Kas ir akreditācijas datu pildīšana? (un kā pasargāt sevi)

Ink Drop/Shutterstock.com

Kopā ir 500 miljoni Zoom kontu pārdošanai tumšajā tīmeklī pateicoties akreditācijas datu pildīšanai. Tas ir izplatīts veids, kā noziedznieki var uzlauzt kontus tiešsaistē. Lūk, ko šis termins patiesībā nozīmē un kā jūs varat sevi aizsargāt.

Tas sākas ar nopludinātām paroļu datu bāzēm

Uzbrukumi tiešsaistes pakalpojumiem ir izplatīti. Noziedznieki bieži izmanto sistēmu drošības nepilnības, lai iegūtu lietotājvārdu un paroļu datu bāzes. Nozagto pieteikšanās akreditācijas datu datu bāzes bieži tiek pārdoti tiešsaistē tumšais tīmeklis , ar noziedznieku iemaksu Bitcoin par privilēģiju piekļūt datu bāzei.

Pieņemsim, ka jums bija konts Avast forumā, kas bija pārkāpts tālajā 2014. gadā . Šis konts tika uzlauzts, un noziedzniekiem var būt jūsu lietotājvārds un parole Avast forumā. Avast sazinājās ar jums un vai esat nomainījis foruma paroli, tad kāda ir problēma?

Diemžēl problēma ir tā, ka daudzi cilvēki atkārtoti izmanto vienas un tās pašas paroles dažādās vietnēs. Pieņemsim, ka jūsu Avast foruma pieteikšanās informācija bija jūs@example.com un AmazingPassword. Ja esat pieteicies citās vietnēs ar tādu pašu lietotājvārdu (jūsu e-pasta adresi) un paroli, jebkurš noziedznieks, kurš iegūst jūsu nopludinātās paroles, var piekļūt šiem citiem kontiem.

SAISTĪTI: Kas ir tumšais tīmeklis?

Akreditācijas datu papildināšana darbībā

Akreditācijas datu papildināšana ietver šo nopludināto pieteikšanās datu datu bāzu izmantošanu un mēģinājumu ar tām pieteikties citos tiešsaistes pakalpojumos.

Noziedznieki ņem lielas datubāzes ar nopludinātu lietotājvārdu un paroļu kombinācijām — bieži vien miljoniem pieteikšanās akreditācijas datu — un mēģina pierakstīties ar tām citās vietnēs. Daži lietotāji atkārtoti izmanto vienu un to pašu paroli vairākās vietnēs, tāpēc dažas no tām sakrīt. To parasti var automatizēt ar programmatūru, ātri izmēģinot daudzas pieteikšanās kombinācijas.

Par kaut ko tik bīstamu, kas izklausās tik tehniski, tas ir viss — izmēģināt jau noplūdušos akreditācijas datus citos pakalpojumos un redzēt, kas darbojas. Citiem vārdiem sakot, hakeri visus šos pieteikšanās akreditācijas datus ievieto pieteikšanās veidlapā un redz, kas notiek. Daži no tiem noteikti darbosies.

Šis ir viens no visvairāk izplatītākie veidi, kā uzbrucēji uzlauž tiešsaistes kontus šajās dienās. 2018. gadā vien satura piegādes tīkls Akamai reģistrēja gandrīz 30 miljardus akreditācijas datu aizpildīšanas uzbrukumu.

SAISTĪTI: Kā uzbrucēji patiesībā uzlauž kontus tiešsaistē un kā pasargāt sevi

Kā pasargāt sevi

Ruslans Grumble/Shutterstock.com

Aizsargāt sevi no akreditācijas datu pildīšanas ir diezgan vienkārši, un tajā ir jāievēro tā pati paroles drošības prakse, ko drošības eksperti ir ieteikuši gadiem ilgi. Nav burvju risinājuma — tikai laba paroles higiēna. Šeit ir padoms:

Izvairieties no paroļu atkārtotas izmantošanas:Izmantojiet unikālu paroli katram kontam, ko izmantojat tiešsaistē. Tādā veidā, pat ja jūsu parole noplūst, to nevar izmantot, lai pierakstītos citās vietnēs. Uzbrucēji var mēģināt ievietot jūsu akreditācijas datus citās pieteikšanās veidlapās, taču tās nedarbosies. Izmantojiet paroļu pārvaldnieku:Spēcīgu unikālo paroļu atcerēšanās ir gandrīz neiespējams uzdevums, ja jums ir konti diezgan daudzās vietnēs, un to dara gandrīz visi. Mēs rekomendējam izmantojot paroļu pārvaldnieku patīk 1 Parole (maksas) vai Bitwarden (bezmaksas un atvērtā koda), lai atcerētos jūsu paroles. Tas pat var radīt šīs spēcīgās paroles no nulles. Iespējot divu faktoru autentifikāciju:Ar divpakāpju autentifikācija , katru reizi, kad piesakāties vietnē, jums ir jānorāda kaut kas cits, piemēram, kods, ko ģenerē lietotne vai nosūta jums īsziņā. Pat ja uzbrucējam ir jūsu lietotājvārds un parole, viņš nevarēs pierakstīties jūsu kontā, ja viņam nebūs šī koda. Saņemiet paziņojumus par nopludinātu paroli:Ar tādu pakalpojumu kā Vai esmu ticis izzagts? , tu vari saņemt paziņojumu, kad jūsu akreditācijas dati parādās noplūdes gadījumā .

SAISTĪTI: Kā pārbaudīt, vai jūsu parole nav nozagta

Kā pakalpojumi var aizsargāt pret akreditācijas datiem

Lai gan privātpersonām ir jāuzņemas atbildība par savu kontu drošību, tiešsaistes pakalpojumiem ir daudz veidu, kā aizsargāties pret akreditācijas datu pārpildīšanas uzbrukumiem.

Skenējiet lietotāju paroļu noplūdušās datu bāzes:Facebook un Netflix ir skenēti nopludināja paroļu datubāzes, salīdzinot tās ar pieteikšanās akreditācijas datiem savos pakalpojumos. Ja tiek atrasta atbilstība, Facebook vai Netflix var piedāvāt savam lietotājam mainīt paroli. Tas ir veids, kā pārspēt akreditācijas datus. Piedāvājiet divu faktoru autentifikāciju:Lietotājiem vajadzētu būt iespējai iespējot divu faktoru autentifikāciju, lai aizsargātu savus tiešsaistes kontus. Īpaši sensitīvi pakalpojumi to var padarīt obligātu. Viņi var arī likt lietotājam noklikšķināt uz pieteikšanās verifikācijas saites e-pastā, lai apstiprinātu pieteikšanās pieprasījumu. Nepieciešama CAPTCHA:Ja pieteikšanās mēģinājums izskatās dīvaini, pakalpojumam var būt jāievada attēlā redzamais CAPTCHA kods vai jānoklikšķina uz citas veidlapas, lai pārbaudītu, vai cilvēks, nevis robots, mēģina pierakstīties. Ierobežojiet atkārtotus pieteikšanās mēģinājumus: pakalpojumiem jāmēģina bloķēt, lai roboti īsā laika periodā nemēģina veikt lielu skaitu pierakstīšanās mēģinājumu. Mūsdienīgi sarežģīti robotprogrammatūras var mēģināt pierakstīties no vairākām IP adresēm vienlaikus, lai slēptu savus akreditācijas datu aizpildīšanas mēģinājumus.

Slikta paroļu prakse un, godīgi sakot, slikti aizsargātas tiešsaistes sistēmas, kuras bieži vien ir pārāk viegli apdraudēt, padara akreditācijas datu aizpildīšanu par nopietnu apdraudējumu tiešsaistes konta drošībai. Tas nav nekāds brīnums daudzi tehnoloģiju nozares uzņēmumi vēlas izveidot drošāku pasauli bez parolēm .

SAISTĪTI: Tehnoloģiju nozare vēlas iznīcināt paroli. Vai arī tā?

• › 5 vietnes, kas katram Linux lietotājam ir jāiekļauj grāmatzīmēs
• › Kas ir MIL-SPEC aizsardzība pret kritienu?
• › Kā atrast savu Spotify iesaiņojumu 2021. gadam
• › Funkcijas un formulas programmā Microsoft Excel: kāda ir atšķirība?
• › Datora mape ir 40: kā Xerox Star izveidoja darbvirsmu
• & rsaquo; Kiberpirmdiena 2021: labākie tehnoloģiju piedāvājumi