O que é o Stuffing de Senha e o Que Você pode Fazer para se Proteger contra Ele?

Credential Password Stuffing

Um usuário tem uma de suas contas online sequestradas, e a primeira coisa que ele se pergunta é: 'Como os hackers conseguiram colocar as mãos na minha senha?'. Eles estão com raiva e querem respostas. Quando as respostas demoram, ele fica ainda mais frustrado.

É uma reação natural, mas vamos parar por um momento e pensar em como é estar do outro lado da cerca. Coloque-se no lugar de um provedor de serviços.

Você leu inúmeros posts, artigos e trabalhos de pesquisa. Você viu os especialistas em segurança explicando o que você deve e não deve fazer, e ao contrário de muitos outros serviços online, você não acha que uma declaração envolvendo as palavras "segurança" e "sério" é uma ferramenta para acalmar as hordas de usuários furiosos. Sua conexão é segura, seu sistema de autenticação salts ( adiciona um dado aleatório que é usado como uma entrada junto a uma senha ou algo semelhante em uma "função de mão única ", que gera como saída um hash) and hashes (criptografa)  as senhas dos usuários e as armazena com segurança. Os seus servidores e todos os aplicativos de software que você usa são monitorados constantemente e corrigidos regularmente. E, no entanto, de alguma forma, centenas de usuários tiveram as suas contas comprometidas, e você não tem ideia de como isso aconteceu. Esses usuários provavelmente foram vítimas de ataques de stuffing de credenciais (ou senhas).

Sofrendo as conseqüências das deficiências de segurança de outra pessoa

O stuffing de credencial é o nome de um ataque em vários estágios que está se tornando cada vez mais popular. Isso é possível pelo fato de que muitos sites e serviços on-line não fazem o suficiente para proteger os dados confidenciais dos usuários. As credenciais de login são armazenadas em texto simples, por exemplo, e os bancos de dados em que são inseridos são expostos na Web mundial sem qualquer forma de proteção.

Para os criminosos cibernéticos ainda menos sofisticados, hackear esses sites é brincadeira de criança e eles tentam obter o maior número possível de credenciais de login. Os nomes de usuários e senhas vazados são regularmente negociados em fóruns de hackers, o que é uma boa notícia para os criminosos virtuais, porque na maioria dos casos, eles usam bancos de dados hackeados de vários sites para preparar um único ataque de stuffing de credenciais.

Tentar seqüestrar contas digitando todos os nomes de usuários e senhas de um único IP levará anos e provavelmente tropeçará nos mecanismos de bloqueio em muitos sites. É por isso que os cibercriminosos usam botnets (grupos de computadores comprometidos e dispositivos conectados à Internet) e scripts que determinam se as credenciais roubadas funcionam. Todavia, eles não os experimentam nos sites dos quais foram roubados.

Eles os experimentam em sites e serviços on-line, onde o comprometimento de uma conta pode ser muito mais lucrativo.. E como um grande número de pessoas  usam a mesma senha em vários sites, as tentativas dos hackers geralmente são bem-sucedidas.

É justo culpar o usuário por isso tudo?

A maioria dos usuários sabe que eles não devem fazer isso. Muitos deles sabem que soluções como o Gerenciador de Senhas do Cyclonis irão ajudá-los a evitar isso. No entanto, eles continuam usando senhas idênticas para muitas contas. Você pode dizer que eles são os culpados pela existência e, mais especificamente, pela popularidade dos ataques de stuffing de credenciais.

A verdade é que, no entanto, todo mundo tem que trabalhar tão duro quanto as outras pessoas de um grupo. O fato de um fórum on-line não armazenar informações de pagamento não significa que o seu proprietário deva negligenciar a segurança. Da mesma forma, um usuário não deve se sentir confortável sabendo que a mesma sequência de letras e números protege tanto sua conta bancária online quanto um perfil esquecido em uma rede social que ninguém mais usa. Todos devem estar cientes do problema e devem fazer o que puderem para consertá-lo.

Porém, vamos ser realistas; qual a probabilidade disso acontecer?

Bom, considere isto: é mais fácil do que nunca criar um site. Em uma tentativa de conseguir que as pessoas se inscrevam, os departamentos de marketing de todo o mundo dizem que até mesmo a sua avó pode fazê-lo. É improvável que isso mude em breve.

Percebemos que há exceções, mas geralmente as avós não são as mais qualificadas para projetar um sistema centrado na segurança e na privacidade do usuário. Infelizmente, também é improvável que isso mude em breve. Inevitavelmente, um dia, você acabará se inscrevendo em um site que a avó de alguém criou e, se você reutilizar a sua senha, logo estará com um mundo de problemas.

Então, gostando ou não, como um usuário, a bola está na sua quadra.

November 13, 2018

Deixe uma Resposta

IMPORTANTE! Para poder prosseguir, você precisa resolver a seguinte conta.
Please leave these two fields as is:
O que é 4 + 3 ?