क्रेडेंशियल स्टफिंग क्या है? (और अपने आप को कैसे सुरक्षित रखें)

कुल 500 मिलियन जूम खाते हैं डार्क वेब पर बिक्री के लिए धन्यवाद "क्रेडेंशियल स्टफिंग।" अपराधियों के लिए ऑनलाइन खातों में सेंध लगाना एक सामान्य तरीका है। यहाँ उस शब्द का वास्तव में मतलब है और आप अपनी सुरक्षा कैसे कर सकते हैं।

यह लीक पासवर्ड डेटाबेस से शुरू होता है

ऑनलाइन सेवाओं के खिलाफ हमले आम हैं। उपयोगकर्ता और पासवर्ड के डेटाबेस का अधिग्रहण करने के लिए अपराधी अक्सर सिस्टम की सुरक्षा खामियों का फायदा उठाते हैं। चोरी किए गए लॉगिन क्रेडेंशियल का डेटाबेस अक्सर ऑनलाइन बेचा जाता है डार्क वेब , अपराधियों में भुगतान के साथ Bitcoin डेटाबेस तक पहुँचने के विशेषाधिकार के लिए।

बता दें कि अवास्ट फोरम में आपका खाता था, जो था 2014 में वापस तोड़ दिया । वह खाता भंग हो गया था, और अपराधियों के पास अवास्ट फोरम पर आपका उपयोगकर्ता नाम और पासवर्ड हो सकता है। अवास्ट ने आपसे संपर्क किया और क्या आपने अपना फ़ोरम पासवर्ड बदला है, तो समस्या क्या है?

दुर्भाग्य से, समस्या यह है कि कई लोग विभिन्न वेबसाइटों पर एक ही पासवर्ड का पुन: उपयोग करते हैं। बता दें कि आपका अवास्ट फोरम लॉगिन विवरण "[email protected]" और "AmazingPassword" था। यदि आप उसी उपयोगकर्ता नाम (आपका ईमेल पता) और पासवर्ड के साथ अन्य वेबसाइटों में लॉग इन करते हैं, तो कोई भी अपराधी जो आपके लीक हुए पासवर्ड को प्राप्त करता है, उन अन्य खातों तक पहुंच प्राप्त कर सकता है।

सम्बंधित: डार्क वेब क्या है?

क्रेडेंशियल स्टफिंग एक्शन में

"क्रेडेंशियल स्टफिंग" में लीक हुए लॉगिन विवरणों के इन डेटाबेस का उपयोग करना और अन्य ऑनलाइन सेवाओं पर उनके साथ लॉग इन करने की कोशिश करना शामिल है।

अपराधी लीक हुए उपयोगकर्ता नाम और पासवर्ड संयोजन के बड़े डेटाबेस को ले जाते हैं - अक्सर लाखों लॉगिन क्रेडेंशियल - और अन्य वेबसाइटों पर उनके साथ साइन इन करने का प्रयास करते हैं। कुछ लोग कई वेबसाइटों पर एक ही पासवर्ड का पुन: उपयोग करते हैं, तो कुछ मिलान करेंगे। यह आमतौर पर सॉफ्टवेयर के साथ स्वचालित किया जा सकता है, जल्दी से कई लॉगिन संयोजनों की कोशिश कर रहा है।

इतनी खतरनाक चीज के लिए जो इतना तकनीकी लगता है, वह यह है कि अन्य सेवाओं पर पहले से ही लीक की गई साख को देखने और क्या काम करता है। दूसरे शब्दों में, "हैकर्स" उन सभी लॉगिन क्रेडेंशियल्स को लॉगिन फॉर्म में भरते हैं और देखते हैं कि क्या होता है। उनमें से कुछ काम करने के लिए निश्चित हैं।

यह सबसे अधिक में से एक है ऑनलाइन अकाउंट को "हैक" करने वाले हमलावरों के सामान्य तरीके इन दिनों। अकेले 2018 में, सामग्री वितरण नेटवर्क अकामाई लगभग 30 बिलियन क्रेडेंशियल-स्टफिंग हमलों को लॉग किया।

सम्बंधित: हमलावरों ने वास्तव में "हैक अकाउंट्स" को ऑनलाइन और खुद को कैसे सुरक्षित रखा जाए

खुद की सुरक्षा कैसे करें

अपने आप को क्रेडेंशियल स्टफिंग से बचाना बहुत सरल है और इसमें एक ही पासवर्ड सुरक्षा प्रथाओं का पालन करना शामिल है जिसे सुरक्षा विशेषज्ञ वर्षों से सुझा रहे हैं। कोई जादू समाधान नहीं है - केवल अच्छा पासवर्ड स्वच्छता। यहाँ एक सलाह है:

• पुन: उपयोग करने वाले पासवर्ड से बचें: ऑनलाइन उपयोग किए जाने वाले प्रत्येक खाते के लिए एक अद्वितीय पासवर्ड का उपयोग करें। इस तरह, यदि आपका पासवर्ड लीक हो जाता है, तो भी इसका उपयोग अन्य वेबसाइटों में साइन इन करने के लिए नहीं किया जा सकता है। हमलावर आपकी क्रेडेंशियल्स को अन्य लॉगिन रूपों में रखने की कोशिश कर सकते हैं, लेकिन उन्होंने काम नहीं किया।
• पासवर्ड मैनेजर का उपयोग करें: यदि आपके पास काफी कुछ वेबसाइटों पर खाते हैं, और लगभग हर कोई करता है, तो मजबूत अद्वितीय पासवर्ड याद रखना लगभग असंभव कार्य है। हम अनुशंसा करते हैं पासवर्ड मैनेजर का उपयोग करना पसंद 1Password (भुगतान किया हुआ) या Bitwarden (फ्री और ओपन-सोर्स) आपके लिए अपने पासवर्ड याद रखने के लिए। यह भी खरोंच से उन मजबूत पासवर्ड उत्पन्न कर सकते हैं।
• दो-कारक प्रमाणीकरण सक्षम करें: साथ में दो-चरणीय प्रमाणीकरण , आपको कुछ और प्रदान करना होगा - जैसे कि एक ऐप द्वारा उत्पन्न कोड या एसएमएस के माध्यम से आपको भेजा जाता है - जब आप किसी वेबसाइट पर लॉग इन करते हैं। यहां तक ​​कि अगर किसी हमलावर के पास आपका उपयोगकर्ता नाम और पासवर्ड है, तो वे आपके खाते में उस कोड पर हस्ताक्षर करने में सक्षम नहीं होंगे।
• लीक पासवर्ड सूचनाएं प्राप्त करें: जैसी सेवा के साथ क्या मुझे पक्का हो गया है? , आप ऐसा कर सकते हैं जब आपकी पहचान लीक में दिखाई दे तो एक सूचना प्राप्त करें .

सम्बंधित: कैसे जांच करें कि आपका पासवर्ड चोरी हो गया है या नहीं

कैसे सेवाएं क्रेडेंशियल स्टफिंग के खिलाफ रक्षा कर सकती हैं

जबकि व्यक्तियों को अपने खातों को सुरक्षित रखने की जिम्मेदारी लेने की आवश्यकता है, ऑनलाइन सेवाओं के लिए क्रेडेंशियल-स्टफिंग हमलों से बचाव के कई तरीके हैं।

• उपयोगकर्ता पासवर्ड के लिए स्कैन किए गए डेटाबेस को स्कैन करें: फेसबुक और नेटफ्लिक्स स्कैन किया है पासवर्ड के लिए लीक हुए डेटाबेस, उन्हें अपनी सेवाओं पर लॉगिन क्रेडेंशियल के खिलाफ क्रॉस-रेफरिंग। यदि कोई मेल है, तो फेसबुक या नेटफ्लिक्स अपने स्वयं के उपयोगकर्ता को अपना पासवर्ड बदलने के लिए प्रेरित कर सकते हैं। यह पंचों को साख-सामान की पिटाई करने का एक तरीका है।
• प्रस्ताव दो-कारक प्रमाणीकरण: उपयोगकर्ताओं को अपने ऑनलाइन खातों को सुरक्षित करने के लिए दो-कारक प्रमाणीकरण सक्षम करने में सक्षम होना चाहिए। विशेष रूप से संवेदनशील सेवाएं इसे अनिवार्य बना सकती हैं। लॉगिन अनुरोध की पुष्टि करने के लिए उनके पास ईमेल में लॉगिन सत्यापन लिंक पर क्लिक करने वाला उपयोगकर्ता भी हो सकता है।
• एक कैप्चा चाहिए: यदि कोई लॉगिन प्रयास अजीब लगता है, तो किसी सेवा को किसी छवि में प्रदर्शित कैप्चा कोड दर्ज करने या मानव को सत्यापित करने के लिए किसी अन्य रूप में क्लिक करने की आवश्यकता हो सकती है - और न कि कोई बॉट - साइन इन करने का प्रयास कर रहा है।
• सीमित बार-बार लॉगिन प्रयास : सेवाओं को कम समय में बड़ी संख्या में साइन-इन प्रयासों से बॉट्स को ब्लॉक करने का प्रयास करना चाहिए। आधुनिक परिष्कृत बॉट्स कई आईपी पते से एक बार में अपने क्रेडेंशियल-स्टफिंग प्रयासों को छिपाने के लिए साइन इन करने का प्रयास कर सकते हैं।

खराब पासवर्ड प्रैक्टिस - और, निष्पक्ष होने के लिए, खराब तरीके से सुरक्षित ऑनलाइन सिस्टम, जो अक्सर समझौता करना बहुत आसान होता है - ऑनलाइन अकाउंट सिक्योरिटी के लिए एक गंभीर खतरे को क्रेडेंशियल भराई बनाते हैं। यह कोई आश्चर्य की बात नहीं है टेक उद्योग में कई कंपनियां पासवर्ड के बिना एक अधिक सुरक्षित दुनिया का निर्माण करना चाहती हैं .

सम्बंधित: टेक इंडस्ट्री पासवर्ड को मारना चाहती है। या करता है?