Mi az a „Credential Stuffing” és hogyan védd magad ellene? (2. rész)

Protect Yourself

Az előző részben láttuk, hogy a hackerek nem tétlenkednek, amikor sok ember ül otthon egy járvány miatt és videókonferencia alkalmazásokon keresztül beszélnek egymással. A koronavírus idején sok cég (például az Elon Musk által alapított SpaceX is) megtiltotta az olyan alkalmazások használatát, mint a Zoom, mivel a hackerek túl könnyen feltörték az adatbázisokat.Credential Stuffing
Alapvetően a videókonferencia alkalmazások gyártói a felelősek, hogy adatainkat ne lophassák el, azonban nem minden gyártó rendelkezik megfelelő védelmi infrastruktúrával. Az a fontos tehát, hogy mi is védjük magunkat az ilyen támadások ellen.online vedekezes

  • Lehetőleg ne használjunk azonos jelszavakat több különböző online szolgáltatás esetében. Mindig variáljuk 4-5 módon az adott jelszót, ha kell készítsünk erről papír alapú jegyzetet, hogy ne online kelljen tárolni a jelszavakat, hiszen azokhoz ugyanúgy hozzájuthatnak a hackerek.
  • Sok hosszú és különböző jelszóra emlékezni szinte lehetetlen. Vannak már alkalmazások viszont, melyek erre specializálódtak. Ilyenek például a 1Password és a Bitwarden, melyek emlékeznek helyettünk a jelszavakra, de igény esetén generálnak is nekünk olyanokat, melyeket lehetetlen feltörni emberi idő alatt.
  • A kétlépcsős autentikáció az egyik leghatékonyabb módja a védekezésnek, ugyanis a felhasználó mindig kap egy generált kódot valamely eszközére, mely nélkül a bejelentkezés lehetetlen. A kétlépcsős módszerhez szükség van a felhasználó valamely eszközére, így a hacker-nek nem sok esélye van.
  • Vannak olyan szolgáltatások, mint a „Have I Been Pwned?”, melyek üzennek nekünk, ha adataink megjelennek valamilyen népszerű illegális oldalon. Érdemes lehet hallgatni rájuk.

Felhasználói oldalról ezeket tehetjük annak érdekében, hogy adataink nagyobb biztonságban legyenek. De mi a helyzet a cégekkel? Ők mit tehetnek azért, hogy az ügyfelek adatai nagyobb biztonságban legyenek?azonositos hackeles

  • Értelemszerűen szakemberek bérlése, biztonsági protokollok fejlesztése, jobb tűzfal, stb
  • Érdemes a kiszivárgott adatbázisokat szkennelni és összehasonlítani saját adatbázisunkkal. A Facebook és a Netflix is ezt csinálta például és kiszivárgott Zoom fiókok alapján értesítette azokat a felhasználókat, akiknek a Zoom belépési adatai azonosak vagy nagyon hasonlóak voltak a Facebook és Netflix oldalon használt belépési adatokkal
  • Ha fontos a biztonság, akkor a kétlépcsős beléptetést fel kell ajánlani a felhasználóknak. Ezt nem muszáj mobilra terelni, lehet emailben is elküldeni nekik egy kódot, ami viszonylag egyszerűen kivitelezhető és nem kell hozzá SMS vagy külön okostelefonos alkalmazás.
  • Limitálni kell a rövid időn belüli bejelentkezési lehetőségeket, de erre vannak már jó szkriptek

Adataink biztonsága mindig elsődleges. Érdemes ezeket a tanácsokat megfogadni!

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük

Ez az oldal az Akismet szolgáltatást használja a spam csökkentésére. Ismerje meg a hozzászólás adatainak feldolgozását .