Credential Stuffing とは – ハッカーが不正に試みる方法 Logins

オンライン資格情報は、さまざまなサービスへのアクセスを可能にする最も重要な情報です。 資格情報は所有権を確認します。 これは、サインアップしたオンライン プラットフォームへの鍵です。 非常に機密性が高いため、この情報はハッカーにとって貴重です。 ハッカーが Credential Stuffing を使用してアカウントにアクセスする方法と、それを防ぐ方法を学びます。

資格情報のスタッフィング

Credential Stuffing の説明

ハッキングとは、システムに不正にアクセスして悪質な行為を実行する行為です。 テクノロジー分野でときどき話題になるサービスの侵害について聞いたことがあるはずです。 何百万ものアカウントが盗まれたという報告は珍しくありません。 サービスを攻撃する主な目的は、サービスを含むデータベースを抽出することです。 login ユーザーの情報。
失敗した試みでも、少なくとも一部のデータが取得される可能性があります。 通常、サービスが侵害の影響を受けると、インシデントを一般に知らせるプレス リリースが公開されます。 また、登録ユーザーに資格情報をすぐに変更するように電子メールで送信します。これは、このような侵害が検出される前にデータベースの少なくとも一部を持ち出し、セキュリティ防御がそれらを追い出すためです。
しかし、その特定のアカウントのパスワードをリセットすることだけがあなたのすべきことではありません。
サイバー攻撃によってユーザーの認証情報が盗まれると、その認証情報は、ダーク Web で支払いを希望する人に売りに出されます。 ダークウェブは、あらゆる種類の違法行為が行われる場所です。 ダークウェブについては、私たちのサイトで学ぶことができます blog. このインターネットの下層部は、盗まれたデータが売りに出される場所です。
前述したように、その XNUMX つのアカウントのパスワードをリセットしても、認証されたアクセスから完全に保護されるわけではありません。 ユーザーは、複数のサービスで XNUMX つのパスワードを使用する傾向があります。 ここで、Credential Stuffing が他のアカウントをハッキングします。
ハッカーが資格情報を取得すると、パスワードが一致するかどうかを確認するために、他のサービスで試行錯誤のような実験を実行します。 もちろん、ユーザーのリストとその資格情報を他のさまざまな Web サイトに手動で挿入するのは非常に時間がかかるため、ハッカーはこの作業をボットに委任します。

Web サイトは、CAPTCHA (完全に自動化された公開チューリング) を配置します。 login 質量を抑止する login 試み。
ただし、タイムアウトや IP 禁止などの制限があっても、Credential Stuffing は成功する可能性があります。 これらの制限を回避するツールはジャンプします login 複数の IP アドレス間の試行。 そのため、ハッカーはロックアウトされることなくパスワードを試行し続けることができます.

本当の危険は、ソーシャル メディア プラットフォームの認証情報だけでなく、クレジット カード情報がオンラインで漏洩した場合です。
サイバー攻撃の一例は Yahoo です。 インターネットサービス会社 明らかになった 2013 年の侵害では 3 億人のユーザーの情報が侵害され、史上最大のデータ侵害となった.

Credential Stuffing は力ずくではない

Credential Stuffing はブルート フォース技術のように見えるかもしれませんが、それは正しくありません。 ブルート フォースは、適切な組み合わせが見つかるまで、ランダムに生成されたパスワードをアカウントに適用する手法です。 ここでの Credential Stuffing との違いは、未知のものを扱うことです。アカウントの資格情報に関する兆候や情報はありません。 ブルート フォーシングは、はるかに時間がかかり、より多くのコンピューティング リソースを必要とします。 コンピューティング能力は、ブルート フォーシングの効率に直接影響します。
Credential Stuffing は、既知の資格情報を単純に取得し、それらを他のサービスに適用し始めます。 鍵を持っていて、それを受け入れる別のロックがあることを期待するようなものです.

Credential Stuffing から防御する方法

サービスが侵害されると、できることはあまりありません。 データを安全に保つかどうかは、完全にサービスの機能次第です。
強力なパスワードを生成しても、ブルート フォースからのみ保護されることに注意してください。 大文字と小文字、特殊文字、および数字を含むパスワードは、強力な組み合わせになります。
ただし、できることとすべきことの XNUMX つは、すべてのアカウントで異なるパスワードを保持することです。 一意の組み合わせを持つ複数のパスワードを覚えるのは難しいため、パスワード マネージャーを使用すると便利です。 パスワード マネージャーが Web ブラウザー拡張機能を提供している場合は、次の URL で資格情報が自動的に入力されます。 login.
強力で一意のパスワードに加えて、2 要素認証 (XNUMXFA) を有効にします。 機能は、不正に対する強力な防御です。 logins 検証の XNUMX 番目のレイヤーを追加します。 アクティブな番号を常に携帯している必要がありますが、そのメリットは手間をはるかに上回ります。 最初の XNUMX 要素認証の後、今後許可することを選択できます loginを同じデバイスから取得するか、それぞれの 2FA を保持します login.
一部のサービスは、発生した場合に通知します。 login なじみのないデバイスからの試行。
しかし、ハッカーが資格情報にアクセスする唯一の方法は、セキュリティ侵害だけではありません。 インターネット上のセキュリティが弱いと、ハッカーがデータ パケットを傍受する可能性があります。 顕著な例は、公衆 Wi-Fi ホットスポットを使用して、 中間者 攻撃。 セキュリティで保護されていないネットワーク、または Web サイトとユーザーの間の接続がセキュリティで保護されていない場合、ハッカーにチャンスを与える可能性があります。
現在、ほとんどの Web サイトは HTTPS を使用して、暗号化によるインターネット通信を保護しています。 ただし、VPN は、HTTP のみを使用する Web サイトを含め、すべてのアウトバウンド トラフィックを暗号化します。 FastestVPNの軍事レベルの暗号化により、外出先で安全でないネットワークをブラウジングする際のセキュリティが確保されます。

まとめ

そうは言っても、見通しは思ったほど厄介ではありません。 Credential Stuffing の試行のうち、成功するのは 0.5% 未満であると推定されています。 しかし、だからと言って予防策を講じる必要はありません。 複数の Web サイトでパスワードを使用しないでください。 それはあなたが従わなければならない規則です。

今日からプライバシーを管理しましょう! Web サイトのブロックを解除し、ストリーミング プラットフォームにアクセスし、ISP の監視をバイパスします。

入手 FastestVPN
ニュースレターを購読する
今週のトレンド投稿と最新のお知らせを受け取る FastestVPN 私たちの電子メールニュースレターを介して。
アイコンを押します。
0 0
記事の評価

してもいいです また好き

ニュースレター登録
通知する
ゲスト
0 コメント
インラインフィードバック
すべてのコメントを見る

一生に一度の取引を手に入れましょう $ 40!

  • 800 +サーバー
  • 10Gbpsの速度
  • ワイヤガード
  • ダブルVPN
  • 10 台のデバイス接続
  • 31日間の払い戻し
入手 FastestVPN