Co to jest upychanie poświadczeń — jak hakerzy próbują nieautoryzowanych Logins

Twoje dane uwierzytelniające online to najważniejsze informacje, które umożliwiają dostęp do różnych usług. Poświadczenia weryfikują własność. To Twój klucz do platform internetowych, na które się zarejestrowałeś. Ze względu na to, że są niezwykle wrażliwe, informacje te są cenne dla hakerów. Dowiedz się, jak hakerzy wykorzystują wypychanie poświadczeń, aby uzyskać dostęp do Twoich kont i jak temu zapobiec.

Farsz poświadczeń

Wyjaśnienie wypełniania poświadczeń

Hakowanie to praktyka uzyskiwania nieautoryzowanego dostępu do systemu w celu przeprowadzenia nikczemnej czynności. Na pewno słyszałeś o naruszeniach w usługach, które od czasu do czasu trafiają na pierwsze strony gazet w przestrzeni technologicznej. Nierzadko zdarza się, że raporty dotyczące kradzieży milionów kont nie są niczym niezwykłym. Głównym celem ataku na usługę jest wyodrębnienie bazy danych zawierającej plik login informacje o użytkownikach.
Nawet udaremnione próby mogą zabrać przynajmniej część danych. Zwykle, gdy naruszenie dotyczy usługi, publikuje komunikat prasowy informujący opinię publiczną o incydencie. Wysyła również e-maile do zarejestrowanych użytkowników, aby natychmiast zmienili swoje dane uwierzytelniające, ponieważ takie naruszenia zabierają ze sobą przynajmniej część bazy danych, zanim zostaną wykryte, a zabezpieczenia je wyrzucą.
Ale resetowanie hasła do tego konkretnego konta nie powinno być jedyną rzeczą, którą robisz.
Gdy cyberatak wykradnie dane uwierzytelniające użytkowników, zostaną one wystawione na sprzedaż każdemu, kto zechce za to zapłacić, w Dark Web. Dark Web to miejsce, w którym odbywają się wszelkiego rodzaju nielegalne działania. Możesz dowiedzieć się o ciemnej sieci na naszej stronie blog. To podbrzusze internetu to miejsce, w którym skradzione dane trafiają na sprzedaż.
Jak wspomnieliśmy, zresetowanie hasła do tego jednego konta nie ochroni Cię całkowicie przed autoryzowanym dostępem. Użytkownicy mają tendencję do używania jednego hasła w wielu usługach. To tutaj pojawia się Credential Stuffing, aby włamać się na inne konta.
Gdy haker uzyska dane uwierzytelniające, przeprowadzi eksperyment metodą prób i błędów w innych usługach, aby sprawdzić, czy hasło jest zgodne. Oczywiście ręczne wstawianie listy użytkowników i ich danych uwierzytelniających na różnych innych stronach internetowych będzie znacznie czasochłonne, więc hakerzy zlecają to zadanie botom.

Strony internetowe umieszczają CAPTCHA (Completely Automated Public Turing) podczas login odstraszyć masę login próbowanie.
Ale nawet przy ograniczeniach, takich jak przekroczenie limitu czasu i blokada adresu IP, Credential Stuffing może odnieść sukces. Narzędzia, które omijają te ograniczenia, przeskakują login próby między wieloma adresami IP. Hakerzy mogą więc próbować hasła bez blokowania.

Prawdziwe niebezpieczeństwo polega na tym, że do sieci wyciekną informacje o kartach kredytowych, a nie tylko dane uwierzytelniające platform mediów społecznościowych.
Jednym z przykładów cyberataku jest Yahoo. Firma świadcząca usługi internetowe ujawnił że naruszenie w 2013 r. naraziło na szwank informacje 3 miliardów użytkowników, co czyni go największym naruszeniem danych w historii.

Upychanie poświadczeń to nie brutalna siła

Credential Stuffing może wydawać się techniką Brute Force, ale to nieprawda. Brute Force to technika, która stosuje losowo generowane hasła do konta, dopóki nie znajdzie odpowiedniej kombinacji. Różnica w stosunku do Credential Stuffing polega tutaj na radzeniu sobie z nieznanym — nie ma żadnych wskazówek ani informacji na temat poświadczeń konta. Brute Forces jest znacznie bardziej czasochłonny i wymaga znacznie więcej zasobów obliczeniowych. Możliwości obliczeniowe bezpośrednio wpływają na wydajność Brute Force.
Credential Stuffing po prostu pobiera znane poświadczenia i zaczyna stosować je w innych usługach. To tak, jakby mieć klucz i mieć nadzieję, że jest inny zamek, który go zaakceptuje.

Jak bronić się przed fałszowaniem poświadczeń

Niewiele można zrobić po naruszeniu usługi. To, czy usługa jest w stanie zapewnić bezpieczeństwo danych, zależy całkowicie od możliwości usługi.
Pamiętaj, że wygenerowanie silnego hasła zabezpiecza Cię tylko przed Brute Force. Hasła, które zawierają wielkie i małe litery, znaki specjalne i cyfry, tworzą potężną kombinację.
Jednak jedyną rzeczą, którą możesz zrobić – i powinieneś zrobić – jest zachowanie różnych haseł na wszystkich swoich kontach. Zapamiętywanie wielu haseł, które mają unikalną kombinację, jest trudne, dlatego przydatne będzie użycie menedżera haseł. Jeśli menedżer haseł oferuje rozszerzenie przeglądarki internetowej, automatycznie uzupełni dane uwierzytelniające pod adresem login.
Oprócz silnych i unikalnych haseł włącz uwierzytelnianie dwuskładnikowe (2FA). Ta funkcja stanowi silną obronę przed nieautoryzowanym dostępem logins i dodaje drugą warstwę weryfikacji. Chociaż wymaga to posiadania aktywnego numeru przez cały czas, korzyści znacznie przewyższają kłopoty. Po pierwszym uwierzytelnieniu dwuskładnikowym możesz zezwolić na przyszłość logins z tego samego urządzenia lub zachowaj 2FA dla każdego login.
Niektóre serwisy poinformują Cię, jeśli wystąpił błąd login spróbuj z nieznanego urządzenia.
Ale naruszenie bezpieczeństwa to nie jedyny sposób, w jaki hakerzy uzyskują dostęp do danych uwierzytelniających. Słabe zabezpieczenia w Internecie mogą pozwolić hakerom na przechwytywanie pakietów danych. Wybitnym przykładem jest to, w jaki sposób publiczne hotspoty Wi-Fi mogą być wykorzystywane do przeprowadzania Człowiek w środku atak. Niezabezpieczone sieci lub niezabezpieczone połączenie między witryną a użytkownikiem mogą potencjalnie dać szansę hakerom.
Większość witryn korzysta obecnie z protokołu HTTPS w celu zabezpieczenia komunikacji internetowej za pomocą szyfrowania. Jednak VPN sprawia, że ​​każdy ruch wychodzący jest szyfrowany, w tym dla stron internetowych, które używają tylko HTTP. FastestVPNSzyfrowanie na poziomie wojskowym zapewni bezpieczeństwo podczas przeglądania niezabezpieczonych sieci w podróży.

Wnioski

Biorąc to wszystko pod uwagę, perspektywa nie jest tak niepokojąca, jak się wydaje. Szacuje się, że mniej niż 0.5% prób wypychania poświadczeń kończy się powodzeniem. Ale to nie powinno powstrzymywać cię przed podjęciem środków ostrożności. Nigdy nie używaj hasła na więcej niż jednej stronie internetowej; to zasada, której musisz przestrzegać.

Przejmij kontrolę nad swoją prywatnością już dziś! Odblokuj strony internetowe, uzyskaj dostęp do platform streamingowych i omiń monitorowanie ISP.

Get FastestVPN
Zapisz się do newslettera
Otrzymuj popularne posty tygodnia i najnowsze ogłoszenia od FastestVPN za pośrednictwem naszego biuletynu e-mailowego.
ikona
0 0 głosów
Ocena artykułu

Możesz Również jak

Zapisz się!
Powiadamiaj o
gość
0 Komentarze
Informacje zwrotne w linii
Wyświetl wszystkie komentarze

Zdobądź ofertę życia dla $ 40!

  • Serwery 800 +
  • Prędkości 10 Gb/s
  • WireGuard
  • Podwójna sieć VPN
  • 10 połączeń urządzeń
  • 31-dniowy zwrot pieniędzy
Get FastestVPN