molti siti Web. Ecco perché i cybercrook usano botnet (gruppi di computer e dispositivi compromessi collegati a Internet) e script che determinano se le credenziali rubate funzionano. Tuttavia, non li provano sui siti Web da cui sono stati rubati.

Li provano su siti Web e servizi online in cui compromettere un account potrebbe essere molto più redditizio. E poiché un vasto numero di persone utilizza la stessa password su più siti Web, i tentativi degli hacker hanno spesso successo.

È giusto dare la colpa a tutto l'utente?

La maggior parte degli utenti sa che non dovrebbe farlo. Molti di loro sanno che soluzioni come Cyclonis Password Manager li aiuteranno ad evitarlo. Tuttavia, continuano a utilizzare password identiche per molti account. Potresti dire che sono da biasimare per l'esistenza e, più specificamente, per la popolarità degli attacchi di riempimento delle credenziali.

La verità è, tuttavia, ognuno deve tirare il proprio peso. Il fatto che un forum online non memorizzi informazioni di pagamento non significa che il suo proprietario debba trascurare la sicurezza. Allo stesso modo, un utente non dovrebbe sentirsi a proprio agio sapendo che la stessa stringa di lettere e numeri protegge sia il proprio conto bancario online sia un profilo dimenticato su un social network che nessuno utilizza più. Tutti dovrebbero essere consapevoli del problema e dovrebbero fare il possibile per risolverlo.

Siamo realistici, tuttavia, quanto è probabile che accada?

Bene, considera questo: è più facile che mai creare un sito web. Nel tentativo di convincere le persone a iscriversi, i dipartimenti di marketing di tutto il mondo dicono che anche tua nonna può farlo. È improbabile che questo cambi presto.

Ci rendiamo conto che ci sono eccezioni, ma di solito le nonne non sono le più qualificate per progettare un sistema incentrato sulla sicurezza e la privacy dell'utente. Purtroppo, è improbabile che questo cambi presto. Inevitabilmente, un giorno, ti ritroverai ad iscriverti a un sito Web che qualcuno ha progettato la nonna e, se riutilizzerai la tua password, sarai presto in un mondo di problemi.

Quindi, piaccia o no, come utente, la palla è nel tuo campo.

November 5, 2019

Lascia un Commento