Co to jest nadziewanie hasłem i co możesz zrobić, aby się przed nim zabezpieczyć?

Credential Password Stuffing

Użytkownik przechwycił jedno ze swoich kont internetowych, a pierwszą kwestią, którą sobie zadaje, jest: „W jaki sposób hakerzy dostali moje brudne ręce na moje hasło?”. Są źli i chcą odpowiedzi. Gdy odpowiedzi są opóźnione, stają się jeszcze bardziej sfrustrowane.

To naturalna reakcja, ale zatrzymajmy się na chwilę i zastanówmy się, jak to jest po drugiej stronie ogrodzenia. Postaw się w sytuacji usługodawcy.

Przeczytałeś niezliczone posty na blogach, artykuły i artykuły naukowe. Widziałeś, jak specjaliści ds. Bezpieczeństwa wyjaśniają, co powinieneś, a czego nie powinieneś robić, i w przeciwieństwie do wielu innych usług online, nie sądzisz, że stwierdzenie zawierające słowa „bezpieczeństwo” i „poważnie” jest narzędziem do uspokojenia hordy gniewu użytkownicy. Twoje połączenie jest bezpieczne, system uwierzytelniania wysyła i haszy hasła użytkowników i bezpiecznie je przechowuje. Twoje serwery i wszystkie używane aplikacje są stale monitorowane i regularnie łatane. A jednak w jakiś sposób setki użytkowników zostały naruszone, a nie masz pojęcia, jak to się stało. Użytkownicy najprawdopodobniej padli ofiarą ataku polegającego na wypełnieniu poświadczeń (lub haseł).

Cierpienie na konsekwencje cudzych niedociągnięć w zakresie bezpieczeństwa

Wypełnianie poświadczeń to nazwa wieloetapowego ataku, który staje się coraz bardziej popularny. Jest to możliwe dzięki temu, że zbyt wiele stron internetowych i usług online nie robi wystarczająco dużo, aby chronić wrażliwe dane użytkowników. Dane logowania są przechowywane na przykład w postaci zwykłego tekstu, a bazy danych, w których są umieszczone, są udostępniane w sieci WWW bez żadnej formy ochrony.

Dla jeszcze mniej wyrafinowanych cyberprzestępców włamanie się na te strony jest dziecinnie proste i starają się skrobać jak najwięcej danych logowania. Wyciekane nazwy użytkowników i hasła są również regularnie wymieniane na forach hakerskich, co jest dobrą wiadomością dla cyberprzestępców, ponieważ w większości przypadków używają zhakowanych baz danych z wielu stron internetowych do przeprowadzenia pojedynczego ataku polegającego na fałszowaniu danych uwierzytelniających.

Próba przejęcia kont przez wpisanie wszystkich nazw użytkowników i haseł z jednego adresu IP zajmie lata i prawdopodobnie wyzwoli mechanizmy blokowania na wielu stronach internetowych. Dlatego cyberprzestępcy używają botnetów (grup zainfekowanych komputerów i urządzeń podłączonych do Internetu) oraz skryptów, które określają, czy skradzione dane uwierzytelniające działają. Jednak nie próbują ich na stronach internetowych, z których zostały skradzione.

Wypróbowują je na stronach internetowych i usługach internetowych, w których włamanie na konto może być znacznie bardziej dochodowe. Ponieważ duża liczba osób używa tego samego hasła w wielu witrynach, próby hakerów często kończą się powodzeniem.

Czy można winić za to wszystko użytkownika?

Większość użytkowników wie, że nie powinni tego robić. Wielu z nich wie, że rozwiązania takie jak Cyclonis Password Manager pomogą im tego uniknąć. Nadal jednak używają identycznych haseł do wielu kont. Można powiedzieć, że są winni za istnienie, a dokładniej za popularność ataków polegających na wypełnianiu referencji.

Prawda jest jednak taka, że każdy musi dźwigać własne ciężary. Fakt, że forum internetowe nie przechowuje żadnych informacji o płatnościach, nie oznacza, że jego właściciel powinien zaniedbać bezpieczeństwo. W podobny sposób użytkownik nie powinien czuć się swobodnie, wiedząc, że ten sam ciąg liter i cyfr chroni zarówno konto bankowe online, jak i zapomniany profil w sieci społecznościowej, z którego nikt już nie korzysta. Każdy powinien zdawać sobie sprawę z problemu i zrobić wszystko, co w jego mocy, aby go naprawić.

Bądźmy jednak realistyczni, na ile prawdopodobne jest to?

Rozważ to: utworzenie strony internetowej jest łatwiejsze niż kiedykolwiek. Aby zachęcić ludzi do zarejestrowania się, działy marketingu na całym świecie mówią, że nawet twoja babcia może to zrobić. Jest mało prawdopodobne, że zmieni się to w najbliższym czasie.

Zdajemy sobie sprawę, że są wyjątki, ale zwykle babcie nie są najlepiej wykwalifikowane do zaprojektowania systemu skoncentrowanego na bezpieczeństwie i prywatności użytkownika. Niestety, prawdopodobnie nie zmieni się to w najbliższym czasie. Nieuchronnie pewnego dnia zakończysz rejestrację w witrynie zaprojektowanej przez czyjąś babcię, a jeśli użyjesz hasła, wkrótce znajdziesz się w świecie kłopotów.

Czy ci się to podoba, czy nie, jako użytkownik, piłka jest na twoim boisku.

November 5, 2019

Zostaw odpowiedź