- FastestVPN
- حریم خصوصی و امنیت
- Credential Stuffing چیست – چگونه هکرها برای ورود غیرمجاز تلاش می کنند
Credential Stuffing چیست – چگونه هکرها برای ورود غیرمجاز تلاش می کنند
By نیک اندرسون بدون نظر دقیقه 5
اعتبار آنلاین شما مهمترین اطلاعاتی است که شما را قادر می سازد به خدمات مختلف دسترسی داشته باشید. اعتبارنامه مالکیت را تأیید می کند. این کلید شما برای پلتفرم های آنلاینی است که در آن ثبت نام کرده اید. به دلیل حساس بودن این اطلاعات برای هکرها ارزشمند است. بیاموزید که چگونه هکرها از Credential Stuffing برای دسترسی به حساب های شما استفاده می کنند و چگونه از آن جلوگیری کنید.
پر کردن اعتبار توضیح داده شده است
هک عملی است برای دسترسی غیرمجاز به یک سیستم برای انجام یک عمل بد ذاتا. حتماً در مورد نقضهای سرویسهایی شنیدهاید که هرازگاهی در فضای فناوری به سرفصل اخبار تبدیل میشوند. دیدن گزارش هایی در مورد سرقت میلیون ها حساب غیر معمول نیست. هدف اصلی از حمله به یک سرویس استخراج پایگاه داده ای است که حاوی آن است login اطلاعات کاربران
حتی تلاشهای خنثیشده میتوانند حداقل برخی از دادهها را بگیرند. معمولاً وقتی یک سرویس تحت تأثیر یک نقض قرار می گیرد، یک بیانیه مطبوعاتی منتشر می کند که مردم را از این رویداد مطلع می کند. همچنین به کاربران ثبتنام شده ایمیل میفرستد تا فوراً اعتبار خود را تغییر دهند، زیرا چنین نقضهایی حداقل بخشی از پایگاه داده را قبل از شناسایی با خود میبرند و دفاعهای امنیتی آنها را از بین میبرند.
اما بازنشانی رمز عبور آن حساب خاص نباید تنها کاری باشد که انجام می دهید.
هنگامی که یک حمله سایبری اعتبار کاربران را به سرقت برد، آنها برای هر کسی که مایل به پرداخت هزینه آن باشد در دارک وب به فروش می رسد. دارک وب مکانی است که در آن انواع فعالیت های غیرقانونی انجام می شود. شما می توانید در مورد وب تاریک در ما بیاموزید blog. این زیرزمینی اینترنت جایی است که دادههای دزدیده شده به فروش میرسند.
همانطور که اشاره کردیم، تنظیم مجدد رمز عبور آن یک حساب شما را به طور کامل از دسترسی مجاز محافظت نمی کند. کاربران تمایل دارند از یک رمز عبور در چندین سرویس استفاده کنند. اینجا جایی است که Credential Stuffing وارد می شود تا راه خود را به حساب های دیگر هک کند.
هنگامی که یک هکر اعتبارنامه را به دست آورد، آزمایشی آزمایشی و خطا را روی سرویس های دیگر اجرا می کند تا ببیند آیا رمز عبور مطابقت دارد یا خیر. البته، درج دستی لیست کاربران و اعتبار آنها در وب سایت های مختلف دیگر به طور قابل توجهی زمان بر خواهد بود، بنابراین هکرها این کار را به ربات ها محول می کنند.
وبسایتها CAPTCHA (تورینگ عمومی کاملاً خودکار) را در طول آن قرار میدهند login برای جلوگیری از جرم login تلاش ها
اما حتی با وجود محدودیتهایی مانند زمانبندی و ممنوعیت IP، Credential Stuffing میتواند موفقیتآمیز باشد. ابزارهایی که این محدودیت ها را دور می زنند می پرند login تلاش بین چندین آدرس IP بنابراین هکرها می توانند بدون قفل شدن به تلاش برای رمزهای عبور ادامه دهند.
خطر واقعی زمانی است که اطلاعات کارت اعتباری به صورت آنلاین به بیرون درز می کند، نه فقط اعتبار سیستم عامل های رسانه های اجتماعی.
یکی از نمونه های حمله سایبری یاهو است. شرکت خدمات اینترنتی نشان داد یک نقض در سال 2013 اطلاعات 3 میلیارد کاربر را به خطر انداخت و آن را به بزرگترین نقض داده در تاریخ تبدیل کرد.
Credential Stuffing نیروی بی رحمانه نیست
Credential Stuffing ممکن است به نظر یک تکنیک Brute Force باشد، اما این درست نیست. Brute Force تکنیکی است که گذرواژههای ایجاد شده بهطور تصادفی را روی یک حساب کاربری اعمال میکند تا زمانی که ترکیب مناسب را پیدا کند. تفاوت با Credential Stuffing در اینجا در برخورد با موارد ناشناخته است - هیچ نشانه یا اطلاعاتی در مورد اعتبار حساب وجود ندارد. Brute Forcing بسیار وقت گیر است و به منابع محاسباتی بسیار بیشتری نیاز دارد. قابلیت محاسباتی مستقیماً بر کارایی Brute Forcing تأثیر می گذارد.
Credential Stuffing به سادگی اعتبار شناخته شده را می گیرد و شروع به اعمال آنها در سایر خدمات می کند. مثل این است که یک کلید داشته باشید و امیدوار باشید که قفل دیگری وجود داشته باشد که آن را بپذیرد.
نحوه دفاع در برابر پر کردن اعتبار
هنگامی که یک سرویس نقض شد، کار زیادی نمی توانید انجام دهید. این کاملاً به توانایی سرویس برای ایمن نگه داشتن اطلاعات شما بستگی دارد.
به یاد داشته باشید که ایجاد یک رمز عبور قوی فقط شما را در برابر Brute Force ایمن می کند. گذرواژه هایی که شامل حروف بزرگ و کوچک، کاراکترهای خاص و اعداد هستند، ترکیب قدرتمندی را تشکیل می دهند.
با این حال، تنها کاری که می توانید انجام دهید – و باید انجام دهید – نگه داشتن رمزهای عبور مختلف در تمام حساب های خود است. به خاطر سپردن چند رمز عبور که ترکیبی منحصر به فرد دارند، چالش برانگیز است، بنابراین استفاده از یک مدیریت رمز عبور مفید خواهد بود. اگر مدیر رمز عبور یک برنامه افزودنی مرورگر وب ارائه می دهد، به طور خودکار اعتبارنامه ها را برای شما در این آدرس پر می کند login.
علاوه بر رمزهای عبور قوی و منحصر به فرد، احراز هویت دو مرحله ای (2FA) را فعال کنید. این ویژگی یک دفاع قوی در برابر موارد غیرمجاز است logins و لایه دوم تأیید را اضافه می کند. اگرچه لازم است همیشه یک شماره فعال همراه خود داشته باشید، اما مزایای آن بسیار بیشتر از دردسر است. پس از اولین احراز هویت دو عاملی، می توانید انتخاب کنید که آینده اجازه داده شود loginاز یک دستگاه یا 2FA را برای هر کدام نگه دارید login.
برخی از خدمات به شما اطلاع می دهند که اگر وجود داشته باشد login تلاش از یک دستگاه ناآشنا
اما نقض امنیتی تنها راهی نیست که هکرها به اعتبارنامه دسترسی پیدا می کنند. امنیت ضعیف در اینترنت می تواند به هکرها اجازه دهد تا بسته های داده را رهگیری کنند. مثال بارز این است که چگونه می توان از هات اسپات های Wi-Fi عمومی برای انجام یک مورد استفاده کرد انسان در وسط حمله کنند. شبکه های ناامن یا یک ارتباط ناامن بین وب سایت و کاربر این امکان را دارد که به هکرها فرصت دهد.
امروزه اکثر وب سایت ها از HTTPS برای ایمن سازی ارتباطات اینترنتی با رمزگذاری استفاده می کنند. با این حال، VPN هر ترافیک خروجی را رمزگذاری می کند، از جمله برای وب سایت هایی که فقط از HTTP استفاده می کنند. FastestVPNرمزگذاری درجه نظامی امنیت را هنگام مرور شبکه های ناامن در حال حرکت تضمین می کند.
نتیجه
با همه آنچه گفته شد، چشم انداز آنچنان که به نظر می رسد نگران کننده نیست. تخمین زده می شود که کمتر از 0.5٪ از تلاش های Credential Stuffing موفقیت آمیز هستند. اما این نباید مانع از انجام اقدامات احتیاطی شود. هرگز از رمز عبور در بیش از یک وب سایت استفاده نکنید. این قانونی است که باید رعایت کنید
امروز کنترل حریم خصوصی خود را در دست بگیرید! رفع انسداد وبسایتها، دسترسی به پلتفرمهای پخش جریانی و دور زدن نظارت ISP.
گرفتن FastestVPNشما ممکن است همچنین لایک کنید
معامله یک عمر را برای $ 40!
- بیش از 800 سرور برای محتوای جهانی
- سرعت 10 گیگابیت بر ثانیه برای تاخیر صفر
- WireGuard امنیت VPN قوی تر
- محافظت دو برابر سرور VPN
- محافظت از VPN برای حداکثر 10 دستگاه
- سیاست بازپرداخت کامل 31 روزه