Hva er fylling av passord, og hva kan du gjøre for å beskytte deg mot det?

Credential Password Stuffing

En bruker har en av sine online kontoer kapret, og det første de spør seg selv er: 'Hvordan fikk hackerne sine skitne hender på passordet mitt?'. De er sinte og ønsker svar. Når svarene blir forsinket, blir de enda mer frustrerte.

Det er en naturlig reaksjon, men la oss stoppe et øyeblikk og tenke på hvordan det er på den andre siden av gjerdet. Legg deg selv i skoene til en leverandør.

Du har lest utallige blogginnlegg, artikler og forskningsartikler. Du har sett sikkerhetsspesialister forklare hva du bør og ikke bør gjøre, og i motsetning til mange andre online tjenester, tror du ikke at en uttalelse som involverer ordene "sikkerhet" og "seriøst" er et verktøy for å roe ned horder av sinte brukere. Forbindelsen din er sikker, godkjenningssystemet ditt salter og hasser brukerens passord og lagrer dem sikkert. Serverne dine og alle programvarene du bruker blir overvåket konstant og lappet regelmessig. Og likevel, på en eller annen måte, fikk hundrevis av brukerne dine kompromisser, og du aner ikke hvordan det skjedde. Brukerne dine har mest sannsynlig blitt offer for et legitimasjonsangrep (eller passord).

Lider konsekvensene av andres sikkerhetsmangler

Credential stuffing er navnet på et flertrinnsangrep som blir mer og mer populært. Det er muliggjort av at altfor mange nettsteder og online tjenester ikke gjør nok for å beskytte brukernes sensitive data. Innloggingsinformasjon er for eksempel lagret i ren tekst, og databasene de blir lagt inn blir utsatt for World Wide Web uten noen form for beskyttelse.

For enda mindre sofistikerte nettkroker er å hacking disse nettstedene barns lek, og de prøver å skrape så mange påloggingsinformasjon som mulig. Lekkede brukernavn og passord blir også jevnlig handlet på hackeforum, noe som er gode nyheter for cybercrooks fordi de i de fleste tilfeller bruker hacket databaser fra flere nettsteder for å utføre et enkelt legitimasjonsstoppangrep.

Å prøve å kapre kontoer ved å skrive inn alle brukernavn og passord fra en enkel IP-adresse vil ta år og vil sannsynligvis utløse lockout-mekanismene på mange nettsteder. Derfor bruker nettkrokerne botnett (grupper av kompromitterte datamaskiner og enheter koblet til internett) og skript som avgjør om de stjålne legitimasjonene fungerer. De prøver dem ikke på nettstedene de ble stjålet fra.

De prøver dem på nettsteder og online tjenester der det kan være mye mer lukrativt å kompromittere en konto. Og fordi et stort antall mennesker bruker det samme passordet på flere nettsteder, er hackernes forsøk ofte vellykkede.

Er det rettferdig å skylde på alt for brukeren?

De fleste brukere vet at de ikke burde gjøre det. Mange av dem vet at løsninger som Cyclonis Password Manager vil hjelpe dem å unngå det. Likevel fortsetter de å bruke identiske passord for mange kontoer. Du kan si at de har skylden for eksistensen, og nærmere bestemt for populariteten til legitimasjonsstoppningsangrep.

Sannheten er imidlertid at alle må trekke sin egen vekt. Det at et nettforum lagrer ingen betalingsinformasjon betyr ikke at eieren skal forsømme sikkerheten. På omtrent samme måte skal en bruker ikke føle seg komfortabel med å vite at den samme streng med bokstaver og tall beskytter både nettbankkontoen og en glemt profil i et sosialt nettverk som ingen bruker lenger. Alle skal være klar over problemet og bør gjøre det de kan for å fikse det.

La oss imidlertid være realistiske, hvor sannsynlig er det at dette skal skje?

Tenk på dette: det er enklere enn noen gang å opprette et nettsted. I et forsøk på å få folk til å registrere seg, sier markedsavdelinger over hele verden at selv bestemoren din kan gjøre det. Dette vil neppe endre seg snart.

Vi er klar over at det finnes unntak, men vanligvis er bestemødre ikke best kvalifiserte til å designe et system som er sentrert rundt brukerens sikkerhet og personvern. Dessverre vil det sannsynligvis ikke endre seg noe snart også. Uunngåelig, en dag, vil du ende opp med å registrere deg på et nettsted som noen bestemor har designet, og hvis du bruker passordet ditt igjen, vil du snart være i en verden av problemer.

Så som den eller ikke, som bruker, er ballen i din domstol.

November 5, 2019

Legg igjen et svar