Hva er credential stuffing? (og hvordan du kan beskytte deg selv)

En silhuett av en hengelås foran en Zoom-logo.

Blekkdråpe/Shutterstock.com



Det er totalt 500 millioner Zoom-kontoer til salgs på det mørke nettet takket være legitimasjonsfylling. Det er en vanlig måte for kriminelle å bryte seg inn på kontoer på nettet. Her er hva det begrepet faktisk betyr og hvordan du kan beskytte deg selv.

Det starter med lekkede passorddatabaser

Angrep mot nettjenester er vanlig. Kriminelle utnytter ofte sikkerhetsfeil i systemer for å skaffe databaser med brukernavn og passord. Databaser med stjålne påloggingsinformasjon selges ofte online på det mørke nettet , med kriminelle som betaler inn Bitcoin for å få tilgang til databasen.





La oss si at du hadde en konto på Avast-forumet, som var brutt tilbake i 2014 . Den kontoen ble brutt, og kriminelle kan ha brukernavnet og passordet ditt på Avast-forumet. Avast kontaktet deg og fikk endret forumpassordet ditt, så hva er problemet?

Dessverre er problemet at mange gjenbruker de samme passordene på forskjellige nettsider. La oss si at påloggingsdetaljene dine for Avast-forumet var you@example.com og AmazingPassword. Hvis du logget på andre nettsteder med samme brukernavn (din e-postadresse) og passord, kan enhver kriminell som skaffer deg lekkede passord få tilgang til de andre kontoene.



I SLEKT: Hva er det mørke nettet?

Credential Stuffing i aksjon

Legitimasjonsfylling innebærer å bruke disse databasene med lekkede påloggingsdetaljer og prøve å logge på med dem på andre nettjenester.

Annonse

Kriminelle tar store databaser med lekkede kombinasjoner av brukernavn og passord – ofte millioner av påloggingsinformasjon – og prøver å logge på med dem på andre nettsteder. Noen mennesker gjenbruker det samme passordet på flere nettsteder, så noen vil matche. Dette kan generelt automatiseres med programvare, og prøver raskt mange påloggingskombinasjoner.



For noe så farlig som høres så teknisk ut, det er alt det er – å prøve allerede lekket legitimasjon på andre tjenester og se hva som fungerer. Med andre ord, hackere fyller alle disse påloggingsopplysningene inn i påloggingsskjemaet og ser hva som skjer. Noen av dem vil garantert fungere.

Dette er en av de mest vanlige måter angripere hacker nettkontoer på disse dager. Bare i 2018, innholdsleveringsnettverket Akamai logget nesten 30 milliarder legitimasjonsfyllende angrep.

I SLEKT: Hvordan angripere faktisk 'hakker kontoer' på nettet og hvordan du kan beskytte deg selv

Hvordan beskytte deg selv

Flere nøkler ved siden av en åpen hengelås.

Ruslan Grumble/Shutterstock.com

Å beskytte deg selv mot fylling av legitimasjon er ganske enkelt og innebærer å følge de samme rutinene for passordsikkerhet som sikkerhetseksperter har anbefalt i årevis. Det er ingen magisk løsning – bare god passordhygiene. Her er rådet:

    Unngå gjenbruk av passord:Bruk et unikt passord for hver konto du bruker på nettet. På den måten, selv om passordet ditt lekker, kan det ikke brukes til å logge på andre nettsteder. Angripere kan prøve å fylle inn legitimasjonen din i andre påloggingsskjemaer, men de vil ikke fungere. Bruk en passordbehandling:Å huske sterke unike passord er en nesten umulig oppgave hvis du har kontoer på ganske mange nettsteder, og nesten alle gjør det. Vi anbefaler ved å bruke en passordbehandler som 1Passord (betalt) eller Bitwarden (gratis og åpen kildekode) for å huske passordene dine for deg. Det kan til og med generere de sterke passordene fra bunnen av. Aktiver tofaktorautentisering:Med to-trinns autentisering , må du oppgi noe annet – som en kode generert av en app eller sendt til deg via SMS – hver gang du logger på et nettsted. Selv om en angriper har brukernavnet og passordet ditt, vil de ikke kunne logge på kontoen din hvis de ikke har den koden. Få lekkede passordvarsler:Med en tjeneste som Har jeg blitt pwned? , du kan få et varsel når legitimasjonen din vises i en lekkasje .

I SLEKT: Hvordan sjekke om passordet ditt er stjålet

Hvordan tjenester kan beskytte mot legitimasjonsfylling

Mens enkeltpersoner må ta ansvar for å sikre kontoene sine, er det mange måter for nettjenester å beskytte seg mot angrep på legitimasjon.

    Skann lekke databaser for brukerpassord:Facebook og Netflix har skannet lekket databaser for passord, kryssreferanser dem mot påloggingsinformasjon på deres egne tjenester. Hvis det er en kamp, ​​kan Facebook eller Netflix be sin egen bruker om å endre passordet. Dette er en måte å slå credential-stuffere på. Tilby tofaktorautentisering:Brukere bør kunne aktivere tofaktorautentisering for å sikre nettkontoene deres. Spesielt sensitive tjenester kan gjøre dette obligatorisk. De kan også få en bruker til å klikke på en bekreftelseskobling for pålogging i en e-post for å bekrefte påloggingsforespørselen. Krev en CAPTCHA:Hvis et påloggingsforsøk ser rart ut, kan en tjeneste kreve å skrive inn en CAPTCHA-kode som vises i et bilde eller klikke gjennom et annet skjema for å bekrefte at et menneske – og ikke en bot – prøver å logge på. Begrens gjentatte påloggingsforsøk: Tjenester bør forsøke å blokkere roboter fra å forsøke et stort antall påloggingsforsøk i løpet av kort tid. Moderne sofistikerte roboter kan forsøke å logge på fra flere IP-adresser samtidig for å skjule forsøkene på å fylle på legitimasjon.

Dårlig passordpraksis – og for å være rettferdig, dårlig sikrede nettbaserte systemer som ofte er for enkle å kompromittere – gjør legitimasjonsfylling til en alvorlig fare for nettkontosikkerheten. Det er ikke rart mange selskaper i teknologibransjen ønsker å bygge en sikrere verden uten passord .

I SLEKT: Teknologiindustrien vil drepe passordet. Eller gjør det?

LES NESTE
  • › 5 nettsteder hver Linux-bruker bør bokmerke
  • › Hva er MIL-SPEC fallbeskyttelse?
  • › Slik finner du Spotify Wrapped 2021
  • › Funksjoner vs. formler i Microsoft Excel: Hva er forskjellen?
  • › Datamaskinmappen er 40: Hvordan Xerox Star skapte skrivebordet
  • & rsaquo; Cyber ​​Monday 2021: Beste tekniske tilbud
Profilbilde for Chris Hoffman Chris Hoffman
Chris Hoffman er sjefredaktør for How-To Geek. Han har skrevet om teknologi i over et tiår og var en PCWorld-spaltist i to år. Chris har skrevet for The New York Times, blitt intervjuet som teknologiekspert på TV-stasjoner som Miamis NBC 6, og fått arbeidet sitt dekket av nyhetskanaler som BBC. Siden 2011 har Chris skrevet over 2000 artikler som har blitt lest nesten én milliard ganger --- og det er bare her på How-To Geek.
Les hele bio

Interessante Artikler