- FastestVPN
- Privacy & Beveiliging
- Wat is credential stuffing – Hoe hackers ongeautoriseerde logins proberen
Wat is credential stuffing – Hoe hackers ongeautoriseerde logins proberen
By Nick Anderson Geen reacties 5 minuten
DeUw online inloggegevens zijn de belangrijkste informatie die u toegang geeft tot verschillende diensten. Inloggegevens verifiëren het eigendom. Het is uw sleutel tot de online platforms waarvoor u zich heeft aangemeld. Omdat deze uiterst gevoelig is, is deze informatie waardevol voor hackers. Ontdek hoe hackers Credential Stuffing gebruiken om toegang te krijgen tot uw accounts en hoe u dit kunt voorkomen.
Credential Stuffing uitgelegd
Hacken is het verkrijgen van ongeoorloofde toegang tot een systeem om een snode actie uit te voeren. Je hebt vast wel eens gehoord van inbreuken op diensten die af en toe de krantenkoppen halen in de technische ruimte. Het is niet ongebruikelijk om rapporten te zien over de diefstal van miljoenen accounts, het is niet ongebruikelijk. Het primaire doel van het aanvallen van een service is het extraheren van de database die de login informatie van gebruikers.
Zelfs verijdelde pogingen kunnen op zijn minst wat gegevens kosten. Wanneer een service wordt getroffen door een inbreuk, rolt deze gewoonlijk een persbericht uit waarin het publiek op de hoogte wordt gesteld van het incident. Het e-mailt ook geregistreerde gebruikers om hun inloggegevens onmiddellijk te wijzigen, omdat dergelijke inbreuken ten minste een deel van de database met zich meebrengen voordat ze worden gedetecteerd, en beveiligingsverdedigingen schoppen ze eruit.
Maar het opnieuw instellen van het wachtwoord van dat specifieke account zou niet het enige moeten zijn dat u doet.
Zodra een cyberaanval de inloggegevens van gebruikers heeft gestolen, worden deze te koop aangeboden aan iedereen die ervoor wil betalen, op het Dark Web. Het Dark Web is de plek waar allerlei illegale activiteiten plaatsvinden. Je kunt meer te weten komen over The Dark web op onze blog. In deze onderbuik van internet worden gestolen gegevens te koop aangeboden.
Zoals we al zeiden, zal het opnieuw instellen van het wachtwoord van dat ene account u niet volledig beschermen tegen geautoriseerde toegang. Gebruikers hebben de neiging om één wachtwoord te gebruiken voor meerdere services. Het is waar Credential Stuffing binnenkomt om andere accounts te hacken.
Zodra een hacker inloggegevens heeft verkregen, voert hij een experiment met vallen en opstaan uit op andere services om te zien of het wachtwoord overeenkomt. Natuurlijk zal het handmatig invoeren van de lijst met gebruikers en hun inloggegevens op verschillende andere websites aanzienlijk tijdrovend zijn, dus hackers delegeren deze taak aan bots.
Websites plaatsen CAPTCHA (Completely Automated Public Turing) tijdens login massa af te schrikken login pogingen.
Maar zelfs met beperkingen zoals time-outs en IP-ban kan Credential Stuffing succesvol zijn. De tools die deze beperkingen omzeilen springen login pogingen tussen meerdere IP-adressen. Zodat de hackers wachtwoorden kunnen blijven proberen zonder buitengesloten te worden.
Het echte gevaar is wanneer creditcardgegevens online worden gelekt, niet alleen de inloggegevens van sociale mediaplatforms.
Een voorbeeld van een cyberaanval is Yahoo. Het internetbedrijf onthuld dat een inbreuk in 2013 de informatie van 3 miljard gebruikers in gevaar bracht, waardoor het de grootste datalek in de geschiedenis was.
Credential Stuffing is geen brute kracht
Credential Stuffing lijkt misschien een Brute Force-techniek, maar dat is niet correct. Brute Force is een techniek die willekeurig gegenereerde wachtwoorden op een account toepast totdat de juiste combinatie is gevonden. Het verschil met Credential Stuffing hier is het omgaan met het onbekende - er is geen indicatie of informatie over de inloggegevens van het account. Brute forcering is veel tijdrovender en vereist aanzienlijk meer rekenkracht. Rekencapaciteit is rechtstreeks van invloed op de efficiëntie van brute forcering.
Credential Stuffing neemt gewoon de bekende referenties en begint ze toe te passen op andere services. Het is alsof je een sleutel hebt en hoopt dat er een ander slot is dat hem accepteert.
Hoe te verdedigen tegen Credential Stuffing
Er is niet veel dat u kunt doen als een service is geschonden. Het is geheel aan het vermogen van de service om uw gegevens veilig te houden.
Onthoud dat het genereren van een sterk wachtwoord u alleen beschermt tegen Brute Force. Wachtwoorden die hoofdletters en kleine letters, speciale tekens en cijfers bevatten, vormen een krachtige combinatie.
Het enige dat u echter kunt doen – en moet doen – is verschillende wachtwoorden gebruiken voor al uw accounts. Het is een uitdaging om meerdere wachtwoorden te onthouden die een unieke combinatie hebben, dus het gebruik van een wachtwoordbeheerder is handig. Als de wachtwoordbeheerder een webbrowser-extensie aanbiedt, vult deze automatisch de inloggegevens voor u in bij login.
Schakel naast sterke en unieke wachtwoorden ook tweefactorauthenticatie (2FA) in. De functie is een sterke verdediging tegen onbevoegden logins en voegt een tweede verificatielaag toe. Hoewel u altijd een actief nummer bij u moet hebben, wegen de voordelen veel zwaarder dan het gedoe. Na de eerste tweefactorauthenticatie kunt u ervoor kiezen om toekomst toe te staan logins van hetzelfde apparaat of behoud de 2FA voor elk login.
Sommige diensten zullen u informeren als er een login poging vanaf een onbekend apparaat.
Maar een inbreuk op de beveiliging is niet de enige manier waarop hackers toegang krijgen tot inloggegevens. Zwakke beveiliging via internet kan hackers in staat stellen datapakketten te onderscheppen. Het prominente voorbeeld is hoe openbare Wi-Fi-hotspots kunnen worden gebruikt om een Man in het midden aanval. Onbeveiligde netwerken of een onbeveiligde verbinding tussen de website en de gebruiker kunnen hackers een kans geven.
De meeste websites gebruiken tegenwoordig HTTPS om internetcommunicatie met codering te beveiligen. Een VPN maakt echter elk uitgaand verkeer versleuteld, ook voor websites die alleen HTTP gebruiken. FastestVPNDe versleuteling van militaire kwaliteit zorgt voor veiligheid wanneer u onderweg door onbeveiligde netwerken bladert.
Conclusie
Dat gezegd hebbende, de vooruitzichten zijn niet zo verontrustend als het klinkt. Naar schatting is minder dan 0.5% van de Credential Stuffing-pogingen succesvol. Maar dat mag u er niet van weerhouden om voorzorgsmaatregelen te nemen. Gebruik nooit een wachtwoord op meer dan één website; dat is de regel die je moet volgen.
Neem vandaag nog controle over uw privacy! Deblokkeer websites, krijg toegang tot streamingplatforms en omzeil ISP-monitoring.
Krijgen FastestVPNJe kan Ook als
Ontvang de deal van je leven voor $ 40!
- 800+ servers voor wereldwijde content
- Snelheden van 10 Gbps voor nul vertraging
- WireGuard sterkere VPN-beveiliging
- Dubbele VPN-serverbeveiliging
- VPN-beveiliging voor maximaal 10 apparaten
- 31 dagen volledig terugbetalingsbeleid