I alt 500 millioner Zoom-konti er til salg på det mørke web takket være “legitimationsfyld”. Det er en almindelig måde for kriminelle at bryde ind på konti online. Her er, hvad det udtryk faktisk betyder, og hvordan du kan beskytte dig selv.
Indholdsfortegnelse
Det starter med lækkede adgangskodedatabaser
Angreb mod onlinetjenester er almindelige. Kriminelle udnytter ofte sikkerhedsbrister i systemer til at erhverve databaser med brugernavne og adgangskoder. Databaser med stjålne loginoplysninger sælges ofte online på det mørke web, hvor kriminelle betaler med Bitcoin for at få adgang til databasen.
Lad os sige, at du havde en konto på Avast-forummet, hvilket var brudt tilbage i 2014. Denne konto blev brudt, og kriminelle kan have dit brugernavn og din adgangskode på Avast-forummet. Avast kontaktede dig og fik du ændret dit forumadgangskode, så hvad er problemet?
Desværre er problemet, at mange mennesker genbruger de samme adgangskoder på forskellige hjemmesider. Lad os sige, at dine Avast-forums loginoplysninger var “[email protected]” og “AmazingPassword.” Hvis du loggede ind på andre websteder med det samme brugernavn (din e-mailadresse) og adgangskode, kan enhver kriminel, der erhverver dine lækkede adgangskoder, få adgang til disse andre konti.
Credential Stuffing i aktion
“Credential stuffing” involverer at bruge disse databaser med lækkede loginoplysninger og forsøge at logge ind med dem på andre onlinetjenester.
Kriminelle tager store databaser med lækkede brugernavn og adgangskodekombinationer – ofte millioner af loginoplysninger – og forsøger at logge ind med dem på andre websteder. Nogle mennesker genbruger den samme adgangskode på flere websteder, så nogle vil matche. Dette kan generelt automatiseres med software, hvor man hurtigt prøver mange login-kombinationer.
For noget så farligt, der lyder så teknisk, er det alt, hvad det er – at prøve allerede lækkede legitimationsoplysninger på andre tjenester og se, hvad der virker. Med andre ord, “hackere” propper alle disse login-legitimationsoplysninger ind i login-formularen og se, hvad der sker. Nogle af dem vil helt sikkert virke.
Dette er en af de mest almindelige måder, hvorpå angribere “hacker” onlinekonti i disse dage. Alene i 2018 var indholdsleveringsnetværket Akamai logget næsten 30 milliarder akkrediteringsangreb.
Sådan beskytter du dig selv
At beskytte dig selv mod fyldning af legitimationsoplysninger er ret simpelt og involverer at følge den samme adgangskodesikkerhedspraksis, som sikkerhedseksperter har anbefalet i årevis. Der er ingen magisk løsning – kun god adgangskodehygiejne. Her er rådet:
Undgå at genbruge adgangskoder: Brug en unik adgangskode for hver konto, du bruger online. På den måde, selvom din adgangskode lækker, kan den ikke bruges til at logge ind på andre websteder. Angribere kan prøve at fylde dine legitimationsoplysninger i andre login-formularer, men de vil ikke virke.
Brug en Password Manager: At huske stærke unikke adgangskoder er en næsten umulig opgave, hvis du har konti på en del websteder, og det gør næsten alle. Vi anbefaler at bruge en adgangskodemanager som 1 Adgangskode (betalt) eller Bitwarden (gratis og open source) for at huske dine adgangskoder for dig. Det kan endda generere disse stærke adgangskoder fra bunden.
Aktiver to-faktor-godkendelse: Med to-trins-godkendelse skal du angive noget andet – som en kode, der er genereret af en app eller sendt til dig via SMS – hver gang du logger ind på et websted. Selvom en hacker har dit brugernavn og din adgangskode, vil de ikke være i stand til at logge ind på din konto, hvis de ikke har den kode.
Få lækket adgangskodemeddelelser: Med en tjeneste som Er jeg blevet pwned?, kan du få en notifikation, når dine legitimationsoplysninger vises i en læk.
Hvordan tjenester kan beskytte mod fyldning af legitimationsoplysninger
Mens enkeltpersoner skal tage ansvar for at sikre deres konti, er der mange måder, hvorpå onlinetjenester kan beskytte sig mod angreb, der fylder legitimationsoplysninger.
Scan lækkede databaser for brugeradgangskoder: Facebook og Netflix har scannet lækkede databaser for adgangskoder, krydsreferencer dem mod loginoplysninger på deres egne tjenester. Hvis der er et match, kan Facebook eller Netflix bede deres egen bruger om at ændre deres adgangskode. Dette er en måde at slå credential-stuffere på.
Tilbyd to-faktor-godkendelse: Brugere skal kunne aktivere to-faktor-godkendelse for at sikre deres onlinekonti. Særligt følsomme tjenester kan gøre dette obligatorisk. De kan også få en bruger til at klikke på et loginbekræftelseslink i en e-mail for at bekræfte loginanmodningen.
Kræv en CAPTCHA: Hvis et loginforsøg ser mærkeligt ud, kan en tjeneste kræve, at man indtaster en CAPTCHA-kode, der vises på et billede, eller at man klikker gennem en anden formular for at bekræfte, at et menneske – og ikke en bot – forsøger at logge ind.
Begræns gentagne loginforsøg: Tjenester bør forsøge at blokere bots fra at forsøge et stort antal loginforsøg på kort tid. Moderne sofistikerede bots kan forsøge at logge ind fra flere IP-adresser på én gang for at skjule deres forsøg på at fylde legitimationsoplysninger.
Dårlig adgangskodepraksis – og for at være retfærdig, dårligt sikrede onlinesystemer, der ofte er for lette at kompromittere – gør legitimationsfyldning til en alvorlig fare for onlinekontosikkerhed. Det er ikke underligt, at mange virksomheder i teknologiindustrien ønsker at bygge en mere sikker verden uden adgangskoder.