ما هو حشو بيانات الاعتماد - كيف يحاول المتسللون محاولة غير مصرح بها Logins

25 حزيران، 2020 By نيك أندرسون لا توجد تعليقات 5 دقيقة

بيانات الاعتماد الخاصة بك على الإنترنت هي أهم المعلومات التي تمكنك من الوصول إلى خدمات متنوعة. التحقق من أوراق الاعتماد الملكية. إنه مفتاحك إلى الأنظمة الأساسية عبر الإنترنت التي قمت بالتسجيل فيها. نظرًا لكونها حساسة للغاية ، فإن هذه المعلومات ذات قيمة للمتسللين. تعرف على كيفية استخدام المتسللين لحشو بيانات الاعتماد للوصول إلى حساباتك وكيفية منعها.

شرح حشو الاعتماد

القرصنة هي ممارسة للحصول على وصول غير مصرح به إلى نظام للقيام بعمل شائن بطبيعته. لا بد أنك سمعت عن انتهاكات في الخدمات تصدرت عناوين الأخبار في مجال التكنولوجيا بين الحين والآخر. ليس من غير المألوف أن ترى تقارير تتعلق بسرقة ملايين الحسابات ليس من غير المألوف. الغرض الأساسي من مهاجمة الخدمة هو استخراج قاعدة البيانات التي تحتوي على الامتداد login معلومات المستخدمين.
حتى المحاولات الفاشلة يمكن أن تأخذ على الأقل بعض البيانات. عادة ، عندما تتأثر خدمة ما بخرق ، فإنها تصدر بيانًا صحفيًا لإعلام الجمهور بالحادث. كما يقوم أيضًا بإرسال رسائل بريد إلكتروني إلى المستخدمين المسجلين لتغيير بيانات اعتمادهم على الفور لأن مثل هذه الانتهاكات تأخذ جزءًا على الأقل من قاعدة البيانات معهم قبل اكتشافها ، وتطردهم الدفاعات الأمنية.
لكن إعادة تعيين كلمة المرور لهذا الحساب المعين لا ينبغي أن يكون الشيء الوحيد الذي تفعله.
بمجرد قيام هجوم إلكتروني بسرقة بيانات اعتماد المستخدمين ، سيتم عرضها للبيع لأي شخص على استعداد لدفع ثمنها في شبكة الويب المظلمة. شبكة الويب المظلمة هي المكان الذي تحدث فيه جميع أنواع الأنشطة غير القانونية. يمكنك التعرف على شبكة الويب المظلمة على موقعنا blog. هذا الجزء السفلي من الإنترنت هو المكان الذي يتم فيه بيع البيانات المسروقة.
كما ذكرنا ، فإن إعادة تعيين كلمة المرور لهذا الحساب لن يحميك تمامًا من الوصول المصرح به. يميل المستخدمون إلى استخدام كلمة مرور واحدة عبر خدمات متعددة. هذا هو المكان الذي يأتي فيه Credential Stuffing لاختراق طريقه إلى حسابات أخرى.
بمجرد حصول المتسلل على بيانات الاعتماد ، سيقوم بإجراء تجربة من نوع التجربة والخطأ على الخدمات الأخرى لمعرفة ما إذا كانت كلمة المرور متطابقة. بطبيعة الحال ، فإن إدراج قائمة المستخدمين وبيانات اعتمادهم يدويًا على العديد من مواقع الويب الأخرى سيستغرق وقتًا طويلاً ، لذلك يفوض المتسللون هذه المهمة إلى برامج الروبوت.

مواقع الويب تضع CAPTCHA (Turing العامة المؤتمتة بالكامل) أثناء login لردع الكتلة login المحاولات.
ولكن حتى مع وجود قيود مثل المهلات وحظر IP ، يمكن أن يكون حشو بيانات الاعتماد ناجحًا. الأدوات التي تتجاوز هذه القيود تقفز login محاولات بين عناوين IP متعددة. لذلك يمكن للقراصنة الاستمرار في محاولة كلمات المرور دون حظر.

يكمن الخطر الحقيقي في تسريب معلومات بطاقة الائتمان عبر الإنترنت ، وليس فقط بيانات اعتماد منصات التواصل الاجتماعي.
أحد الأمثلة على الهجمات الإلكترونية هو موقع Yahoo. شركة خدمات الإنترنت كشف أن خرقًا في عام 2013 أدى إلى اختراق معلومات 3 مليارات مستخدم ، مما يجعله أكبر خرق للبيانات في التاريخ.

حشو بيانات الاعتماد ليس قوة غاشمة

قد يبدو حشو بيانات الاعتماد أسلوبًا للقوة الغاشمة ، لكن هذا ليس صحيحًا. القوة الغاشمة هي تقنية تطبق كلمات المرور التي تم إنشاؤها عشوائيًا على الحساب حتى يعثر على المجموعة الصحيحة. يتمثل الاختلاف عن حشو بيانات الاعتماد هنا في التعامل مع المجهول - لا يوجد مؤشر أو معلومات حول بيانات اعتماد الحساب. يستهلك التأثير الغاشم وقتًا طويلاً ويتطلب موارد حوسبة أكثر بشكل ملحوظ. تؤثر القدرة الحاسوبية بشكل مباشر على كفاءة التأثير الغاشم.
يأخذ حشو بيانات الاعتماد ببساطة أوراق الاعتماد المعروفة ويبدأ في تطبيقها على خدمات أخرى. إنه يشبه امتلاك مفتاح وتأمل في وجود قفل آخر يقبله.

كيفية الدفاع ضد حشو الاعتمادات

ليس هناك الكثير الذي يمكنك فعله بمجرد خرق الخدمة. الأمر متروك تمامًا لقدرة الخدمة على الحفاظ على أمان بياناتك.
تذكر أن إنشاء كلمة مرور قوية يؤمنك فقط ضد القوة الغاشمة. تشكل كلمات المرور التي تتضمن أحرفًا كبيرة وصغيرة وأحرفًا خاصة وأرقامًا مزيجًا قويًا.
ومع ذلك ، فإن الشيء الوحيد الذي يمكنك فعله - ويجب عليك فعله - هو الاحتفاظ بكلمات مرور مختلفة عبر جميع حساباتك. من الصعب تذكر كلمات مرور متعددة لها تركيبة فريدة ، لذا فإن استخدام مدير كلمات المرور سيكون مفيدًا. إذا كان مدير كلمات المرور يقدم امتدادًا لمتصفح الويب ، فسيقوم تلقائيًا بملء بيانات الاعتماد نيابة عنك على login.
بالإضافة إلى كلمات المرور القوية والفريدة من نوعها ، قم بتمكين المصادقة الثنائية (2FA). الميزة هي دفاع قوي ضد غير المصرح به loginويضيف طبقة ثانية من التحقق. على الرغم من أنه يتطلب أن يكون لديك رقم نشط معك في جميع الأوقات ، إلا أن الفوائد تفوق بكثير المتاعب. بعد المصادقة الثنائية الأولى ، يمكنك اختيار السماح بالمستقبل logins من نفس الجهاز أو احتفظ بـ 2FA لكل منهما login.
ستخبرك بعض الخدمات إذا كان هناك ملف login محاولة من جهاز غير مألوف.
لكن الخرق الأمني ​​ليس هو الطريقة الوحيدة للوصول إلى بيانات الاعتماد. يمكن أن يسمح الأمن الضعيف عبر الإنترنت للمتسللين باعتراض حزم البيانات. المثال البارز هو كيف يمكن استخدام نقاط اتصال Wi-Fi العامة لتنفيذ ملف الرجل-في-الأوسط هجوم. الشبكات غير الآمنة أو الاتصال غير الآمن بين موقع الويب والمستخدم لديها القدرة على منح المتسللين فرصة.
تستخدم معظم مواقع الويب اليوم HTTPS لتأمين الاتصال عبر الإنترنت بالتشفير. ومع ذلك ، فإن في بي ان تجعل كل حركة مرور صادرة مشفرة ، بما في ذلك مواقع الويب التي تستخدم HTTP فقط. FastestVPNسيضمن التشفير من الدرجة العسكرية الأمان عند التصفح عبر الشبكات غير الآمنة أثناء التنقل.

وفي الختام

مع كل ما قيل ، فإن التوقعات ليست مقلقة كما تبدو. تشير التقديرات إلى أن أقل من 0.5٪ من محاولات حشو بيانات الاعتماد كانت ناجحة. لكن هذا لا ينبغي أن يمنعك من اتخاذ الاحتياطات. لا تستخدم أبدًا كلمة مرور في أكثر من موقع ويب ؛ هذه هي القاعدة التي يجب عليك اتباعها.

اشترك في النشرة الإخبارية

تلقي المنشورات الشائعة لهذا الأسبوع وآخر الإعلانات من FastestVPN عبر النشرة الإخبارية عبر البريد الإلكتروني.

البريد الإلكتروني