Вверх

Что такое Credential Stuffing? (и как защитить себя)

4 февраля 2021 |

Что такое Credential Stuffing? (и как защитить себя)

A silhouette of a padlock in front of a Zoom logo. Ink Drop / Shutterstock.com

Благодаря «набивке учетных данных» в даркнете продается 500 миллионов аккаунтов Zoom. Это распространенный способ взлома аккаунтов в Интернете. Вот что на самом деле означает этот термин и как вы можете защитить себя.

Все начинается с утечки баз данных паролей

Атаки на онлайн-сервисы — обычное дело. Преступники часто используют уязвимости системы безопасности для получения баз данных с именами пользователей и паролями. Базы данных украденных учетных данных часто продаются в Интернете в даркнете, а преступники платят биткойнами за право доступа к базе данных.

Допустим, у вас была учетная запись на форуме Avast, которая была взломана еще в 2014 году. Эта учетная запись была взломана, и злоумышленники могут узнать ваше имя пользователя и пароль на форуме Avast. Avast связался с вами и попросил вас сменить пароль на форуме. В чем проблема?

К сожалению, проблема в том, что многие люди повторно используют одни и те же пароли на разных сайтах. Допустим, ваши данные для входа на форум Avast: you@example.com и AmazingPassword. Если вы вошли на другие веб-сайты с тем же именем пользователя (адресом электронной почты) и паролем, любой преступник, получивший ваши утекшие пароли, может получить доступ к этим другим учетным записям.

Заполнение учетных данных в действии

«Заполнение учетных данных» включает использование этих баз данных с утекшими данными для входа и попытки войти с ними в другие онлайн-сервисы.

Преступники берут большие базы данных утечек комбинаций имени пользователя и пароля — часто миллионы учетных данных — и попробуйте войти с ними на других веб-сайтах. Некоторые люди повторно используют один и тот же пароль на нескольких веб-сайтах, поэтому некоторые будут совпадать. Как правило, это можно автоматизировать с помощью программного обеспечения, быстро пробуя множество комбинаций входа в систему.

Для чего-то настолько опасного, что звучит так технически, вот и все — попытка утечки учетных данных в других службах и проверка того, что работает. Другими словами, «хакеры» вводят все эти учетные данные в форму входа и смотрят, что происходит. Некоторые из них обязательно сработают.

Это один из самых распространенных способов «взлома» онлайн-аккаунтов злоумышленниками в наши дни. Только в 2018 году в сети доставки контента Akamai было зарегистрировано около 30 миллиардов атак с заполнением учетных данных.

Как защитить себя Multiple keys next to an open padlock. Руслан Грамбл / Shutterstock.com

Защититься от заполнения учетных данных довольно просто и требует следуя тем же методам защиты паролей, которые эксперты по безопасности рекомендовали в течение многих лет. Нет волшебного решения — только хорошая гигиена паролей. Вот совет:

  • Избегайте повторного использования паролей: используйте уникальный пароль для каждой учетной записи, которую вы используете в Интернете. Таким образом, даже в случае утечки пароля его нельзя будет использовать для входа на другие веб-сайты. Злоумышленники могут попытаться ввести ваши учетные данные в другие формы входа, но это не сработает.
  • Используйте диспетчер паролей: запоминание надежных уникальных паролей — почти невыполнимая задача, если у вас есть учетные записи на нескольких веб-сайтах, и почти все делают. Мы рекомендуем использовать менеджер паролей, например 1Password (платный) или Bitwarden (бесплатный и с открытым исходным кодом), чтобы запоминать ваши пароли за вас. Он даже может генерировать эти надежные пароли с нуля.
  • Включить двухфакторную аутентификацию. При двухэтапной аутентификации вам нужно предоставить что-то еще — например, код, сгенерированный приложением или отправленный вам по SMS — каждый раз, когда вы входите на сайт. Даже если у злоумышленника есть ваше имя пользователя и пароль, он не сможет войти в вашу учетную запись, если у него нет этого кода.
  • Получайте уведомления об утечке пароля: с помощью такой службы, как Have I Been Pwned ?, вы можете получить уведомление, когда ваши учетные данные появятся в утечке.

Как службы могут защитить от заполнения учетных данных

Хотя отдельные лица должны взять на себя ответственность за безопасность своих учетных записей, для онлайн-служб существует множество способов защиты от атак с заполнением учетных данных.

  • Сканирование утечек баз данных на предмет паролей пользователей: Facebook и Netflix просканировали утечки баз данных на предмет паролей, сравнивая их с учетными данными для входа в свои собственные службы. В случае совпадения Facebook или Netflix могут предложить своему пользователю сменить пароль. Это способ превзойти наборов учетных данных.
  • Предложите двухфакторную аутентификацию: пользователи должны иметь возможность включить двухфакторную аутентификацию для защиты своих онлайн-аккаунтов. Особо конфиденциальные службы могут сделать это обязательным. Они также могут попросить пользователя щелкнуть ссылку подтверждения входа в электронном письме, чтобы подтвердить запрос на вход.
  • Требовать CAPTCHA: если попытка входа в систему выглядит странно, служба может потребовать ввести код CAPTCHA, отображаемый на изображении, или щелкнуть другую форму, чтобы подтвердить, что человек — а не бот — пытается войти в систему.
  • Ограничение повторных попыток входа в систему: службы должны пытаться блокировать попытки ботов предпринимать большое количество попыток входа в систему за короткий период времени. Современные изощренные боты могут пытаться войти в систему с нескольких IP-адресов одновременно, чтобы замаскировать свои попытки заполнения учетных данных.

Плохая практика паролей — и, честно говоря, плохо защищенные онлайн-системы, которые часто слишком легко взломать — сделать набивку учетными данными серьезной угрозой безопасности учетной записи в Интернете. Неудивительно, что многие компании в сфере высоких технологий хотят построить более безопасный мир без паролей.

Что такое Credential Stuffing? (и как защитить себя)


Напишите пару строк: