Um total de 500 milhões de contas Zoom são à venda na dark web graças ao "enchimento de credenciais". É uma maneira comum de criminosos invadirem contas online. Aqui está o que esse termo realmente significa e como você pode se proteger.
Ele começa com bancos de dados de senha vazados
Ataques contra serviços online são comuns. Os criminosos costumam explorar falhas de segurança em sistemas para adquirir bancos de dados de nomes de usuário e senhas. Bancos de dados de credenciais de login roubadas são frequentemente vendidos online em a teia negra , com criminosos pagando Bitcoin pelo privilégio de acessar o banco de dados.
Digamos que você tenha uma conta no fórum do Avast, que foi violado em 2014 . Essa conta foi violada e os criminosos podem ter seu nome de usuário e senha no fórum do Avast. Avast entrou em contato com você e pediu que você alterasse sua senha do fórum, então qual é o problema?
Infelizmente, o problema é que muitas pessoas reutilizam as mesmas senhas em sites diferentes. Digamos que seus detalhes de login do fórum do Avast fossem “[email protected]” e “AmazingPassword”. Se você se logou em outros sites com o mesmo nome de usuário (seu endereço de e-mail) e senha, qualquer criminoso que adquirir suas senhas vazadas poderá obter acesso a essas outras contas.
RELACIONADOS: O que é a Dark Web?
Enchimento de credenciais em ação
O “enchimento de credenciais” envolve o uso desses bancos de dados de detalhes de login vazados e a tentativa de login com eles em outros serviços online.
Os criminosos pegam grandes bancos de dados de combinações vazadas de nome de usuário e senha - geralmente milhões de credenciais de login - e tentam entrar com eles em outros sites. Algumas pessoas reutilizam a mesma senha em vários sites, portanto, algumas corresponderão. Isso geralmente pode ser automatizado com software, tentando rapidamente várias combinações de login.
Para algo tão perigoso que parece tão técnico, isso é tudo - tentar credenciais já vazadas em outros serviços e ver o que funciona. Em outras palavras, os “hackers” enfiam todas essas credenciais de login no formulário de login e vê o que acontece. Alguns deles certamente funcionarão.
Este é um dos mais maneiras comuns que os invasores "hackear" contas online nos dias de hoje. Só em 2018, a rede de distribuição de conteúdo Akamai registrou quase 30 bilhões de ataques de preenchimento de credenciais.
RELACIONADOS: Como os invasores realmente "invadem contas" on-line e como se proteger
Como se Proteger
Proteger-se contra o enchimento de credenciais é muito simples e envolve seguir as mesmas práticas de segurança de senha que os especialistas em segurança vêm recomendando há anos. Não há solução mágica - apenas uma boa higiene de senha. Aqui está o conselho:
- Evite reutilizar senhas: Use uma senha exclusiva para cada conta que você usa online. Dessa forma, mesmo que sua senha vaze, ela não poderá ser usada para fazer login em outros sites. Os invasores podem tentar colocar suas credenciais em outros formulários de login, mas não funcionam.
- Use um gerenciador de senhas: Lembrar de senhas únicas fortes é uma tarefa quase impossível se você tiver contas em alguns sites, e quase todo mundo tem. Nós recomendamos usando um gerenciador de senhas gostar 1 senha (pago) ou Bitwarden (gratuito e de código aberto) para lembrar suas senhas para você. Ele pode até mesmo gerar essas senhas fortes do zero.
- Habilite a autenticação de dois fatores: Com autenticação em duas etapas , você deve fornecer algo diferente - como um código gerado por um aplicativo ou enviado a você via SMS - cada vez que você fizer login em um site. Mesmo que um invasor tenha seu nome de usuário e senha, ele não poderá fazer login em sua conta se não tiver esse código.
- Receba notificações de senha vazada: Com um serviço como Fui sacaneado? , você pode receba uma notificação quando suas credenciais aparecerem em um vazamento .
RELACIONADOS: Como verificar se sua senha foi roubada
Como os serviços podem proteger contra o enchimento de credenciais
Embora os indivíduos precisem assumir a responsabilidade pela proteção de suas contas, há muitas maneiras de os serviços online se protegerem contra ataques de preenchimento de credenciais.
- Verificar bancos de dados vazados em busca de senhas de usuário: Facebook e Netflix escaneou vazou bancos de dados para senhas, referenciando-os com as credenciais de login em seus próprios serviços. Se houver uma correspondência, o Facebook ou Netflix pode solicitar que seu próprio usuário altere sua senha. Essa é uma maneira de vencer os empecilhos de credenciais.
- Oferecer autenticação de dois fatores: Os usuários devem ser capazes de habilitar a autenticação de dois fatores para proteger suas contas online. Serviços particularmente sensíveis podem tornar isso obrigatório. Eles também podem fazer com que um usuário clique em um link de verificação de login em um e-mail para confirmar a solicitação de login.
- Requer um CAPTCHA: Se uma tentativa de login parecer estranha, um serviço pode exigir a inserção de um código CAPTCHA exibido em uma imagem ou clicar em outro formulário para verificar se um humano - e não um bot - está tentando fazer login.
- Limite de tentativas de login repetidas : Os serviços devem tentar impedir que os bots façam um grande número de tentativas de login em um curto período de tempo. Os bots sofisticados e modernos podem tentar entrar de vários endereços IP ao mesmo tempo para disfarçar suas tentativas de preenchimento de credenciais.
Práticas inadequadas de senha - e, para ser justo, sistemas online mal protegidos que geralmente são muito fáceis de comprometer - tornam o empilhamento de credenciais um sério perigo para a segurança da conta online. Não é nenhuma maravilha muitas empresas do setor de tecnologia desejam construir um mundo mais seguro sem senhas .
RELACIONADOS: A indústria de tecnologia quer eliminar a senha. Ou não?
