Что такое Credential Stuffing — как хакеры пытаются несанкционированно Logins

Ваши онлайн-учетные данные — это самая важная информация, которая позволяет вам получать доступ к различным службам. Учетные данные подтверждают право собственности. Это ваш ключ к онлайн-платформам, на которые вы подписались. Из-за чрезвычайной конфиденциальности эта информация представляет ценность для хакеров. Узнайте, как хакеры используют Credential Stuffing для получения доступа к вашим учетным записям и как это предотвратить.

Заполнение учетных данных

Объяснение заполнения учетных данных

Взлом — это практика получения несанкционированного доступа к системе для совершения гнусных по своей природе действий. Вы, должно быть, слышали о нарушениях в службах, которые время от времени попадают в заголовки в технической сфере. Нередко можно увидеть сообщения о краже миллионов учетных записей. Основная цель атаки на службу — извлечь базу данных, содержащую login информация пользователей.
Даже сорванные попытки могут забрать хоть какие-то данные. Обычно, когда служба подвергается взлому, она выпускает пресс-релиз, информирующий общественность об инциденте. Он также отправляет зарегистрированным пользователям электронное письмо с просьбой немедленно изменить свои учетные данные, потому что такие нарушения захватывают с собой по крайней мере часть базы данных, прежде чем они будут обнаружены, и средства защиты выгоняют их.
Но сброс пароля этой конкретной учетной записи не должен быть единственным, что вы должны делать.
Как только кибератака украдет учетные данные пользователей, они будут выставлены на продажу любому, кто готов заплатить за это, в даркнете. Dark Web — это место, где происходят всевозможные незаконные действия. Вы можете узнать о Темной паутине на нашем blog. В этой изнанке Интернета украденные данные выставляются на продажу.
Как мы уже упоминали, сброс пароля этой учетной записи не полностью защитит вас от авторизованного доступа. Пользователи склонны использовать один пароль для нескольких сервисов. Именно здесь появляется Credential Stuffing, чтобы взломать другие учетные записи.
Как только хакер получит учетные данные, он проведет эксперимент методом проб и ошибок на других сервисах, чтобы проверить, совпадает ли пароль. Конечно, ручная вставка списка пользователей и их учетных данных на различные другие веб-сайты потребует значительного времени, поэтому хакеры делегируют эту работу ботам.

Веб-сайты размещают CAPTCHA (полностью автоматизированный публичный Turing) во время login для сдерживания массы login попытки.
Но даже с такими ограничениями, как тайм-ауты и блокировка IP-адресов, Credential Stuffing может быть успешным. Инструменты, которые обходят эти ограничения, прыгают login попытки между несколькими IP-адресами. Таким образом, хакеры могут продолжать попытки взлома паролей, не будучи заблокированными.

Реальная опасность заключается в утечке информации о кредитной карте, а не только учетных данных социальных сетей.
Одним из примеров кибератаки является Yahoo. Интернет сервисная компания показал, что взлом в 2013 году скомпрометировал информацию 3 миллиардов пользователей, что сделало это крупнейшей утечкой данных в истории.

Вставка учетных данных — это не грубая сила

Вставка учетных данных может показаться методом грубой силы, но это не так. Brute Force — это метод, который применяет случайно сгенерированные пароли к учетной записи, пока не будет найдена правильная комбинация. Отличие от Credential Stuffing здесь заключается в том, что мы имеем дело с неизвестным — нет указаний или информации об учетных данных учетной записи. Брут-форс занимает гораздо больше времени и требует значительно больше вычислительных ресурсов. Вычислительные возможности напрямую влияют на эффективность грубой силы.
Credential Stuffing просто берет известные учетные данные и начинает применять их к другим службам. Это все равно, что иметь ключ и надеяться, что есть другой замок, который его примет.

Как защититься от вставки учетных данных

Когда служба взломана, вы мало что можете сделать. Это полностью зависит от возможностей службы по обеспечению безопасности ваших данных.
Помните, что создание надежного пароля защищает вас только от грубой силы. Пароли, включающие прописные и строчные буквы, специальные символы и цифры, составляют мощную комбинацию.
Однако единственное, что вы можете сделать — и должны сделать — это использовать разные пароли для всех своих учетных записей. Трудно запомнить несколько паролей с уникальной комбинацией, поэтому вам пригодится менеджер паролей. Если менеджер паролей предлагает расширение веб-браузера, он автоматически заполнит учетные данные для вас на login.
В дополнение к надежным и уникальным паролям включите двухфакторную аутентификацию (2FA). Эта функция является надежной защитой от несанкционированного logins и добавляет второй уровень проверки. Хотя это требует, чтобы вы всегда имели при себе активный номер, преимущества намного перевешивают хлопоты. После первой двухфакторной аутентификации вы можете разрешить loginс одного устройства или сохранить двухфакторную аутентификацию для каждого login.
Некоторые сервисы сообщат вам, если login попытка с незнакомого устройства.
Но нарушение безопасности — не единственный способ, с помощью которого хакеры получают доступ к учетным данным. Слабая безопасность в Интернете может позволить хакерам перехватывать пакеты данных. Ярким примером является то, как общедоступные точки доступа Wi-Fi могут использоваться для проведения Человек-в-середине атака. Незащищенные сети или незащищенное соединение между веб-сайтом и пользователем могут дать хакерам шанс.
Сегодня большинство веб-сайтов используют HTTPS для защиты интернет-соединения с шифрованием. Однако впн шифрует каждый исходящий трафик, в том числе для веб-сайтов, использующих только HTTP. FastestVPNШифрование военного уровня обеспечит безопасность при просмотре незащищенных сетей на ходу.

Заключение

С учетом всего сказанного, перспективы не так тревожны, как кажется. По оценкам, менее 0.5% попыток заполнения учетных данных являются успешными. Но это не должно помешать вам принять меры предосторожности. Никогда не используйте пароль более чем на одном веб-сайте; это правило, которому вы должны следовать.

Возьмите под контроль свою конфиденциальность сегодня! Разблокируйте веб-сайты, получите доступ к потоковым платформам и обойдите мониторинг интернет-провайдеров.

Получить FastestVPN
Подписаться на новостную рассылку
Получайте самые популярные сообщения недели и последние объявления от FastestVPN через нашу электронную рассылку.
значок
0 0 голосов
Рейтинг статьи

Ты можешь Так же как

Подписаться
Уведомление о
гость
0 Комментарии
Встроенные отзывы
Посмотреть все комментарии

Получите предложение на всю жизнь за $ 40!

  • 800 + серверы
  • Скорость 10 Гбит/с
  • WireGuard
  • Двойной впн
  • 10 подключений устройств
  • 31-дневный возврат
Получить FastestVPN