Cyberbezpieczeństwo, Poradniki

Co to jest nadzienie poświadczeń? (i jak się chronić)

Photo of author

By maciekx

Na ciemnej sieci można znaleźć około 500 milionów kont Zoom do sprzedaży, które zostały wystawione na sprzedaż w wyniku tzw. „wypychania poświadczeń”. Ten sposób włamań stał się popularny wśród cyberprzestępców. Poniżej wyjaśniamy, co to dokładnie oznacza oraz jak możesz się przed tym chronić.

Jak dochodzi do wycieków haseł

Ataki na platformy internetowe są na porządku dziennym. Cyberprzestępcy często wykorzystują luki w zabezpieczeniach, aby uzyskać dostęp do baz danych zawierających nazwy użytkowników i hasła. Skradzione dane logowania są następnie sprzedawane w ciemnej sieci, gdzie hakerzy płacą w Bitcoinach za dostęp do tych informacji.

Przykładowo, jeśli korzystasz z forum Avast, które zostało włamane w 2014 roku, Twoje dane logowania mogły zostać przejęte. Avast mógł się z Tobą skontaktować, a Ty zmieniłeś swoje hasło. W czym więc tkwi problem?

Niestety, wielu użytkowników stosuje te same hasła na różnych platformach. Jeśli Twoje dane logowania na forum Avast to „ty@example.com” oraz „Niesamowite hasło”, a używasz tych samych danych na innych stronach, hakerzy mogą łatwo uzyskać dostęp do tych kont, jeśli tylko przejmą Twoje ujawnione hasła.

Jak działa wypychanie poświadczeń

„Wypychanie poświadczeń” polega na wykorzystaniu wyciekłych baz danych z danymi logowania do próby zalogowania się na inne platformy. Hakerzy korzystają z ogromnych zbiorów ujawnionych kombinacji nazw użytkowników i haseł, często liczących miliony rekordów, aby próbować uzyskać dostęp do różnych witryn.

Niektórzy użytkownicy stosują te same hasła na wielu stronach, co ułatwia przestępcom sukces. Proces ten można zautomatyzować przy użyciu specjalistycznego oprogramowania, które szybko przetestuje wiele kombinacji logowania. To prosta strategia – hakerzy wprowadzają dane logowania w formularzach logowania i sprawdzają, które z nich działają. Z pewnością część z nich odniesie sukces.

Ostatnio wypychanie poświadczeń stało się jednym z najczęstszych sposobów, w jakie przestępcy uzyskują dostęp do kont online. W 2018 roku sieć dostarczania treści Akamai odnotowała blisko 30 miliardów takich ataków.

Jak się zabezpieczyć

Ochrona przed wypychaniem poświadczeń jest stosunkowo prosta i opiera się na przestrzeganiu dobrych praktyk w zakresie bezpieczeństwa haseł, które specjaliści polecają od lat. Nie ma jednego uniwersalnego rozwiązania – kluczem jest dobra higiena haseł. Oto kilka wskazówek:

  • Nie używaj tych samych haseł: Staraj się tworzyć unikalne hasła dla każdego konta online. Dzięki temu, nawet jeśli któreś z haseł wycieknie, nie da się go użyć do logowania w innych serwisach. Hakerzy mogą próbować wykorzystać Twoje dane logowania w różnych miejscach, ale nie będą działały.
  • Korzystaj z menedżera haseł: Zapamiętywanie silnych i unikalnych haseł może być trudne, szczególnie mając konta na wielu stronach. Rekomendowane są menedżery haseł, takie jak 1Password (płatny) lub Bitwarden (darmowy i open-source), które pomogą w zarządzaniu hasłami, a także mogą generować mocne hasła.
  • Włącz uwierzytelnianie dwuetapowe: Uwierzytelnianie dwuetapowe wymaga podania dodatkowego elementu, na przykład kodu generowanego przez aplikację lub wysyłanego SMS-em, za każdym razem, gdy logujesz się na stronie. Nawet jeśli hakerzy zdobędą Twoje dane logowania, nie będą mogli uzyskać dostępu do konta bez tego kodu.
  • Otrzymuj powiadomienia o wyciekach haseł: Usługa taka jak Czy zostałem Pwned? informuje Cię o wyciekach Twoich danych logowania.

Jak usługi mogą chronić użytkowników przed wypychaniem poświadczeń

Chociaż użytkownicy muszą dbać o bezpieczeństwo swoich kont, istnieje wiele metod, które serwisy internetowe mogą zastosować, aby chronić się przed atakami związanymi z wypychaniem poświadczeń.

  • Skanowanie wycieków haseł: Takie serwisy jak Facebook i Netflix przeprowadzają skanowanie w poszukiwaniu haseł użytkowników w wyciekłych bazach danych. Jeśli znajdą dopasowanie, mogą poprosić użytkownika o zmianę hasła, co stanowi skuteczną ochronę przed atakami.
  • Oferowanie uwierzytelniania dwuetapowego: Użytkownicy powinni mieć możliwość włączenia tej funkcji, aby zwiększyć bezpieczeństwo swoich kont. Dla bardziej wrażliwych usług może to być wymóg.
  • Wymaganie CAPTCHA: Gdy próba logowania wydaje się podejrzana, usługa może poprosić o wprowadzenie kodu CAPTCHA, aby potwierdzić, że próbuje się zalogować człowiek, a nie bot.
  • Ograniczenie liczby prób logowania: Serwisy powinny wdrożyć mechanizmy ograniczające próbę logowania, aby uniemożliwić botom masowe ataki w krótkim czasie, co może zminimalizować ryzyko wypychania poświadczeń.

Nieodpowiednie praktyki związane z hasłami, a także słabo zabezpieczone systemy online, które często są łatwe do złamania, sprawiają, że wypychanie poświadczeń pozostaje poważnym zagrożeniem dla bezpieczeństwa kont internetowych. Nic dziwnego, że wiele firm technologicznych dąży do stworzenia bezpieczniejszego świata, w którym rezygnuje się z haseł.


newsblog.pl

Inne artykuły:

  1. Jak chronić swoje konta internetowe przed atakami polegającymi na upychaniu poświadczeń
  2. Jak przeskanować repozytorium GitHub w poszukiwaniu poświadczeń?
  3. Napraw Windows Pytaj o błąd moich poświadczeń
  4. Co to jest Carding i jak się przed nim chronić?

Najlepsze aplikacje i strony internetowe do śledzenia COVID-19

Jak wyłączyć klawisz Insert w systemie Windows 10