パスワードスタッフィングとは何ですか?また、それに対して自分を守るために何ができますか?

Credential Password Stuffing

ユーザーがオンラインアカウントの1つをハイジャックし、最初に尋ねるのは、「ハッカーが私のパスワードをどのように手に入れたのですか?」です。彼らは怒っており、答えを求めています。返信が遅れると、さらにイライラします。

それは自然な反応ですが、ちょっと立ち止まって、フェンスの向こう側がどのようなものか考えてみましょう。サービスプロバイダーの立場になってください。

数え切れないほどのブログ記事、記事、研究論文を読んでいます。セキュリティスペシャリストがすべきこととすべきでないことを説明し、他の多くのオンラインサービスとは異なり、「セキュリティ」および「真剣に」という言葉を含む発言が怒りの大群を鎮めるためのツールであるとは思わないユーザー。接続は安全で、認証システムはユーザーのパスワードをソルトおよびハッシュし、安全に保存します。サーバーと使用するすべてのソフトウェアアプリケーションは常に監視され、定期的にパッチが適用されます。それでも、どういうわけか、何百人ものユーザーがアカウントを侵害されており、それがどのように起こったのかわかりません。ユーザーは、資格情報(またはパスワード)スタッフィング攻撃の犠牲になっている可能性が高いです。

他人のセキュリティ上の欠陥の結果に苦しむ

クレデンシャルスタッフィングは、ますます一般的になっているマルチステージ攻撃の名前です。これは、非常に多くのWebサイトやオンラインサービスでは、ユーザーの機密データを保護するのに十分ではないという事実によって可能になりました。たとえば、ログイン資格情報はプレーンテキストで保存され、入力されたデータベースは保護されずにWorld Wide Webに公開されます。

あまり洗練されていないサイバー詐欺師にとって、これらのWebサイトのハッキングは子供の遊びであり、可能な限り多くのログイン資格情報を盗もうとします。漏えいしたユーザー名とパスワードは、ハッキングフォーラムでも定期的に取引されています。これは、ほとんどの場合、複数のWebサイトのハッキングされたデータベースを使用して1つの資格情報スタッフ攻撃を仕掛けるサイバー犯罪者にとって朗報です。

1つのIPからすべてのユーザー名とパスワードを入力してアカウントをハイジャックしようとすると、何年もかかり、多くのWebサイトでロックアウトメカニズムを作動させる可能性があります。そのため、サイバー詐欺師はボットネット(侵入されたコンピューターとインターネットに接続されたデバイスのグループ)とスクリプトを使用して、盗まれた資格情報が機能するかどうかを判断します。しかし、彼らは盗まれたウェブサイトでそれらを試しません。

彼らは、アカウントの侵害がより有利になる可能性のあるWebサイトやオンラインサービスでそれらを試します。そして、非常に多くの人々が複数のウェブサイトで同じパスワードを使用しているため、ハッカーの試みはしばしば成功します。

すべてをユーザーのせいにするのは公平ですか?

ほとんどのユーザーは、やるべきではないことを知っています。彼らの多くは、 Cyclonis Password Managerのようなソリューションが回避に役立つことを知っています。それでも、多くのアカウントに同じパスワードを使用し続けています。存在、より具体的にはクレデンシャルスタッフィング攻撃の人気のせいだと言うかもしれません。

真実は、しかし、誰もが自分の体重を引く必要があります。オンラインフォーラムに支払い情報が保存されていないという事実は、その所有者がセキュリティを無視する必要があるという意味ではありません。同じように、ユーザーは同じ文字列と数字がオンラインバンキングアカウントと、誰も使用していないソーシャルネットワークの忘れられたプロファイルの両方を保護することを知って安心するべきではありません。誰もが問題を認識し、それを修正するためにできることをすべきです。

現実的に考えてみましょう、これはどのくらい起こりそうですか?

さて、これを考慮してください:ウェブサイトを作成することはこれまで以上に簡単です。人々にサインアップしてもらうために、世界中のマーケティング部門は、あなたの祖母でさえもできると言います。これはすぐに変更されることはほとんどありません。

例外があることは認識していますが、通常、祖母はユーザーのセキュリティとプライバシーを中心としたシステムを設計するのに最適ではありません。残念ながら、これはすぐに変更されることはほとんどありません。必然的に、ある日、誰かの祖母が設計したWebサイトにサインアップすることになり、パスワードを再利用すると、すぐにトラブルの世界に陥ります。

だから、好むと好まざるとにかかわらず、ユーザーとしてのボールはコートの中にあります。

November 5, 2019

返信を残す