Che cos'è il Credential Stuffing: come gli hacker tentano senza autorizzazione Logins

25 Giugno 2020 By Nick Anderson Non ci sono commenti 5 minuti

Le tue credenziali online sono le informazioni più importanti che ti consentono di accedere ai vari servizi. Le credenziali verificano la proprietà. È la tua chiave per le piattaforme online a cui ti sei iscritto. Essendo estremamente sensibili, queste informazioni sono preziose per gli hacker. Scopri come gli hacker utilizzano il Credential Stuffing per ottenere l'accesso ai tuoi account e come prevenirlo.

Spiegazione del riempimento delle credenziali

L'hacking è una pratica per ottenere l'accesso non autorizzato a un sistema per compiere un'azione di natura nefasta. Devi aver sentito parlare di violazioni nei servizi che fanno notizia nello spazio tecnologico di tanto in tanto. Non è raro vedere segnalazioni relative al furto di milioni di account non è raro. Lo scopo principale dell'attacco a un servizio è estrarre il database che contiene il file login informazioni degli utenti.
Anche i tentativi sventati possono richiedere almeno alcuni dati. Di solito, quando un servizio è interessato da una violazione, lancia un comunicato stampa che informa il pubblico dell'incidente. Inoltre, invia un'e-mail agli utenti registrati per modificare immediatamente le proprie credenziali perché tali violazioni portano con sé almeno una parte del database prima di essere rilevate e le difese di sicurezza li escludono.
Ma reimpostare la password di quel particolare account non dovrebbe essere l'unica cosa che fai.
Una volta che un attacco informatico ha rubato le credenziali degli utenti, queste saranno messe in vendita a chiunque sia disposto a pagarle, nel Dark Web. Il Dark Web è il luogo in cui si svolgono tutti i tipi di attività illegali. Puoi conoscere The Dark web sul nostro blog. Questo ventre di Internet è dove i dati rubati vengono messi in vendita.
Come accennato, reimpostare la password di quell'account non ti proteggerà completamente dall'accesso autorizzato. Gli utenti tendono a utilizzare una password su più servizi. È qui che entra in gioco il Credential Stuffing per penetrare in altri account.
Una volta che un hacker ottiene le credenziali, eseguirà una sorta di esperimento di prova ed errore su altri servizi per vedere se la password corrisponde. Naturalmente, l'inserimento manuale dell'elenco degli utenti e delle relative credenziali su vari altri siti Web richiederà molto tempo, quindi gli hacker delegano questo compito ai bot.

I siti Web inseriscono CAPTCHA (Completely Automated Public Turing) durante login per scoraggiare la massa login tentativi.
Ma anche con restrizioni come timeout e IP ban in atto, il Credential Stuffing può avere successo. Gli strumenti che aggirano queste restrizioni saltano login tentativi tra più indirizzi IP. Quindi gli hacker possono continuare a provare le password senza essere bloccati.

Il vero pericolo è quando le informazioni sulla carta di credito vengono trapelate online, non solo le credenziali delle piattaforme di social media.
Un esempio di attacco informatico è Yahoo. La società di servizi Internet rivelato che una violazione nel 2013 ha compromesso le informazioni di 3 miliardi di utenti, rendendola la più grande violazione di dati della storia.

Credential Stuffing non è forza bruta

Il Credential Stuffing può sembrare una tecnica di forza bruta, ma non è corretto. Brute Force è una tecnica che applica password generate casualmente a un account finché non trova la giusta combinazione. La differenza rispetto al Credential Stuffing qui riguarda l'ignoto: non ci sono indicazioni o informazioni sulle credenziali dell'account. La forzatura bruta richiede molto più tempo e richiede molte più risorse di calcolo. La capacità di calcolo influisce direttamente sull'efficienza della forzatura bruta.
Il Credential Stuffing prende semplicemente le credenziali conosciute e inizia ad applicarle ad altri servizi. È come avere una chiave e sperare che ci sia un'altra serratura che la accetti.

Come difendersi dal Credential Stuffing

Non c'è molto che puoi fare una volta che un servizio è stato violato. Spetta interamente alla capacità del servizio mantenere i tuoi dati al sicuro.
Ricorda che la generazione di una password complessa ti protegge solo dalla forza bruta. Le password che includono lettere maiuscole e minuscole, caratteri speciali e numeri costituiscono una combinazione potente.
Tuttavia, l'unica cosa che puoi fare, e dovresti fare, è mantenere password diverse su tutti i tuoi account. È difficile ricordare più password che hanno una combinazione univoca, quindi l'utilizzo di un gestore di password ti tornerà utile. Se il gestore di password offre un'estensione del browser Web, inserirà automaticamente le credenziali per te all'indirizzo login.
Oltre a password complesse e univoche, abilita l'autenticazione a due fattori (2FA). La funzione è una forte difesa contro gli utenti non autorizzati loginse aggiunge un secondo livello di verifica. Sebbene richieda di avere sempre un numero attivo con sé, i vantaggi superano di gran lunga i problemi. Dopo la prima autenticazione a due fattori, puoi scegliere di consentire future logins dallo stesso dispositivo o mantieni la 2FA per ciascuno login.
Alcuni servizi ti informeranno se c'era un login tentativo da un dispositivo sconosciuto.
Ma una violazione della sicurezza non è l'unico modo in cui gli hacker ottengono l'accesso alle credenziali. Una sicurezza debole su Internet può consentire agli hacker di intercettare i pacchetti di dati. L'esempio principale è come gli hotspot Wi-Fi pubblici possono essere utilizzati per eseguire un Man-in-the-Middle attacco. Le reti non sicure o una connessione non protetta tra il sito Web e l'utente possono potenzialmente offrire agli hacker una possibilità.
La maggior parte dei siti Web oggi utilizza HTTPS per proteggere le comunicazioni Internet con la crittografia. Tuttavia, una VPN rende crittografato ogni traffico in uscita, anche per i siti Web che utilizzano solo HTTP. FastestVPNLa crittografia di livello militare di garantisce la sicurezza durante la navigazione attraverso reti non protette in movimento.

Conclusione

Detto questo, le prospettive non sono così preoccupanti come sembra. Si stima che meno dello 0.5% dei tentativi di Credential Stuffing abbiano successo. Ma ciò non dovrebbe impedirti di prendere precauzioni. Non usare mai una password su più di un sito web; questa è la regola che devi seguire.

Iscriviti alla Newsletter

Ricevi i post di tendenza della settimana e gli ultimi annunci di FastestVPN tramite la nostra newsletter via e-mail.

Email