Összesen 500 millió Zoom fiók van eladó a sötét weben hála a „hitelesítési adatoknak”. Ez egy gyakori módja annak, hogy a bûnözõk betörjenek az interneten. Íme, mit jelent ez a kifejezés, és hogyan védheti meg magát.
Tartalomjegyzék
Kiszivárgott jelszóadatbázisokkal kezdődik
Gyakoriak az online szolgáltatások elleni támadások. A bûnözõk gyakran kihasználják a rendszerek biztonsági hibáit, hogy felhasználóneveket és jelszavakat tartalmazó adatbázisokat szerezzenek be. Az ellopott bejelentkezési adatokat tartalmazó adatbázisokat gyakran online adják el a sötét weben, ahol a bűnözők Bitcoinban fizetnek az adatbázishoz való hozzáférés kiváltságáért.
Tegyük fel, hogy volt fiókja az Avast fórumon, ami volt még 2014-ben megsértették. Ezt a fiókot feltörték, és a bûnözõk felvehetik felhasználónevét és jelszavát az Avast fórumon. Az Avast felvette Önnel a kapcsolatot, és megváltoztatta a fórum jelszavát, akkor mi a probléma?
Sajnos a probléma az, hogy sokan ugyanazokat a jelszavakat használják különböző webhelyeken. Tegyük fel, hogy az Avast fórum bejelentkezési adatai a következők voltak:[email protected]” és „AmazingPassword” Ha más webhelyekre jelentkezett be ugyanazzal a felhasználónévvel (e-mail címével) és jelszavával, minden bűnöző, aki megszerzi az Ön kiszivárgott jelszavait, hozzáférhet ezekhez a fiókokhoz.
A hitelesítési adatok kitöltése akcióban
A „hitelesítési adatok kitöltése” magában foglalja a kiszivárgott bejelentkezési adatokat tartalmazó adatbázisok használatát, és más online szolgáltatásokban való bejelentkezésre irányuló kísérleteket.
A bûnözõk nagy adatbázisokat foglalnak el a kiszivárgott felhasználónév- és jelszókombinációkból – gyakran több millió bejelentkezési hitelesítési adatból –, és megpróbálnak velük bejelentkezni más webhelyeken. Vannak, akik ugyanazt a jelszót használják több webhelyen is, így egyesek megegyeznek. Ez általában szoftverrel automatizálható, gyorsan kipróbálva számos bejelentkezési kombinációt.
Egy olyan veszélyes dologhoz, ami annyira technikainak hangzik, ez minden – megpróbálja más szolgáltatásokon a már kiszivárgott hitelesítő adatokat, és megnézi, mi működik. Más szóval, a „hackerek” az összes bejelentkezési hitelesítő adatot a bejelentkezési űrlapba töltik, és megnézik, mi történik. Néhányan biztosan működni fognak.
Manapság ez az egyik leggyakoribb módja annak, hogy a támadók „feltörik” az online fiókokat. Csak 2018-ban a tartalomszolgáltató hálózat Akamai közel 30 milliárd hitelesítő adathalmaz támadást regisztráltak.
Hogyan védje meg magát
Nagyon egyszerű megvédeni magát a hitelesítő adatokkal szemben, és ugyanazt a jelszóval kapcsolatos biztonsági gyakorlatot követi, amelyet a biztonsági szakértők évek óta javasolnak. Nincs varázslatos megoldás – csak jó jelszóhigiénia. Íme a tanács:
Kerülje a jelszavak újrafelhasználását: Minden online használt fiókhoz használjon egyedi jelszót. Így még akkor sem, ha a jelszava kiszivárog, nem használható más webhelyekre való bejelentkezéshez. A támadók megpróbálhatják más bejelentkezési űrlapokba tölteni az Ön hitelesítő adatait, de ezek nem működnek.
Használjon Jelszókezelőt: Az erős egyedi jelszavak megjegyezése szinte lehetetlen feladat, ha jó néhány webhelyen rendelkezik fiókkal, és szinte mindenki megteszi. Javasoljuk egy jelszókezelő használatát, mint pl 1 Jelszó (fizetett) ill Bitwarden (ingyenes és nyílt forráskódú), hogy emlékezzen a jelszavakra. Még a semmiből is képes létrehozni ezeket az erős jelszavakat.
Kéttényezős hitelesítés engedélyezése: A kétlépcsős hitelesítésnél minden alkalommal meg kell adnia valami mást – például egy alkalmazás által generált vagy SMS-ben elküldött kódot – minden alkalommal, amikor bejelentkezik egy webhelyre. Még ha egy támadó rendelkezik is az Ön felhasználónevével és jelszavával, akkor sem tud majd bejelentkezni a fiókjába, ha nem rendelkezik ezzel a kóddal.
Kiszivárgott jelszóértesítések: olyan szolgáltatással, mint pl Beloptak?, értesítést kaphat, ha hitelesítő adatai szivárogva jelennek meg.
Hogyan védekezhetnek a szolgáltatások a hitelesítő adatok eltömődése ellen
Míg az egyéneknek felelősséget kell vállalniuk fiókjaik védelméért, az online szolgáltatások számos módon védekezhetnek a hitelesítő adatokkal való feltöltődéssel szemben.
Vizsgálja meg a kiszivárgott adatbázisokat felhasználói jelszavak keresésére: Facebook és Netflix beszkennelték kiszivárogtatott jelszavak adatbázisait, kereszthivatkozásokat használva a saját szolgáltatásaik bejelentkezési adataihoz. Ha van egyezés, a Facebook vagy a Netflix felszólíthatja saját felhasználóját, hogy változtassa meg jelszavát. Ez egy módja annak, hogy legyűrjük az okoskodókat.
Kéttényezős hitelesítés felajánlása: A felhasználóknak lehetővé kell tenniük a kéttényezős hitelesítést online fiókjaik biztonsága érdekében. A különösen érzékeny szolgáltatások ezt kötelezővé tehetik. Azt is megkérhetik a felhasználóra, hogy egy e-mailben található bejelentkezést igazoló linkre kattintson a bejelentkezési kérelem megerősítéséhez.
CAPTCHA megkövetelése: Ha egy bejelentkezési kísérlet furcsán néz ki, a szolgáltatás megkövetelheti egy képen látható CAPTCHA-kód megadását vagy egy másik űrlapon való kattintást annak ellenőrzéséhez, hogy ember – és nem bot – próbál bejelentkezni.
Az ismételt bejelentkezési kísérletek korlátozása: A szolgáltatásoknak meg kell próbálniuk blokkolni a robotokat abban, hogy rövid időn belül nagy számú bejelentkezési kísérletet hajtsanak végre. A modern, kifinomult robotok megpróbálhatnak egyszerre több IP-címről bejelentkezni, hogy álcázzák a hitelesítő adatok kitöltési kísérleteiket.
A rossz jelszógyakorlatok – és az igazat megvallva, a gyengén védett online rendszerek, amelyeket gyakran túl könnyű feltörni – komoly veszélyt jelentenek a hitelesítő adatokkal való feltöltésre az online fiókok biztonságára nézve. Nem csoda, hogy a technológiai iparban sok vállalat szeretne egy biztonságosabb, jelszavak nélküli világot építeni.