Wat is wachtwoordvulling en wat kunt u doen om uzelf ertegen te beschermen?

Credential Password Stuffing

Een gebruiker heeft een van hun online accounts gekaapt en het eerste wat ze zich afvragen is: 'Hoe hebben de hackers hun vuile handen op mijn wachtwoord gekregen?'. Ze zijn boos en willen antwoorden. Wanneer de antwoorden worden uitgesteld, raken ze nog gefrustreerder.

Het is een natuurlijke reactie, maar laten we even stoppen en nadenken over hoe het is aan de andere kant van het hek. Plaats uzelf in de schoenen van een dienstverlener.

Je hebt talloze blogposts, artikelen en onderzoeksdocumenten gelezen. Je hebt beveiligingsspecialisten zien uitleggen wat je wel en niet moet doen, en in tegenstelling tot veel andere online services, denk je niet dat een verklaring met de woorden "beveiliging" en "serieus" een hulpmiddel is om hordes boze mensen te kalmeren gebruikers. Uw verbinding is veilig, uw authenticatiesysteem zouten en hashes gebruikerswachtwoorden en slaat deze veilig op. Uw servers en alle softwaretoepassingen die u gebruikt, worden constant gemonitord en regelmatig gepatcht. En toch hebben honderden van uw gebruikers op de een of andere manier hun accounts aangetast, en u hebt geen idee hoe dat is gebeurd. Uw gebruikers zijn hoogstwaarschijnlijk het slachtoffer geworden van een opvallende aanval (of wachtwoord).

Lijdend aan de gevolgen van de veiligheidstekorten van iemand anders

Credential stuffing is de naam van een aanval in meerdere fasen die steeds populairder wordt. Het wordt mogelijk gemaakt door het feit dat veel te veel websites en online services niet genoeg doen om de gevoelige gegevens van gebruikers te beschermen. Inloggegevens worden bijvoorbeeld in platte tekst opgeslagen en de databases die ze invoeren worden zonder enige vorm van bescherming aan het World Wide Web blootgesteld.

Voor nog minder geavanceerde cybercriminelen is het hacken van deze websites kinderspel en ze proberen zoveel mogelijk inloggegevens te verzamelen. Uitgelekte gebruikersnamen en wachtwoorden worden ook regelmatig verhandeld op hackforums, wat goed nieuws is voor de cybercriminelen, omdat ze in de meeste gevallen gehackte databases van meerdere websites gebruiken om een enkele opvullende aanval uit te voeren.

Proberen om accounts te kapen door alle gebruikersnamen en wachtwoorden van één IP te typen, zal jaren duren en zal waarschijnlijk de vergrendelingsmechanismen op veel websites activeren. Daarom gebruiken de cybercriminelen botnets (groepen met computers en apparaten die zijn verbonden met internet) en scripts die bepalen of de gestolen inloggegevens werken. Ze proberen ze echter niet op de websites waarvan ze zijn gestolen.

Ze proberen ze op websites en online services, waar het binnendringen van een account veel lucratiever kan zijn. En omdat een groot aantal mensen hetzelfde wachtwoord gebruiken op meerdere websites, zijn de pogingen van de hackers vaak succesvol.

Is het eerlijk om alles aan de gebruiker te wijten?

De meeste gebruikers weten dat ze het niet moeten doen. Velen van hen weten dat oplossingen zoals Cyclonis Password Manager hen zullen helpen dit te vermijden. Toch blijven ze voor veel accounts identieke wachtwoorden gebruiken. Je zou kunnen zeggen dat zij de schuld zijn van het bestaan, en, meer specifiek, van de populariteit van aanvallen met referentiespanning.

De waarheid is echter dat iedereen zijn eigen gewicht moet trekken. Het feit dat een online forum geen betalingsinformatie opslaat, betekent niet dat de eigenaar de beveiliging moet verwaarlozen. Op dezelfde manier zou een gebruiker zich niet op zijn gemak moeten voelen, wetende dat dezelfde reeks letters en cijfers zowel zijn online bankaccount als een vergeten profiel op een sociaal netwerk beschermt dat niemand meer gebruikt. Iedereen moet zich bewust zijn van het probleem en moeten doen wat ze kunnen om het op te lossen.

Laten we echter realistisch zijn, hoe waarschijnlijk is het dat dit gebeurt?

Overweeg dit: het is eenvoudiger dan ooit om een website te maken. In een poging mensen ertoe te brengen zich aan te melden, zeggen marketingafdelingen over de hele wereld dat zelfs je grootmoeder het kan. Dit zal waarschijnlijk niet snel veranderen.

We realiseren ons dat er uitzonderingen zijn, maar meestal zijn grootmoeders niet het beste in staat om een systeem te ontwerpen dat is gericht op de beveiliging en privacy van de gebruiker. Helaas zal dit waarschijnlijk ook niet snel veranderen. Het is onvermijdelijk dat je op een dag je aanmeldt voor een website die de grootmoeder van iemand heeft ontworpen, en als je je wachtwoord opnieuw gebruikt, kom je al snel in een wereld van problemen terecht.

Dus, leuk vinden of niet, als gebruiker ligt de bal in uw baan.

November 5, 2019

Laat een antwoord achter