iGuRu
Now Reading
Τι είναι το Credential Stuffing και πώς να προστατευτείτε
iGuRu

Τι είναι το Credential Stuffing και πώς να προστατευτείτε

Credential Stuffing

Συνολικά 500 εκατομμύρια λογαριασμοί Zoom πωλούνται στον σκοτεινό ιστό χάρη στο “γέμισμα διαπιστευτηρίων”.

Είναι ένας κοινός τρόπος για τους εγκληματίες να εισέρχονται σε λογαριασμούς στο διαδίκτυο. Να τι σημαίνει αυτός ο όρος και πώς μπορείτε να προστατευτείτε.

Credential Stuffing - Τι είναι το Credential Stuffing και πώς να προστατευτείτε

Ξεκινά με βάσεις δεδομένων και διαρροή κωδικού πρόσβασης

Συχνές είναι οι επιθέσεις εναντίον διαδικτυακών υπηρεσιών. Οι εγκληματίες συχνά εκμεταλλεύονται ατέλειες ασφαλείας στα συστήματα για να αποκτήσουν βάσεις δεδομένων ονομάτων χρήστη και κωδικών πρόσβασης. Οι βάσεις δεδομένων των κλεμμένων διαπιστευτηρίων σύνδεσης συχνά πωλούνται διαδικτυακά στον σκοτεινό ιστό, με εγκληματίες να πληρώνουν σε Bitcoin για το προνόμιο της πρόσβασης στη βάση δεδομένων.

Ας υποθέσουμε ότι είχατε λογαριασμό στο φόρουμ Avast, που παραβιάστηκε το 2014. Αυτός ο λογαριασμός παραβιάστηκε και οι εγκληματίες ενδέχεται να έχουν το όνομα χρήστη και τον κωδικό πρόσβασής σας στο φόρουμ της Avast. Η Avast επικοινώνησε μαζί σας για να αλλάξετε τον κωδικό πρόσβασης στο φόρουμ της, οπότε ποιο είναι το πρόβλημα;

Δυστυχώς, το πρόβλημα είναι ότι πολλοί άνθρωποι επαναχρησιμοποιούν τους ίδιους κωδικούς πρόσβασης σε διαφορετικούς ιστότοπους. Ας υποθέσουμε ότι τα στοιχεία σύνδεσης στο φόρουμ της Avast ήταν “[email protected]” και “gamatoPassword”. Εάν συνδεθήκατε σε άλλους ιστότοπους με το ίδιο όνομα χρήστη (τη διεύθυνση email σας) και τον κωδικό πρόσβασης, κάθε εγκληματίας που αποκτά τους κωδικούς πρόσβασης που έχουν διαρρεύσει μπορεί να αποκτήσει πρόσβαση σε αυτούς τους άλλους λογαριασμούς.

Παρακολούθηση διαπιστευτηρίων σε δράση

Το “Credential stuffing” περιλαμβάνει τη χρήση αυτών των βάσεων δεδομένων με την διαρροή των στοιχείων σύνδεσης και την προσπάθεια σύνδεσης σε άλλες διαδικτυακές υπηρεσίες.

Οι εγκληματίες λαμβάνουν μεγάλες βάσεις δεδομένων συνδυασμών ονόματος χρήστη και κωδικού πρόσβασης που έχουν διαρρεύσει – συχνά εκατομμύρια διαπιστευτήρια σύνδεσης – και προσπαθούν να συνδεθούν σε άλλους ιστότοπους. Μερικά άτομα επαναχρησιμοποιούν τον ίδιο κωδικό πρόσβασης σε πολλούς ιστότοπους, οπότε κάτι θα ταιριάζει. Αυτό μπορεί γενικά να αυτοματοποιηθεί με λογισμικό, δοκιμάζοντας γρήγορα πολλούς συνδυασμούς σύνδεσης.

Με άλλα λόγια, οι «χάκερ» συμπληρώνουν όλα αυτά τα διαπιστευτήρια σύνδεσης στη φόρμα σύνδεσης και βλέπουν τι συμβαίνει. Μερικά από αυτά είναι σίγουρο ότι θα λειτουργήσουν.

Αυτός είναι ένας από τους πιο συνηθισμένους τρόπους που οι εισβολείς “χακάρουν” διαδικτυακούς λογαριασμούς αυτές τις μέρες. Μόνο το 2018, το δίκτυο περιεχομένου Akamai κατέγραψε περίπου 30 δισεκατομμύρια επιθέσεις με διαπιστευτήρια.

Πώς να προστατευτείτε

lock and keys.jpg.pagespeed.ce .L1 x ODEen - Τι είναι το Credential Stuffing και πώς να προστατευτείτε

Η προστασία σας από τη συμπλήρωση διαπιστευτηρίων είναι πολύ απλή και θα πρέπει να ακολουθείτε τις ίδιες πρακτικές ασφάλειας κωδικών πρόσβασης που συνιστούν οι ειδικοί ασφαλείας εδώ και χρόνια. Δεν υπάρχει μαγική λύση – απλά καλοί κωδικοί πρόσβασης:

  • Αποφύγετε την επαναχρησιμοποίηση κωδικών πρόσβασης: Χρησιμοποιήστε έναν μοναδικό κωδικό πρόσβασης για κάθε λογαριασμό που χρησιμοποιείτε στο διαδίκτυο. Με αυτόν τον τρόπο, ακόμη και αν διαρρεύσει ο κωδικός πρόσβασής σας, δεν μπορεί να χρησιμοποιηθεί για σύνδεση σε άλλους ιστότοπους. Οι εισβολείς μπορούν να προσπαθήσουν να συμπληρώσουν τα διαπιστευτήριά σας σε άλλες φόρμες σύνδεσης, αλλά δεν θα λειτουργήσουν.
  • Χρήση ενός Διαχειριστή κωδικών πρόσβασης: Η απομνημόνευση ισχυρών μοναδικών κωδικών πρόσβασης είναι μια σχεδόν αδύνατη εάν έχετε λογαριασμούς σε αρκετούς ιστότοπους και σχεδόν όλοι το κάνουν. Συνιστούμε να χρησιμοποιήσετε έναν διαχειριστή κωδικών πρόσβασης όπως τον KeePass που θα “θυμάται” τους κωδικούς πρόσβασης για εσάς.
  • Ενεργοποίηση ελέγχου ταυτότητας δύο παραγόντων: Με τον έλεγχο ταυτότητας δύο βημάτων, πρέπει να παρέχετε και κάτι άλλο – όπως έναν κωδικό που δημιουργείται από μια εφαρμογή ή σας αποστέλλεται μέσω SMS – κάθε φορά που συνδέεστε σε έναν ιστότοπο. Ακόμα κι αν ένας εισβολέας έχει το όνομα χρήστη και τον κωδικό πρόσβασής σας, δεν θα μπορεί να συνδεθεί στον λογαριασμό σας εάν δεν διαθέτει αυτόν τον κωδικό.
  • Λήψη ειδοποιήσεων σε περίπτωση διαρροής δεδομένων: Με μια υπηρεσία όπως το Have I Have Pwned ; μπορείτε να λάβετε ειδοποίηση όταν τα διαπιστευτήριά σας εμφανίζονται σε κάποια διαρροή.

Πώς μπορούν οι υπηρεσίες να προστατέψουν ενάντια στη συμπλήρωση διαπιστευτηρίων

Υπάρχουν πολλοί τρόποι για την προστασία των διαδικτυακών υπηρεσιών από επιθέσεις με διαπιστευτήρια.

  • Σάρωση Διαρροών Βάσεων Δεδομένων για Κωδικούς Χρήστη: Το Facebook και το Netflix σαρώνουν βάσεις δεδομένων που έχουν διαρρεύσει για κωδικούς πρόσβασης που υπάρχουν στις δικές τους υπηρεσίες. Εάν υπάρχει αντιστοιχία, το Facebook ή το Netflix μπορεί να ζητήσει από τον χρήστη να αλλάξει τον κωδικό πρόσβασής του.
  • Προσφορά ελέγχου ταυτότητας δύο παραγόντων: Οι χρήστες θα πρέπει να μπορούν να έχουν την δυνατότητα επιλογής ενός έλεγχου ταυτότητας δύο παραγόντων για την ασφάλεια των λογαριασμών τους στο διαδίκτυο. Ιδιαίτερα ευαίσθητες υπηρεσίες μπορούν να το καταστήσουν την λειτουργία υποχρεωτική.
  • Απαίτηση CAPTCHA: Εάν μια προσπάθεια σύνδεσης φαίνεται περίεργη, μια υπηρεσία μπορεί να απαιτήσει την εισαγωγή ενός κωδικού CAPTCHA που εμφανίζεται σε μια εικόνα ή κάνοντας κλικ σε άλλη φόρμα για να επαληθεύσει ότι ένας άνθρωπος – και όχι ένα bot – προσπαθεί να συνδεθεί.
  • Περιορισμός επαναλαμβανόμενων προσπαθειών σύνδεσης: Οι υπηρεσίες θα πρέπει να προσπαθούν να αποκλείσουν τα bots από την προσπάθεια μεγάλου αριθμού προσπαθειών σύνδεσης σε σύντομο χρονικό διάστημα. Τα σύγχρονα εξελιγμένα bots ενδέχεται να προσπαθούν να συνδεθούν από πολλές διευθύνσεις IP ταυτόχρονα για να συγκαλύψουν τις προσπάθειές τους.

Οι κακές πρακτικές κωδικού πρόσβασης – και, για να είμαστε δίκαιοι,  τα μη ασφαλή διαδικτυακά συστήματα  είναι πολύ εύκολο να παραβιαστούν. Δεν είναι περίεργο λοιπόν ότι πολλές εταιρείες στον κλάδο της τεχνολογίας θέλουν να αναπτύξουν πιο ασφαλή συστήματα χωρίς κωδικούς πρόσβασης.

 

Διαβάστε τις Τεχνολογικές Ειδήσεις από όλο τον κόσμο, με την εγκυρότητα του iGuRu.gr

Ακολουθήσετε μας στο Google News

View Comments (0)

Leave a Reply

Your email address will not be published.

 

iGuRu.gr © 2012 - 2021 Keep it Simple Stupid Custom Theme

Scroll To Top