Celkem 500 milionů účtů Zoom je k prodeji na temném webu díky „naplnění pověření“. Pro zločince je běžný způsob, jak se vloupat do účtů online. Tady je, co tento výraz ve skutečnosti znamená a jak se můžete chránit.
Začíná to databázemi uniklých hesel
Útoky proti online službám jsou běžné. Zločinci často využívají bezpečnostní chyby v systémech k získávání databází uživatelských jmen a hesel. Databáze odcizených přihlašovacích údajů se často prodávají online temný web , přičemž zločinci se přihlásili Bitcoin pro oprávnění přístupu do databáze.
Řekněme, že jste měli účet na fóru Avast, což bylo porušil v roce 2014 . Tento účet byl porušen a zločinci mohou mít vaše uživatelské jméno a heslo na fóru Avast. Avast vás kontaktoval a změnil jste si heslo do fóra, tak v čem je problém?
Problém však bohužel spočívá v tom, že mnoho lidí opakovaně používá stejná hesla na různých webových stránkách. Řekněme, že vaše přihlašovací údaje do fóra Avast byly „[email protected]“ a „AmazingPassword“. Pokud jste se přihlásili na jiné webové stránky se stejným uživatelským jménem (vaší e-mailovou adresou) a heslem, může každý zločinec, který získá vaše uniklá hesla, získat přístup k těmto dalším účtům.
PŘÍBUZNÝ: Co je temný web?
Plnění pověření v akci
„Plnění pověření“ zahrnuje použití těchto databází prozrazených přihlašovacích údajů a pokus o přihlášení k nim v jiných online službách.
Zločinci berou velké databáze kombinací uniklých uživatelských jmen a hesel - často miliony přihlašovacích údajů - a snaží se s nimi přihlásit na jiných webových stránkách. Někteří lidé používají stejné heslo na více webech, takže se některé shodují. To lze obecně automatizovat pomocí softwaru a rychle vyzkoušet mnoho kombinací přihlášení.
U něčeho tak nebezpečného, co zní tak technicky, to je vše - zkoušet již uniklé údaje v jiných službách a zjistit, co funguje. Jinými slovy, „hackeři“ vloží všechny tyto přihlašovací údaje do přihlašovacího formuláře a uvidí, co se stane. Některé z nich určitě fungují.
To je jeden z nejvíce běžné způsoby, jak útočníci „hacknou“ online účty tyto dny. Jen v roce 2018 síť pro doručování obsahu Akamai zaznamenali téměř 30 miliard útoků na narušení pověření.
PŘÍBUZNÝ: Jak útočníci vlastně hackují účty online a jak se chránit
Jak se chránit
Chránit se před plněním pověření je docela jednoduché a zahrnuje dodržování stejných postupů zabezpečení hesla, které bezpečnostní experti doporučují roky. Neexistuje žádné magické řešení - jen dobrá hygiena hesla. Tady je rada:
- Nepoužívejte hesla znovu: Pro každý účet, který používáte online, použijte jedinečné heslo. Tímto způsobem, i když vaše heslo unikne, jej nelze použít k přihlášení na jiné weby. Útočníci se mohou pokusit vložit vaše přihlašovací údaje do jiných přihlašovacích formulářů, ale nebudou fungovat.
- Použijte správce hesel: Pamatovat si silná jedinečná hesla je téměř nemožný úkol, pokud máte účty na několika webech a téměř každý to dělá. Doporučujeme pomocí správce hesel jako 1 Heslo (placené) nebo Bitwarden (zdarma a open-source), aby si vaše hesla pamatovala za vás. Může dokonce generovat ta silná hesla od nuly.
- Povolit dvoufaktorové ověřování: S dvoustupňové ověřování , pokaždé, když se přihlásíte na web, musíte poskytnout něco jiného - například kód vygenerovaný aplikací nebo vám zaslaný prostřednictvím SMS. I když má útočník vaše uživatelské jméno a heslo, nebude se moci přihlásit k vašemu účtu, pokud tento kód nemá.
- Získat oznámení o úniku hesla: Se službou jako Byl jsem Pwned? , můžeš dostat oznámení, když se vaše pověření objeví v úniku .
PŘÍBUZNÝ: Jak zkontrolovat, zda bylo vaše heslo odcizeno
Jak mohou služby chránit proti vycpání pověření
I když jednotlivci musí převzít odpovědnost za zabezpečení svých účtů, existuje mnoho způsobů, jak se mohou online služby chránit před útoky naplnění pověření.
- Vyhledejte v uživatelských heslech únikové databáze: Facebook a Netflix naskenovali unikly databáze hesel a jejich křížové odkazy s přihlašovacími údaji na jejich vlastních službách. Pokud existuje shoda, může Facebook nebo Netflix vyzvat vlastního uživatele ke změně hesla. Toto je způsob, jak porazit zpracovatele pověření.
- Nabídka dvoufaktorového ověřování: Uživatelé by měli mít možnost povolit dvoufaktorové ověřování k zabezpečení svých online účtů. Díky obzvláště citlivým službám to může být povinné. Mohou také nechat uživatele kliknout na odkaz pro ověření přihlášení v e-mailu a potvrdit tak požadavek na přihlášení.
- Vyžadovat CAPTCHA: Pokud pokus o přihlášení vypadá divně, může služba vyžadovat zadání kódu CAPTCHA zobrazeného na obrázku nebo proklikání jiného formuláře k ověření člověka - a nikoli robota -, který se pokouší přihlásit.
- Omezit pokusy o opakované přihlášení : Služby by se měly pokusit blokovat roboty v pokusu o velký počet pokusů o přihlášení v krátkém časovém období. Moderní sofistikovaní roboti se mohou pokusit přihlásit z více adres IP najednou, aby zamaskovali své pokusy o vycpání pověření.
Špatné postupy při používání hesel - a, abychom byli spravedliví, špatně zabezpečené online systémy, které jsou často příliš snadno kompromitovatelné - činí z plnění pověření vážné nebezpečí pro zabezpečení online účtů. Není divu mnoho společností v technologickém průmyslu chce vybudovat bezpečnější svět bez hesel .
