Co to jest nadziewanie hasłem i co możesz zrobić, aby się przed nim zabezpieczyć?

Credential Password Stuffing

Użytkownik przechwycił jedno ze swoich kont internetowych, a pierwszą kwestią, którą sobie zadaje, jest: „W jaki sposób hakerzy dostali moje brudne ręce na moje hasło?”. Są źli i chcą odpowiedzi. Gdy odpowiedzi są opóźnione, stają się jeszcze bardziej sfrustrowane.

To naturalna reakcja, ale zatrzymajmy się na chwilę i zastanówmy się, jak to jest po drugiej stronie ogrodzenia. Postaw się w sytuacji usługodawcy.

Przeczytałeś niezliczone posty na blogach, artykuły i artykuły naukowe. Widziałeś, jak specjaliści ds. Bezpieczeństwa wyjaśniają, co powinieneś, a czego nie powinieneś robić, i w przeciwieństwie do wielu innych usług online, nie sądzisz, że stwierdzenie zawierające słowa „bezpieczeństwo” i „poważnie” jest narzędziem do uspokojenia hordy gniewu użytkownicy. Twoje połączenie jest bezpieczne, system uwierzytelniania wysyła i haszy hasła użytkowników i bezpiecznie je przechowuje. Twoje serwery i wszystkie używane aplikacje są stale monitorowane i regularnie łatane. A jednak w jakiś sposób setki użytkowników zostały naruszone, a nie masz pojęcia, jak to się stało. Użytkownicy najprawdopodobniej padli ofiarą ataku polegającego na wypełnieniu poświadczeń (lub haseł).

Cierpienie na konsekwencje cudzych niedociągnięć w zakresie bezpieczeństwa

Wypełnianie poświadczeń to nazwa wieloetapowego ataku, który staje się coraz bardziej popularny. Jest to możliwe dzięki temu, że zbyt wiele stron internetowych i usług online nie robi wystarczająco dużo, aby chronić wrażliwe dane użytkowników. Dane logowania są przechowywane na przykład w postaci zwykłego tekstu, a bazy danych, w których są umieszczone, są udostępniane w sieci WWW bez żadnej formy ochrony.

Dla jeszcze mniej wyrafinowanych cyberprzestępców włamanie się na te strony jest dziecinnie proste i starają się skrobać jak najwięcej danych logowania. Wyciekane nazwy użytkowników i hasła są również regularnie wymieniane na forach hakerskich, co jest dobrą wiadomością dla cyberprzestępców, ponieważ w większości przypadków używają zhakowanych baz danych z wielu stron internetowych do przeprowadzenia pojedynczego ataku polegającego na fałszowaniu danych uwierzytelniających.

Próba przejęcia kont przez wpisanie wszystkich nazw użytkowników i haseł z jednego adresu IP zajmie lata i prawdopodobnie wyzwoli mechanizmy blokowania na wielu stronach internetowych. Dlatego cyberprzestępcy używają botnetów (grup zainfekowanych komputerów i urządzeń podłączonych do Internetu) oraz skryptów, które określają, czy skradzione dane uwierzytelniające działają. Jednak nie próbują ich na stronach internetowych, z których zostały skradzione.

Wypróbowują je na stronach internetowych i usługach internetowych, w których włamanie na konto może być znacznie bardziej dochodowe. Ponieważ duża liczba osób używa tego samego hasła w wielu witrynach, próby hakerów często kończą się powodzeniem.

Czy można winić za to wszystko użytkownika?

Większość użytkowników wie, że nie powinni tego robić. Wielu z nich wie, że rozwiązania takie jak Cyclonis Password Manager pomogą im tego uniknąć. Nadal jednak używają identycznych haseł do wielu kont. Można powiedzieć, że są winni za istnienie, a dokładniej za popularność ataków polegających na wypełnianiu referencji.

Prawda jest jednak taka, że każdy musi dźwigać własne ciężary. Fakt, że forum internetowe nie przechowuje żadnych informacji o płatnościach, nie oznacza, że jego właściciel powinien zaniedbać bezpieczeństwo. W podobny sposób użytkownik nie powinien czuć się swobodnie, wiedząc, że ten sam ciąg liter i cyfr chroni zarówno konto bankowe online, jak i zapomniany profil w sieci społecznościowej, z którego nikt już nie korzysta. Każdy powinien zdawać sobie sprawę z problemu i zrobić wszystko, co w jego mocy, aby go naprawić.

Bądźmy jednak realistyczni, na ile prawdopodobne jest to?

Rozważ to: utworzenie strony internetowej jest łatwiejsze niż kiedykolwiek. Aby zachęcić ludzi do zarejestrowania się, działy marketingu na całym świecie mówią, że nawet twoja babcia może to zrobić. Jest mało prawdopodobne, że zmieni się to w najbliższym czasie.

Zdajemy sobie sprawę, że są wyjątki, ale zwykle babcie nie są najlepiej wykwalifikowane do zaprojektowania systemu skoncentrowanego na bezpieczeństwie i prywatności użytkownika. Niestety, prawdopodobnie nie zmieni się to w najbliższym czasie. Nieuchronnie pewnego dnia zakończysz rejestrację w witrynie zaprojektowanej przez czyjąś babcię, a jeśli użyjesz hasła, wkrótce znajdziesz się w świecie kłopotów.

Czy ci się to podoba, czy nie, jako użytkownik, piłka jest na twoim boisku.

Do Duran
November 5, 2019
Password Security
Polski
November 5, 2019
Password Security

Popularne posty

Microsoft ostrzega, że urzędnicy wspierani przez państwo...

4 days temu

Wykrywanie złośliwego oprogramowania Trojan Al11

11 months temu

Pinaview to w pełni funkcjonalna aplikacja adware

10 months temu

Wyskakujące okienka „Twój iCloud został zhakowany” i „Twój...

7 months temu

Co to jest Lucky Ransomware?

7 months temu

Oszustwo e-mailowe „American Express – zaktualizuj informacje...

6 months temu
Polski
Ładowanie...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Dom

Produkty

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Wsparcie

Pliki pomocy FAQ Downloads Inquiries & Support

Firma

O nas Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Polityka prywatności Polityka Cookie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows jest znakiem towarowym firmy Microsoft, zarejestrowanym w Stanach Zjednoczonych i innych krajach.
Mac, iPhone, iPad i App Store są znakami towarowymi firmy Apple Inc., zarejestrowanymi w Stanach Zjednoczonych i innych krajach.
iOS jest zastrzeżonym znakiem towarowym firmy Cisco Systems, Inc. i/lub jej oddziałów w Stanach Zjednoczonych i niektórych innych krajach.
Android i Google Play są znakami towarowymi firmy Google LLC.