Home / Linux / Mi az a „Credential Stuffing” és hogyan védd magad ellene? (2. rész)

Mi az a „Credential Stuffing” és hogyan védd magad ellene? (2. rész)

Az előző részben láttuk, hogy a hackerek nem tétlenkednek, amikor sok ember ül otthon egy járvány miatt és videókonferencia alkalmazásokon keresztül beszélnek egymással. A koronavírus idején sok cég (például az Elon Musk által alapított SpaceX is) megtiltotta az olyan alkalmazások használatát, mint a Zoom, mivel a hackerek túl könnyen feltörték az adatbázisokat.Credential Stuffing

Alapvetően a videókonferencia alkalmazások gyártói a felelősek, hogy adatainkat ne lophassák el, azonban nem minden gyártó rendelkezik megfelelő védelmi infrastruktúrával. Az a fontos tehát, hogy mi is védjük magunkat az ilyen támadások ellen.online vedekezes

  • Lehetőleg ne használjunk azonos jelszavakat több különböző online szolgáltatás esetében. Mindig variáljuk 4-5 módon az adott jelszót, ha kell készítsünk erről papír alapú jegyzetet, hogy ne online kelljen tárolni a jelszavakat, hiszen azokhoz ugyanúgy hozzájuthatnak a hackerek.
  • Sok hosszú és különböző jelszóra emlékezni szinte lehetetlen. Vannak már alkalmazások viszont, melyek erre specializálódtak. Ilyenek például a 1Password és a Bitwarden, melyek emlékeznek helyettünk a jelszavakra, de igény esetén generálnak is nekünk olyanokat, melyeket lehetetlen feltörni emberi idő alatt.
  • A kétlépcsős autentikáció az egyik leghatékonyabb módja a védekezésnek, ugyanis a felhasználó mindig kap egy generált kódot valamely eszközére, mely nélkül a bejelentkezés lehetetlen. A kétlépcsős módszerhez szükség van a felhasználó valamely eszközére, így a hacker-nek nem sok esélye van.
  • Vannak olyan szolgáltatások, mint a „Have I Been Pwned?”, melyek üzennek nekünk, ha adataink megjelennek valamilyen népszerű illegális oldalon. Érdemes lehet hallgatni rájuk.

Felhasználói oldalról ezeket tehetjük annak érdekében, hogy adataink nagyobb biztonságban legyenek. De mi a helyzet a cégekkel? Ők mit tehetnek azért, hogy az ügyfelek adatai nagyobb biztonságban legyenek?azonositos hackeles

  • Értelemszerűen szakemberek bérlése, biztonsági protokollok fejlesztése, jobb tűzfal, stb
  • Érdemes a kiszivárgott adatbázisokat szkennelni és összehasonlítani saját adatbázisunkkal. A Facebook és a Netflix is ezt csinálta például és kiszivárgott Zoom fiókok alapján értesítette azokat a felhasználókat, akiknek a Zoom belépési adatai azonosak vagy nagyon hasonlóak voltak a Facebook és Netflix oldalon használt belépési adatokkal
  • Ha fontos a biztonság, akkor a kétlépcsős beléptetést fel kell ajánlani a felhasználóknak. Ezt nem muszáj mobilra terelni, lehet emailben is elküldeni nekik egy kódot, ami viszonylag egyszerűen kivitelezhető és nem kell hozzá SMS vagy külön okostelefonos alkalmazás.
  • Limitálni kell a rövid időn belüli bejelentkezési lehetőségeket, de erre vannak már jó szkriptek

Adataink biztonsága mindig elsődleges. Érdemes ezeket a tanácsokat megfogadni!

Szerző Fórián Andrea

Olvastad?

Floppy Drive, modern Pc

Hogyan szedjünk le adatokat egy floppy-ról modern gépeken? (1. rész)

Akik a 90-es években és a 2000-es évek elején nőttek fel, bizonyára emlékeznek a ma …

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük

A weboldal használatának folytatásával Ön elfogadja a cookie-k használatát Adatkezelési tájékoztató és felhasználási feltételek

A süti beállítások ennél a honlapnál engedélyezett a legjobb felhasználói élmény érdekében. Amennyiben a beállítás változtatása nélkül kerül sor a honlap használatára, vagy az "Elfogadás" gombra történik kattintás, azzal a felhasználó elfogadja a sütik használatát.

Bezárás