Что такое ввод пароля и что вы можете сделать, чтобы защитить себя от него?

Credential Password Stuffing

У пользователя взломана одна из его учетных записей в Интернете, и первое, что он задает себе: «Как хакеры взяли мой грязный пароль на мой пароль?». Они злы и хотят ответов. Когда ответы задерживаются, они становятся еще более разочарованными.

Это естественная реакция, но давайте на мгновение остановимся и подумаем о том, как это выглядит на другой стороне забора. Поставьте себя на место поставщика услуг.

Вы читали бесчисленные посты в блогах, статьи и исследовательские работы. Вы видели, как специалисты по безопасности объясняют, что вы должны и чего не должны делать, и, в отличие от многих других онлайн-сервисов, вы не думаете, что утверждение, включающее слова «безопасность» и «серьезно», является инструментом для успокоения полчищ разгневанных пользователи. Ваше соединение защищено, ваша система аутентификации солит и хэширует пароли пользователей и надежно их хранит. Ваши серверы и все используемые вами программные приложения постоянно контролируются и регулярно обновляются. И все же сотни ваших пользователей каким-то образом взломали свои учетные записи, и вы не представляете, как это произошло. Ваши пользователи, скорее всего, стали жертвами атаки с использованием учетных данных (или пароля).

Страдать от последствий чужих недостатков безопасности

Заполнение учетными данными - это название многоэтапной атаки, которая становится все более популярной. Это стало возможным благодаря тому, что слишком много веб-сайтов и онлайн-сервисов недостаточно для защиты конфиденциальных данных пользователей. Например, учетные данные для входа хранятся в виде простого текста, а базы данных, в которые они помещены, открыты для Всемирной паутины без какой-либо защиты.

Для еще менее изощренных кибер-преступников взлом этих веб-сайтов - детская игра, и они пытаются собрать как можно больше учетных данных для входа. Утеченные имена пользователей и пароли также регулярно продаются на хакерских форумах, что является хорошей новостью для киберкруксов, поскольку в большинстве случаев они используют взломанные базы данных с нескольких веб-сайтов для проведения одной атаки с использованием учетных данных.

Попытка взлома учетных записей путем ввода всех имен пользователей и паролей с одного IP-адреса займет годы и, вероятно, отключит механизмы блокировки на многих веб-сайтах. Вот почему киберкруки используют бот-сети (группы скомпрометированных компьютеров и устройств, подключенных к Интернету) и сценарии, определяющие, работают ли украденные учетные данные. Они не пробуют их на сайтах, с которых их украли.

Они пробуют их на веб-сайтах и в онлайн-сервисах, где компрометация учетной записи может быть гораздо более прибыльной. А поскольку огромное количество людей используют один и тот же пароль на нескольких веб-сайтах, попытки хакеров часто оказываются успешными.

Справедливо ли винить в этом пользователя?

Большинство пользователей знают, что они не должны этого делать. Многие из них знают, что такие решения, как Cyclonis Password Manager , помогут им избежать этого. Тем не менее, они продолжают использовать идентичные пароли для многих учетных записей. Можно сказать, что они виноваты в существовании, а точнее в популярности атак с использованием учетных данных.

Правда, однако, каждый должен тянуть свой вес. Тот факт, что онлайн-форум не хранит платежную информацию, не означает, что его владелец должен пренебрегать безопасностью. Во многом таким же образом пользователь не должен чувствовать себя комфортно, зная, что одна и та же последовательность букв и цифр защищает как его учетную запись онлайн-банкинга, так и забытый профиль в социальной сети, которой больше никто не пользуется. Все должны знать о проблеме и делать все возможное, чтобы ее решить.

Давайте будем реалистами, однако, насколько вероятно, что это произойдет?

Хорошо, учтите это: создать сайт проще, чем когда-либо. В попытке заставить людей подписаться, отделы маркетинга во всем мире говорят, что даже ваша бабушка может сделать это. Это вряд ли изменится в ближайшее время.

Мы понимаем, что есть исключения, но, как правило, бабушки не обладают достаточной квалификацией для разработки системы, ориентированной на безопасность и конфиденциальность пользователя. К сожалению, это вряд ли изменится в ближайшее время. Неизбежно, однажды вы в конечном итоге зарегистрируетесь на веб-сайте, который разработал чей-то бабушка, и если вы повторно используете свой пароль, вы скоро окажетесь в мире проблем.

Так что, нравится вам это или нет, как пользователь, мяч находится на вашей площадке.

November 5, 2019

Оставьте Ответ