Kas yra slaptažodžių įklijavimas ir ką galite padaryti, kad apsisaugotumėte nuo to?

Credential Password Stuffing

Vartotojas užgrobė vieną iš savo internetinių paskyrų ir pirmiausia klausia savęs: „Kaip įsilaužėliai gavo nešvarias rankas ant mano slaptažodžio?“. Jie pyksta ir nori atsakymų. Kai atsakymai vėluoja, jie dar labiau nusivilia.

Tai natūrali reakcija, tačiau trumpam sustosime ir pagalvokime, kokia ji yra kitoje tvoros pusėje. Padėkite sau paslaugų teikėjo batus.

Perskaitėte daugybę tinklaraščių įrašų, straipsnių ir mokslinių darbų. Matėte, kaip saugumo specialistai aiškina, ko turėtumėte ir ko neturėtumėte daryti, ir, priešingai nei daugelis kitų internetinių paslaugų, nemanote, kad teiginys, kuriame yra žodžiai „saugumas“ ir „rimtai“, yra priemonė nuraminti piktų minias. vartotojų. Jūsų ryšys yra saugus, jūsų autentifikavimo sistema druskos ir maišo vartotojų slaptažodžius ir saugiai juos saugo. Jūsų serveriai ir visos jūsų naudojamos programinės įrangos programos yra nuolat stebimos ir reguliariai pataisomos. Ir vis dėlto kažkodėl šimtams jūsų vartotojų kilo pavojus jų paskyroms, ir jūs net neįsivaizduojate, kaip tai atsitiko. Jūsų vartotojai greičiausiai nukentėjo nuo kredencialų (ar slaptažodžio) įdaro išpuolių.

Kenčia dėl kažkieno saugumo trūkumų padarinių

Kredencialų įdaras yra daugiapakopės atakos, kuri tampa vis populiaresnė, pavadinimas. Tai tapo įmanoma dėl to, kad per daug svetainių ir internetinių paslaugų nepakankamai apsaugo slaptus vartotojų duomenis. Prisijungimo kredencialai, pavyzdžiui, saugomi paprastu tekstu, o jų įdėtos duomenų bazės yra saugomos pasauliniame žiniatinklyje be jokios apsaugos formos.

Dar mažiau sudėtingesnėms kibernetinėms programoms įsilaužimas į šias svetaines yra vaiko žaidimas ir jie bando išnaikinti kuo daugiau prisijungimo duomenų. Nutekėjusiais vartotojo vardais ir slaptažodžiais taip pat reguliariai prekiaujama įsilaužimų forumuose, o tai yra gera žinia kibernetiniams tinklalapiams, nes daugeliu atvejų jie naudoja nulaužtas duomenų bazes iš kelių svetainių, kad įvykdytų vieną kredencialų užpildymo ataką.

Bandymas užgrobti paskyras įrašant visus vartotojo vardus ir slaptažodžius iš vieno IP užtruks metus ir greičiausiai suaktyvins blokavimo mechanizmus daugelyje svetainių. Štai kodėl kibernetinėse juostose naudojami robotiniai tinklai (pažeistų kompiuterių ir prie interneto prijungtų prietaisų grupės) ir scenarijai, kurie nustato, ar pavogti dokumentai veikia. Tačiau jie net nemėgina jų svetainėse, iš kurių jie buvo pavogti.

Jie juos išbando svetainėse ir internetinėse paslaugose, kur pakenkti sąskaitai gali būti daug pelningiau. Kadangi daugybė žmonių naudoja tą patį slaptažodį keliose svetainėse, įsilaužėlių bandymai dažnai būna sėkmingi.

Ar teisinga visa tai kaltinti vartotoją?

Dauguma vartotojų žino, kad neturėtų to daryti. Daugelis jų žino, kad tokie sprendimai, kaip „ Cyclonis Password Manager“ , padės jiems to išvengti. Tačiau jie ir toliau naudoja identiškus slaptažodžius daugeliui paskyrų. Galite sakyti, kad jie kalti dėl egzistavimo, o konkrečiau - už kredencialų įdaro išpuolių populiarumą.

Tiesa ta, kad kiekvienas turi susitvarkyti savo svorį. Tai, kad internetiniame forume nėra jokios informacijos apie mokėjimą, dar nereiškia, kad jo savininkas turėtų nepaisyti saugumo. Panašiai, vartotojas neturėtų jaustis patogiai žinodamas, kad ta pati raidžių ir skaičių eilutė apsaugo tiek savo internetinės bankininkystės sąskaitą, tiek pamirštą profilį socialiniame tinkle, kurio niekas daugiau nenaudoja. Visi turėtų žinoti apie problemą ir padaryti viską, ką gali, kad ją išspręstų.

Vis dėlto būkime realistai, kaip tikėtina, kad tai įvyks?

Na, apsvarstykite tai: lengviau nei bet kada sukurti svetainę. Siekdami priversti žmones užsiregistruoti, rinkodaros skyriai visame pasaulyje sako, kad tai gali padaryti net tavo močiutė. Greičiausiai tai greitai nepasikeis.

Mes suprantame, kad yra išimčių, tačiau paprastai močiutės nėra pačios geriausios kvalifikuotos kurti sistemą, kurios pagrindą sudaro vartotojo saugumas ir privatumas. Deja, greičiausiai tai taip greitai nesikeis. Neišvengiamai vieną dieną jūs užregistruosite svetainę, kurią sukūrė kažkieno močiutė, ir jei pakartotinai panaudosite slaptažodį, netrukus pateksite į bėdų pasaulį.

Taigi, patinka vartotojui ar ne, kamuolys yra tavo aikštelėje.

November 5, 2019

Palikti atsakymą