Nhồi tín dụng là gì? (và cách tự bảo vệ mình)

Một hình bóng của ổ khóa trước logo Zoom.
Mực thả / Shutterstock.com

Tổng cộng có 500 triệu tài khoản Zoom để bán trên web tối nhờ vào nhồi thông tin xác thực. Nó là một cách phổ biến để bọn tội phạm đột nhập vào tài khoản trực tuyến. Đây là những gì thuật ngữ đó thực sự có nghĩa và làm thế nào bạn có thể tự bảo vệ mình.

Nó bắt đầu với cơ sở dữ liệu mật khẩu bị rò rỉ

Tấn công chống lại các dịch vụ trực tuyến là phổ biến. Tội phạm thường khai thác lỗ hổng bảo mật trong các hệ thống để có được cơ sở dữ liệu về tên người dùng và mật khẩu. Cơ sở dữ liệu của thông tin đăng nhập bị đánh cắp thường được bán trực tuyến trên web tối, với tội phạm thanh toán Bitcoin cho các đặc quyền truy cập cơ sở dữ liệu.

Hãy nói rằng bạn đã có một tài khoản trên diễn đàn Avast, đó là vi phạm trở lại vào năm 2014. Tài khoản đó đã bị vi phạm và bọn tội phạm có thể có tên người dùng và mật khẩu của bạn trên diễn đàn Avast. Avast đã liên lạc với bạn và bạn đã thay đổi mật khẩu diễn đàn của mình, vậy vấn đề gì?

Thật không may, vấn đề là nhiều người sử dụng lại cùng một mật khẩu trên các trang web khác nhau. Hãy để nói rằng chi tiết đăng nhập diễn đàn Avast của bạn là Bạn [email protected] Và và Amazing AmazingPassword. Nếu bạn đăng nhập vào các trang web khác có cùng tên người dùng (địa chỉ email của bạn) và mật khẩu, bất kỳ tên tội phạm nào có được mật khẩu bị rò rỉ của bạn đều có thể truy cập vào các tài khoản khác đó.

LIÊN QUAN: Dark Web là gì?

Nhồi tín dụng trong hành động

Phần mềm nhồi tin cậy của người dùng liên quan đến việc sử dụng các cơ sở dữ liệu về các chi tiết đăng nhập bị rò rỉ và cố gắng đăng nhập với chúng trên các dịch vụ trực tuyến khác.

Bọn tội phạm lấy các cơ sở dữ liệu lớn về các kết hợp tên người dùng và mật khẩu bị rò rỉ, thường là hàng triệu thông tin đăng nhập và cố gắng đăng nhập với chúng trên các trang web khác. Một số người sử dụng lại cùng một mật khẩu trên nhiều trang web, vì vậy một số sẽ khớp. Điều này thường có thể được tự động hóa với phần mềm, nhanh chóng thử nhiều kết hợp đăng nhập.

Đối với một thứ gì đó nguy hiểm đến mức nghe có vẻ kỹ thuật, đó là tất cả những gì mà nó đang cố gắng đã bị rò rỉ thông tin đăng nhập trên các dịch vụ khác và xem những gì hoạt động. Nói cách khác, các tin tặc của người Hồi giáo đã nhét tất cả các thông tin đăng nhập vào biểu mẫu đăng nhập và xem điều gì sẽ xảy ra. Một số trong số họ chắc chắn để làm việc.

Đây là một trong những Những cách phổ biến mà kẻ tấn công hack hack tài khoản trực tuyến những ngày này Riêng năm 2018, mạng phân phối nội dung Akamai đăng nhập gần 30 tỷ cuộc tấn công nhồi thông tin xác thực.

LIÊN QUAN: Những kẻ tấn công thực sự “Hack tài khoản” trực tuyến và cách tự bảo vệ mình

Cách tự bảo vệ mình

Nhiều phím bên cạnh một ổ khóa mở.
Ruslan Grumble / Shutterstock.com

Bảo vệ bạn khỏi nhồi thông tin xác thực là khá đơn giản và liên quan đến việc tuân theo cùng một thực hành bảo mật mật khẩu mà các chuyên gia bảo mật đã khuyến nghị trong nhiều năm. Không có giải pháp ma thuật nào, chỉ cần vệ sinh mật khẩu tốt. Đây là lời khuyên:

  • Tránh sử dụng lại mật khẩu: Sử dụng mật khẩu duy nhất cho mỗi tài khoản bạn sử dụng trực tuyến. Bằng cách đó, ngay cả khi mật khẩu của bạn bị rò rỉ, nó có thể được sử dụng để đăng nhập vào các trang web khác. Kẻ tấn công có thể cố gắng đưa thông tin đăng nhập của bạn vào các hình thức đăng nhập khác, nhưng chúng đã giành được công việc của Google.
  • Sử dụng Trình quản lý mật khẩu: Ghi nhớ mật khẩu mạnh duy nhất là một nhiệm vụ gần như không thể nếu bạn có tài khoản trên khá nhiều trang web và hầu như mọi người đều làm như vậy. Chúng tôi đề nghị sử dụng trình quản lý mật khẩu giống 1 mật khẩu (trả tiền) hoặc Bitwarden (miễn phí và mã nguồn mở) để ghi nhớ mật khẩu cho bạn. Nó thậm chí có thể tạo ra những mật khẩu mạnh từ đầu.
  • Kích hoạt xác thực hai yếu tố: Với xác thực hai bước, bạn phải cung cấp một thứ gì đó khác giống như một mã do ứng dụng tạo ra hoặc gửi cho bạn qua SMS SMS mỗi khi bạn đăng nhập vào trang web. Ngay cả khi kẻ tấn công có tên người dùng và mật khẩu của bạn, họ đã thắng được có thể đăng nhập vào tài khoản của bạn nếu họ không có mã đó.
  • Nhận thông báo mật khẩu bị rò rỉ: Với một dịch vụ như Tôi đã được Pwned?, bạn có thể nhận được thông báo khi thông tin đăng nhập của bạn xuất hiện trong một rò rỉ.

LIÊN QUAN: Cách kiểm tra xem mật khẩu của bạn đã bị đánh cắp chưa

Làm thế nào các dịch vụ có thể bảo vệ chống nhồi tin cậy

Mặc dù các cá nhân cần có trách nhiệm bảo mật tài khoản của mình, có nhiều cách để các dịch vụ trực tuyến bảo vệ chống lại các cuộc tấn công nhồi thông tin xác thực.

  • Quét cơ sở dữ liệu bị rò rỉ cho mật khẩu người dùng: Facebook và Netflix đã quét cơ sở dữ liệu bị rò rỉ cho mật khẩu, tham chiếu chéo chúng với thông tin đăng nhập trên các dịch vụ của riêng họ. Nếu có một trận đấu, Facebook hoặc Netflix có thể nhắc người dùng của họ thay đổi mật khẩu. Đây là một cách để đánh bại những người tin cậy vào cú đấm.
  • Cung cấp xác thực hai yếu tố: Người dùng sẽ có thể kích hoạt xác thực hai yếu tố để bảo mật tài khoản trực tuyến của họ. Đặc biệt các dịch vụ nhạy cảm có thể làm cho điều này bắt buộc. Họ cũng có thể yêu cầu người dùng nhấp vào liên kết xác minh đăng nhập trong email để xác nhận yêu cầu đăng nhập.
  • Yêu cầu CAPTCHA: Nếu một nỗ lực đăng nhập có vẻ lạ, một dịch vụ có thể yêu cầu nhập mã CAPTCHA được hiển thị trong hình ảnh hoặc nhấp qua một hình thức khác để xác minh một con người và không phải là một bot bot đang cố gắng đăng nhập.
  • Hạn chế các lần thử đăng nhập lặp lại: Các dịch vụ nên cố gắng chặn các bot cố gắng thực hiện một số lượng lớn các lần thử đăng nhập trong một khoảng thời gian ngắn. Các bot tinh vi hiện đại có thể cố gắng đăng nhập từ nhiều địa chỉ IP cùng một lúc để ngụy trang cho các nỗ lực nhồi thông tin xác thực của chúng.

Thực hành mật khẩu kém, và công bằng, các hệ thống trực tuyến được bảo mật kém, thường quá dễ bị xâm phạm, khiến cho chứng chỉ nhồi nhét một mối nguy hiểm nghiêm trọng đối với bảo mật tài khoản trực tuyến. Không có gì thắc mắc nhiều công ty trong ngành công nghệ muốn xây dựng một thế giới an toàn hơn mà không cần mật khẩu.

LIÊN QUAN: Ngành công nghiệp công nghệ muốn giết mật khẩu. Hay là nó?



Nguồn HowToGeek

Chúng tôi rất vui khi biết đánh giá của bạn

Leave a reply

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

GiaTot7
Logo
Reset Password