Celkem je k dispozici 500 milionů účtů Zoom k prodeji na temném webu díky „vycpávání pověření“. Je to běžný způsob, jak se zločinci nabourávají do účtů online. Zde se dozvíte, co tento termín ve skutečnosti znamená a jak se můžete chránit.
Table of Contents
Začíná to databázemi uniklých hesel
Útoky proti online službám jsou běžné. Zločinci často využívají bezpečnostní chyby v systémech k získávání databází uživatelských jmen a hesel. Databáze odcizených přihlašovacích údajů se často prodávají online na temném webu, přičemž zločinci platí za privilegium přístupu k databázi v bitcoinech.
Řekněme, že jste měli účet na fóru Avast, což bylo prolomil již v roce 2014. Tento účet byl narušen a zločinci mohou mít vaše uživatelské jméno a heslo na fóru Avast. Avast vás kontaktoval a nechal jste si změnit heslo k fóru, tak v čem je problém?
Bohužel problém je v tom, že mnoho lidí používá stejná hesla na různých webech. Řekněme, že vaše přihlašovací údaje do fóra Avast byly „[email protected]“ a „Úžasné heslo“. Pokud jste se přihlásili na jiné webové stránky se stejným uživatelským jménem (svou e-mailovou adresou) a heslem, každý zločinec, který získá vaše uniklá hesla, může získat přístup k těmto dalším účtům.
Plnění pověření v akci
„Vyplňování přihlašovacích údajů“ zahrnuje použití těchto databází uniklých přihlašovacích údajů a pokusit se s nimi přihlásit v jiných online službách.
Zločinci berou velké databáze uniklých kombinací uživatelských jmen a hesel – často miliony přihlašovacích údajů – a pokouší se s nimi přihlásit na jiných webech. Někteří lidé znovu používají stejné heslo na více webových stránkách, takže někteří se budou shodovat. To lze obecně automatizovat pomocí softwaru a rychle vyzkoušet mnoho kombinací přihlášení.
Pro něco tak nebezpečného, co zní tak technicky, to je vše – vyzkoušet již uniklé přihlašovací údaje v jiných službách a zjistit, co funguje. Jinými slovy, „hackeři“ vloží všechny tyto přihlašovací údaje do přihlašovacího formuláře a uvidí, co se stane. Některé z nich určitě fungují.
Toto je jeden z nejběžnějších způsobů, jak útočníci v dnešní době „hackují“ online účty. Jen v roce 2018 síť pro doručování obsahu Akamai zaznamenal téměř 30 miliard útoků nacpajících pověření.
Jak se chránit
Chránit se před naplňováním přihlašovacích údajů je docela jednoduché a zahrnuje dodržování stejných postupů zabezpečení hesel, které odborníci na zabezpečení doporučují již léta. Neexistuje žádné kouzelné řešení – jen dobrá hygiena hesla. Zde je rada:
Vyhněte se opětovnému použití hesel: Použijte jedinečné heslo pro každý účet, který používáte online. Tímto způsobem, i když vaše heslo unikne, nebude možné jej použít k přihlášení na jiné webové stránky. Útočníci se mohou pokusit nacpat vaše přihlašovací údaje do jiných přihlašovacích formulářů, ale nebudou fungovat.
Používejte Správce hesel: Zapamatování silných jedinečných hesel je téměř nemožný úkol, pokud máte účty na několika webech, což má téměř každý. Doporučujeme použít správce hesel jako 1Heslo (zaplaceno) popř Bitwarden (zdarma a open-source), aby si zapamatoval vaše hesla za vás. Může dokonce generovat tato silná hesla od začátku.
Povolit dvoufaktorové ověřování: Při dvoufázovém ověřování musíte při každém přihlášení na web zadat něco jiného – například kód vygenerovaný aplikací nebo zaslaný prostřednictvím SMS. I když útočník zná vaše uživatelské jméno a heslo, nebude se moci přihlásit k vašemu účtu, pokud nebude mít tento kód.
Získejte upozornění na uniklé heslo: S podobnou službou Byl jsem Pwned?, můžete dostat upozornění, když se vaše přihlašovací údaje objeví v úniku.
Jak mohou služby chránit před naplňováním pověření
Zatímco jednotlivci musí převzít odpovědnost za zabezpečení svých účtů, existuje mnoho způsobů, jak se online služby chránit před útoky nacpanými přihlašovacími údaji.
Prohledejte uniklé databáze na uživatelská hesla: Facebook a Netflix naskenovali unikly databáze hesel a porovnávaly je s přihlašovacími údaji na jejich vlastních službách. Pokud existuje shoda, může Facebook nebo Netflix vyzvat svého vlastního uživatele, aby si změnil heslo. Toto je způsob, jak porazit lidi s pověřením.
Nabídka dvoufaktorové autentizace: Uživatelé by měli mít možnost aktivovat dvoufaktorovou autentizaci pro zabezpečení svých online účtů. Zvláště citlivé služby to mohou vyžadovat. Mohou také nechat uživatele kliknout na odkaz pro ověření přihlášení v e-mailu, aby potvrdil žádost o přihlášení.
Vyžadovat CAPTCHA: Pokud pokus o přihlášení vypadá podivně, může služba vyžadovat zadání kódu CAPTCHA zobrazeného na obrázku nebo proklikání jiného formuláře k ověření, zda se o přihlášení pokouší člověk – nikoli robot.
Omezit opakované pokusy o přihlášení: Služby by se měly pokusit zablokovat roboty v pokusech o velký počet pokusů o přihlášení v krátkém časovém období. Moderní sofistikovaní roboti se mohou pokoušet přihlásit z více IP adres najednou, aby zamaskovali své pokusy o nacpání pověření.
Špatné praktiky týkající se hesel – a abychom byli spravedliví, špatně zabezpečené online systémy, které je často příliš snadné kompromitovat – způsobují, že cpání přihlašovacích údajů představuje vážné nebezpečí pro zabezpečení online účtů. Není divu, že mnoho společností v technologickém průmyslu chce vybudovat bezpečnější svět bez hesel.