Credential Stuffing چیست – چگونه هکرها برای ورود غیرمجاز تلاش می کنند

اعتبار آنلاین شما مهمترین اطلاعاتی است که شما را قادر می سازد به خدمات مختلف دسترسی داشته باشید. اعتبارنامه مالکیت را تأیید می کند. این کلید شما برای پلتفرم های آنلاینی است که در آن ثبت نام کرده اید. به دلیل حساس بودن این اطلاعات برای هکرها ارزشمند است. بیاموزید که چگونه هکرها از Credential Stuffing برای دسترسی به حساب های شما استفاده می کنند و چگونه از آن جلوگیری کنید.

پر کردن مدارک

پر کردن اعتبار توضیح داده شده است

هک عملی است برای دسترسی غیرمجاز به یک سیستم برای انجام یک عمل بد ذاتا. حتماً در مورد نقض‌های سرویس‌هایی شنیده‌اید که هرازگاهی در فضای فناوری به سرفصل اخبار تبدیل می‌شوند. دیدن گزارش هایی در مورد سرقت میلیون ها حساب غیر معمول نیست. هدف اصلی از حمله به یک سرویس استخراج پایگاه داده ای است که حاوی آن است login اطلاعات کاربران
حتی تلاش‌های خنثی‌شده می‌توانند حداقل برخی از داده‌ها را بگیرند. معمولاً وقتی یک سرویس تحت تأثیر یک نقض قرار می گیرد، یک بیانیه مطبوعاتی منتشر می کند که مردم را از این رویداد مطلع می کند. همچنین به کاربران ثبت‌نام شده ایمیل می‌فرستد تا فوراً اعتبار خود را تغییر دهند، زیرا چنین نقض‌هایی حداقل بخشی از پایگاه داده را قبل از شناسایی با خود می‌برند و دفاع‌های امنیتی آن‌ها را از بین می‌برند.
اما بازنشانی رمز عبور آن حساب خاص نباید تنها کاری باشد که انجام می دهید.
هنگامی که یک حمله سایبری اعتبار کاربران را به سرقت برد، آنها برای هر کسی که مایل به پرداخت هزینه آن باشد در دارک وب به فروش می رسد. دارک وب مکانی است که در آن انواع فعالیت های غیرقانونی انجام می شود. شما می توانید در مورد وب تاریک در ما بیاموزید blog. این زیرزمینی اینترنت جایی است که داده‌های دزدیده شده به فروش می‌رسند.
همانطور که اشاره کردیم، تنظیم مجدد رمز عبور آن یک حساب شما را به طور کامل از دسترسی مجاز محافظت نمی کند. کاربران تمایل دارند از یک رمز عبور در چندین سرویس استفاده کنند. اینجا جایی است که Credential Stuffing وارد می شود تا راه خود را به حساب های دیگر هک کند.
هنگامی که یک هکر اعتبارنامه را به دست آورد، آزمایشی آزمایشی و خطا را روی سرویس های دیگر اجرا می کند تا ببیند آیا رمز عبور مطابقت دارد یا خیر. البته، درج دستی لیست کاربران و اعتبار آنها در وب سایت های مختلف دیگر به طور قابل توجهی زمان بر خواهد بود، بنابراین هکرها این کار را به ربات ها محول می کنند.

وب‌سایت‌ها CAPTCHA (تورینگ عمومی کاملاً خودکار) را در طول آن قرار می‌دهند login برای جلوگیری از جرم login تلاش ها
اما حتی با وجود محدودیت‌هایی مانند زمان‌بندی و ممنوعیت IP، Credential Stuffing می‌تواند موفقیت‌آمیز باشد. ابزارهایی که این محدودیت ها را دور می زنند می پرند login تلاش بین چندین آدرس IP بنابراین هکرها می توانند بدون قفل شدن به تلاش برای رمزهای عبور ادامه دهند.

خطر واقعی زمانی است که اطلاعات کارت اعتباری به صورت آنلاین به بیرون درز می کند، نه فقط اعتبار سیستم عامل های رسانه های اجتماعی.
یکی از نمونه های حمله سایبری یاهو است. شرکت خدمات اینترنتی نشان داد یک نقض در سال 2013 اطلاعات 3 میلیارد کاربر را به خطر انداخت و آن را به بزرگترین نقض داده در تاریخ تبدیل کرد.

Credential Stuffing نیروی بی رحمانه نیست

Credential Stuffing ممکن است به نظر یک تکنیک Brute Force باشد، اما این درست نیست. Brute Force تکنیکی است که گذرواژه‌های ایجاد شده به‌طور تصادفی را روی یک حساب کاربری اعمال می‌کند تا زمانی که ترکیب مناسب را پیدا کند. تفاوت با Credential Stuffing در اینجا در برخورد با موارد ناشناخته است - هیچ نشانه یا اطلاعاتی در مورد اعتبار حساب وجود ندارد. Brute Forcing بسیار وقت گیر است و به منابع محاسباتی بسیار بیشتری نیاز دارد. قابلیت محاسباتی مستقیماً بر کارایی Brute Forcing تأثیر می گذارد.
Credential Stuffing به سادگی اعتبار شناخته شده را می گیرد و شروع به اعمال آنها در سایر خدمات می کند. مثل این است که یک کلید داشته باشید و امیدوار باشید که قفل دیگری وجود داشته باشد که آن را بپذیرد.

نحوه دفاع در برابر پر کردن اعتبار

هنگامی که یک سرویس نقض شد، کار زیادی نمی توانید انجام دهید. این کاملاً به توانایی سرویس برای ایمن نگه داشتن اطلاعات شما بستگی دارد.
به یاد داشته باشید که ایجاد یک رمز عبور قوی فقط شما را در برابر Brute Force ایمن می کند. گذرواژه هایی که شامل حروف بزرگ و کوچک، کاراکترهای خاص و اعداد هستند، ترکیب قدرتمندی را تشکیل می دهند.
با این حال، تنها کاری که می توانید انجام دهید – و باید انجام دهید – نگه داشتن رمزهای عبور مختلف در تمام حساب های خود است. به خاطر سپردن چند رمز عبور که ترکیبی منحصر به فرد دارند، چالش برانگیز است، بنابراین استفاده از یک مدیریت رمز عبور مفید خواهد بود. اگر مدیر رمز عبور یک برنامه افزودنی مرورگر وب ارائه می دهد، به طور خودکار اعتبارنامه ها را برای شما در این آدرس پر می کند login.
علاوه بر رمزهای عبور قوی و منحصر به فرد، احراز هویت دو مرحله ای (2FA) را فعال کنید. این ویژگی یک دفاع قوی در برابر موارد غیرمجاز است logins و لایه دوم تأیید را اضافه می کند. اگرچه لازم است همیشه یک شماره فعال همراه خود داشته باشید، اما مزایای آن بسیار بیشتر از دردسر است. پس از اولین احراز هویت دو عاملی، می توانید انتخاب کنید که آینده اجازه داده شود loginاز یک دستگاه یا 2FA را برای هر کدام نگه دارید login.
برخی از خدمات به شما اطلاع می دهند که اگر وجود داشته باشد login تلاش از یک دستگاه ناآشنا
اما نقض امنیتی تنها راهی نیست که هکرها به اعتبارنامه دسترسی پیدا می کنند. امنیت ضعیف در اینترنت می تواند به هکرها اجازه دهد تا بسته های داده را رهگیری کنند. مثال بارز این است که چگونه می توان از هات اسپات های Wi-Fi عمومی برای انجام یک مورد استفاده کرد انسان در وسط حمله کنند. شبکه های ناامن یا یک ارتباط ناامن بین وب سایت و کاربر این امکان را دارد که به هکرها فرصت دهد.
امروزه اکثر وب سایت ها از HTTPS برای ایمن سازی ارتباطات اینترنتی با رمزگذاری استفاده می کنند. با این حال، VPN هر ترافیک خروجی را رمزگذاری می کند، از جمله برای وب سایت هایی که فقط از HTTP استفاده می کنند. FastestVPNرمزگذاری درجه نظامی امنیت را هنگام مرور شبکه های ناامن در حال حرکت تضمین می کند.

نتیجه

با همه آنچه گفته شد، چشم انداز آنچنان که به نظر می رسد نگران کننده نیست. تخمین زده می شود که کمتر از 0.5٪ از تلاش های Credential Stuffing موفقیت آمیز هستند. اما این نباید مانع از انجام اقدامات احتیاطی شود. هرگز از رمز عبور در بیش از یک وب سایت استفاده نکنید. این قانونی است که باید رعایت کنید

امروز کنترل حریم خصوصی خود را در دست بگیرید! رفع انسداد وب‌سایت‌ها، دسترسی به پلتفرم‌های پخش جریانی و دور زدن نظارت ISP.

گرفتن FastestVPN
اشتراک در خبرنامه
پست های پرطرفدار هفته و آخرین اطلاعیه ها را از FastestVPN از طریق خبرنامه ایمیل ما
شمایل
0 0 رای
رتبه بندی مقاله

شما ممکن است همچنین لایک کنید

اشتراک
اطلاع از
مهمان
0 نظرات
بازخورد درون خطی
مشاهده همه نظرات

معامله یک عمر را برای $ 40!

  • بیش از 800 سرور برای محتوای جهانی
  • سرعت 10 گیگابیت بر ثانیه برای تاخیر صفر
  • WireGuard امنیت VPN قوی تر
  • محافظت دو برابر سرور VPN
  • محافظت از VPN برای حداکثر 10 دستگاه
  • سیاست بازپرداخت کامل 31 روزه
گرفتن FastestVPN