Τι είναι το Credential Stuffing; (και πώς να προστατεύσετε τον εαυτό σας)

Μια σιλουέτα ενός λουκέτου μπροστά από ένα λογότυπο Zoom.

Ink Drop/Shutterstock.com



Συνολικά υπάρχουν 500 εκατομμύρια λογαριασμοί Zoom προς πώληση στο dark web χάρη στη γέμιση διαπιστευτηρίων. Είναι ένας συνηθισμένος τρόπος για τους εγκληματίες να εισβάλλουν σε λογαριασμούς στο διαδίκτυο. Δείτε τι σημαίνει στην πραγματικότητα αυτός ο όρος και πώς μπορείτε να προστατεύσετε τον εαυτό σας.

Ξεκινά με βάσεις δεδομένων κωδικών πρόσβασης που έχουν διαρρεύσει

Οι επιθέσεις κατά των διαδικτυακών υπηρεσιών είναι συχνές. Οι εγκληματίες συχνά εκμεταλλεύονται ελαττώματα ασφαλείας στα συστήματα για να αποκτήσουν βάσεις δεδομένων με ονόματα χρήστη και κωδικούς πρόσβασης. Βάσεις δεδομένων κλεμμένων διαπιστευτηρίων σύνδεσης πωλούνται συχνά στο Διαδίκτυο στο ο σκοτεινός ιστός , με εγκληματίες να πληρώνουν Bitcoin για το δικαίωμα πρόσβασης στη βάση δεδομένων.





Ας υποθέσουμε ότι είχατε έναν λογαριασμό στο φόρουμ του Avast, το οποίο ήταν παραβιάστηκε το 2014 . Αυτός ο λογαριασμός παραβιάστηκε και οι εγκληματίες μπορεί να έχουν το όνομα χρήστη και τον κωδικό πρόσβασής σας στο φόρουμ του Avast. Η Avast επικοινώνησε μαζί σας και σας ζήτησε να αλλάξετε τον κωδικό πρόσβασής σας στο φόρουμ, οπότε ποιο είναι το πρόβλημα;

Δυστυχώς, το πρόβλημα είναι ότι πολλοί άνθρωποι επαναχρησιμοποιούν τους ίδιους κωδικούς πρόσβασης σε διαφορετικούς ιστότοπους. Ας υποθέσουμε ότι τα στοιχεία σύνδεσής σας στο φόρουμ του Avast ήταν you@example.com και AmazingPassword. Εάν έχετε συνδεθεί σε άλλους ιστότοπους με το ίδιο όνομα χρήστη (τη διεύθυνση email σας) και τον κωδικό πρόσβασης, οποιοσδήποτε εγκληματίας αποκτά τους κωδικούς πρόσβασής σας που διέρρευσαν μπορεί να αποκτήσει πρόσβαση σε αυτούς τους άλλους λογαριασμούς.



ΣΧΕΤΙΖΕΤΑΙ ΜΕ: Τι είναι το Dark Web;

Διαπιστευτήρια Γέμισμα σε Δράση

Το γέμισμα διαπιστευτηρίων περιλαμβάνει τη χρήση αυτών των βάσεων δεδομένων με στοιχεία σύνδεσης που διέρρευσαν και την προσπάθεια σύνδεσης με αυτές σε άλλες διαδικτυακές υπηρεσίες.

Διαφήμιση

Οι εγκληματίες παίρνουν μεγάλες βάσεις δεδομένων με συνδυασμούς ονομάτων χρήστη και κωδικών πρόσβασης που διέρρευσαν —συχνά εκατομμύρια διαπιστευτήρια σύνδεσης— και προσπαθούν να συνδεθούν με αυτές σε άλλους ιστότοπους. Μερικοί άνθρωποι επαναχρησιμοποιούν τον ίδιο κωδικό πρόσβασης σε πολλούς ιστότοπους, επομένως κάποιοι θα ταιριάζουν. Αυτό μπορεί γενικά να αυτοματοποιηθεί με λογισμικό, δοκιμάζοντας γρήγορα πολλούς συνδυασμούς σύνδεσης.



Για κάτι τόσο επικίνδυνο που ακούγεται τόσο τεχνικό, αυτό είναι το μόνο - να δοκιμάσετε τα διαπιστευτήρια που έχουν ήδη διαρρεύσει σε άλλες υπηρεσίες και να δείτε τι λειτουργεί. Με άλλα λόγια, οι χάκερ τοποθετούν όλα αυτά τα διαπιστευτήρια σύνδεσης στη φόρμα σύνδεσης και βλέπουν τι συμβαίνει. Μερικά από αυτά είναι σίγουρο ότι θα λειτουργήσουν.

Αυτό είναι ένα από τα πιο συνηθισμένοι τρόποι με τους οποίους οι εισβολείς χακάρουν διαδικτυακούς λογαριασμούς αυτές τις μέρες. Μόνο το 2018, το δίκτυο παράδοσης περιεχομένου Akamai κατέγραψε σχεδόν 30 δισεκατομμύρια επιθέσεις πλήρωσης διαπιστευτηρίων.

ΣΧΕΤΙΖΕΤΑΙ ΜΕ: Πώς οι εισβολείς «παραβιάζουν λογαριασμούς» στο διαδίκτυο και πώς να προστατεύσετε τον εαυτό σας

Πώς να προστατεύσετε τον εαυτό σας

Πολλαπλά κλειδιά δίπλα σε ανοιχτό λουκέτο.

Ruslan Grumble/Shutterstock.com

Η προστασία από το γέμισμα διαπιστευτηρίων είναι αρκετά απλή και περιλαμβάνει την τήρηση των ίδιων πρακτικών ασφαλείας κωδικών πρόσβασης που οι ειδικοί ασφαλείας συνιστούν εδώ και χρόνια. Δεν υπάρχει μαγική λύση - μόνο καλή υγιεινή του κωδικού πρόσβασης. Ιδού η συμβουλή:

    Αποφύγετε την επαναχρησιμοποίηση κωδικών πρόσβασης:Χρησιμοποιήστε έναν μοναδικό κωδικό πρόσβασης για κάθε λογαριασμό που χρησιμοποιείτε στο διαδίκτυο. Με αυτόν τον τρόπο, ακόμη και αν διαρρεύσει ο κωδικός πρόσβασής σας, δεν μπορεί να χρησιμοποιηθεί για είσοδο σε άλλους ιστότοπους. Οι εισβολείς μπορούν να προσπαθήσουν να γεμίσουν τα διαπιστευτήριά σας σε άλλες φόρμες σύνδεσης, αλλά δεν θα λειτουργήσουν. Χρησιμοποιήστε έναν διαχειριστή κωδικών πρόσβασης:Η απομνημόνευση ισχυρών μοναδικών κωδικών πρόσβασης είναι σχεδόν αδύνατη, εάν έχετε λογαριασμούς σε αρκετούς ιστότοπους, και σχεδόν όλοι έχουν. Συνιστούμε χρησιμοποιώντας έναν διαχειριστή κωδικών πρόσβασης αρέσει 1 Κωδικός πρόσβασης (πληρωμένο) ή Bitwarden (δωρεάν και ανοιχτού κώδικα) για να θυμάστε τους κωδικούς πρόσβασής σας για εσάς. Μπορεί ακόμη και να δημιουργήσει αυτούς τους ισχυρούς κωδικούς πρόσβασης από την αρχή. Ενεργοποίηση ελέγχου ταυτότητας δύο παραγόντων:Με έλεγχος ταυτότητας σε δύο βήματα , πρέπει να παρέχετε κάτι άλλο—όπως έναν κωδικό που δημιουργείται από μια εφαρμογή ή σας αποστέλλεται μέσω SMS—κάθε φορά που συνδέεστε σε έναν ιστότοπο. Ακόμα κι αν ένας εισβολέας έχει το όνομα χρήστη και τον κωδικό πρόσβασής σας, δεν θα μπορεί να συνδεθεί στον λογαριασμό σας εάν δεν έχει αυτόν τον κωδικό. Λάβετε ειδοποιήσεις κωδικού πρόσβασης που διέρρευσαν:Με μια υπηρεσία όπως Με έχουν κλέψει; , μπορείς λάβετε μια ειδοποίηση όταν τα διαπιστευτήριά σας εμφανίζονται σε διαρροή .

ΣΧΕΤΙΖΕΤΑΙ ΜΕ: Πώς να ελέγξετε εάν ο κωδικός πρόσβασής σας έχει κλαπεί

Πώς οι Υπηρεσίες μπορούν να προστατέψουν από το γέμισμα διαπιστευτηρίων

Ενώ τα άτομα πρέπει να αναλάβουν την ευθύνη για την ασφάλεια των λογαριασμών τους, υπάρχουν πολλοί τρόποι για τις διαδικτυακές υπηρεσίες να προστατεύονται από επιθέσεις πλήρωσης διαπιστευτηρίων.

    Σάρωση βάσεων δεδομένων που διέρρευσαν για κωδικούς πρόσβασης χρήστη:Facebook και Netflix έχουν σαρώσει διέρρευσαν βάσεις δεδομένων για κωδικούς πρόσβασης, διασταυρώνοντάς τους με τα διαπιστευτήρια σύνδεσης στις δικές τους υπηρεσίες. Εάν υπάρχει αντιστοιχία, το Facebook ή το Netflix μπορούν να ζητήσουν από τον δικό τους χρήστη να αλλάξει τον κωδικό πρόσβασής του. Αυτός είναι ένας τρόπος να νικήσετε τους διαπιστευματοδόχους στη γροθιά. Προσφέρετε έλεγχο ταυτότητας δύο παραγόντων:Οι χρήστες θα πρέπει να μπορούν να ενεργοποιούν τον έλεγχο ταυτότητας δύο παραγόντων για την ασφάλεια των διαδικτυακών τους λογαριασμών. Ιδιαίτερα ευαίσθητες υπηρεσίες μπορούν να το καταστήσουν υποχρεωτικό. Μπορούν επίσης να ζητήσουν από έναν χρήστη να κάνει κλικ σε έναν σύνδεσμο επαλήθευσης σύνδεσης σε ένα μήνυμα ηλεκτρονικού ταχυδρομείου για να επιβεβαιώσει το αίτημα σύνδεσης. Απαιτείται CAPTCHA:Εάν μια προσπάθεια σύνδεσης φαίνεται περίεργη, μια υπηρεσία μπορεί να απαιτεί την εισαγωγή ενός κωδικού CAPTCHA που εμφανίζεται σε μια εικόνα ή κάνοντας κλικ σε μια άλλη φόρμα για να επαληθεύσετε ότι ένας άνθρωπος —και όχι ένα bot— προσπαθεί να συνδεθεί. Περιορίστε τις επαναλαμβανόμενες προσπάθειες σύνδεσης: Οι υπηρεσίες θα πρέπει να προσπαθήσουν να αποκλείσουν τα bot από το να επιχειρήσουν μεγάλο αριθμό προσπαθειών σύνδεσης σε σύντομο χρονικό διάστημα. Τα σύγχρονα εξελιγμένα ρομπότ ενδέχεται να επιχειρήσουν να εισέλθουν από πολλές διευθύνσεις IP ταυτόχρονα για να συγκαλύψουν τις προσπάθειές τους για γέμιση διαπιστευτηρίων.

Οι κακές πρακτικές κωδικών πρόσβασης —και, για να είμαστε δίκαιοι, τα κακώς ασφαλή διαδικτυακά συστήματα που συχνά είναι πολύ εύκολο να παραβιαστούν— καθιστούν το γέμισμα διαπιστευτηρίων σοβαρό κίνδυνο για την ασφάλεια των διαδικτυακών λογαριασμών. Δεν είναι να απορεί κανείς πολλές εταιρείες στον κλάδο της τεχνολογίας θέλουν να οικοδομήσουν έναν πιο ασφαλή κόσμο χωρίς κωδικούς πρόσβασης .

ΣΧΕΤΙΖΕΤΑΙ ΜΕ: Η βιομηχανία τεχνολογίας θέλει να σκοτώσει τον κωδικό πρόσβασης. Ή το κάνει;

ΔΙΑΒΑΣΤΕ ΤΗ ΣΥΝΕΧΕΙΑ
  • › 5 ιστότοποι που κάθε χρήστης Linux πρέπει να προσθέτει σελιδοδείκτη
  • › Τι είναι το MIL-SPEC Drop Protection;
  • › Πώς να βρείτε το Spotify τυλιγμένο 2021
  • › Λειτουργίες έναντι τύπων στο Microsoft Excel: Ποια είναι η διαφορά;
  • › Ο φάκελος του υπολογιστή είναι 40: Πώς το Xerox Star δημιούργησε την επιφάνεια εργασίας
  • & rsaquo; Cyber ​​Monday 2021: Καλύτερες προσφορές τεχνολογίας
Φωτογραφία προφίλ για τον Chris Hoffman Κρις Χόφμαν
Ο Chris Hoffman είναι αρχισυντάκτης του How-To Geek. Έχει γράψει για την τεχνολογία για πάνω από μια δεκαετία και ήταν αρθρογράφος του PCWorld για δύο χρόνια. Ο Κρις έχει γράψει για τους New York Times, έχει πάρει συνεντεύξεις ως ειδικός στην τεχνολογία σε τηλεοπτικούς σταθμούς όπως το NBC 6 του Μαϊάμι και καλύφθηκε η δουλειά του από ειδησεογραφικά μέσα όπως το BBC. Από το 2011, ο Chris έχει γράψει πάνω από 2.000 άρθρα που έχουν διαβαστεί σχεδόν ένα δισεκατομμύριο φορές --- και αυτό είναι μόνο εδώ στο How-To Geek.
Διαβάστε το πλήρες βιογραφικό

Ενδιαφέροντα Άρθρα

Δημοφιλείς Αναρτήσεις

Πόσο χώρο χρειάζεστε για έναν προβολέα οικιακού κινηματογράφου;

Πόσο χώρο χρειάζεστε για έναν προβολέα οικιακού κινηματογράφου;

Δωρεάν λήψη: 160 χαλαρωτικοί ήχοι ειδοποιήσεων που κάνουν το τηλέφωνό σας λιγότερο ενοχλητικό

Δωρεάν λήψη: 160 χαλαρωτικοί ήχοι ειδοποιήσεων που κάνουν το τηλέφωνό σας λιγότερο ενοχλητικό

Πώς να εγκαταστήσετε το Mac OS X Lion σε HP ProBook (ή συμβατό φορητό υπολογιστή)

Πώς να εγκαταστήσετε το Mac OS X Lion σε HP ProBook (ή συμβατό φορητό υπολογιστή)

Πώς να εκκινήσετε μέσω δικτύου (PXE) Το Ubuntu LiveCD

Πώς να εκκινήσετε μέσω δικτύου (PXE) Το Ubuntu LiveCD

Πώς να χρησιμοποιήσετε το Delay, το Echo και το Reverb στο Audacity

Πώς να χρησιμοποιήσετε το Delay, το Echo και το Reverb στο Audacity

Πώς να αλλάξετε τους ήχους και τους κραδασμούς στο πληκτρολόγιο Google για Android

Πώς να αλλάξετε τους ήχους και τους κραδασμούς στο πληκτρολόγιο Google για Android

Πώς να στοιχίσετε έναν πίνακα οριζόντια στο Microsoft Word

Πώς να στοιχίσετε έναν πίνακα οριζόντια στο Microsoft Word

Είναι δυνατόν να επαναφέρετε το παλιό σύστημα προτάσεων ιστότοπου στον Firefox 43;

Είναι δυνατόν να επαναφέρετε το παλιό σύστημα προτάσεων ιστότοπου στον Firefox 43;

Πώς να εμφανίσετε, να αποκρύψετε και να αλλάξετε το χρώμα της σκίασης πεδίου σε ένα έγγραφο του LibreOffice Writer

Πώς να εμφανίσετε, να αποκρύψετε και να αλλάξετε το χρώμα της σκίασης πεδίου σε ένα έγγραφο του LibreOffice Writer

Τι νέο υπάρχει στο Chrome 90, διαθέσιμο τώρα

Τι νέο υπάρχει στο Chrome 90, διαθέσιμο τώρα