O que é enchimento de credenciais? (e como se proteger)


0

A silhueta de um cadeado na frente de um logotipo da Zoom.
Gota de tinta / Shutterstock.com

Um total de 500 milhões de contas Zoom estão à venda na dark web graças ao “enchimento de credenciais”. É uma forma comum de criminosos invadirem contas online. Veja o que esse termo realmente significa e como você pode se proteger.

Ele começa com bancos de dados de senha vazados

Ataques contra serviços online são comuns. Os criminosos costumam explorar falhas de segurança em sistemas para adquirir bancos de dados de nomes de usuário e senhas. Bancos de dados de credenciais de login roubados são frequentemente vendidos online na dark web, com criminosos pagando em Bitcoin pelo privilégio de acessar o banco de dados.

Digamos que você tenha uma conta no fórum do Avast, que foi violada em 2014. Essa conta foi violada e os criminosos podem ter seu nome de usuário e senha no fórum do Avast. O Avast entrou em contato com você e pediu que você alterasse a senha do fórum, qual é o problema?

Infelizmente, o problema é que muitas pessoas reutilizam as mesmas senhas em sites diferentes. Digamos que seus detalhes de login do fórum do Avast fossem “you@example.com” e “AmazingPassword”. Se você se logou em outros sites com o mesmo nome de usuário (seu endereço de e-mail) e senha, qualquer criminoso que adquira suas senhas vazadas pode obter acesso a essas outras contas.

RELACIONADO: O que é a Dark Web?

Enchimento de credenciais em ação

O “enchimento de credenciais” envolve o uso desses bancos de dados de detalhes de login vazados e a tentativa de fazer login com eles em outros serviços online.

Propaganda

Os criminosos pegam grandes bancos de dados de combinações vazadas de nome de usuário e senha – geralmente milhões de credenciais de login – e tentam entrar com eles em outros sites. Algumas pessoas reutilizam a mesma senha em vários sites, portanto, algumas corresponderão. Isso geralmente pode ser automatizado com software, tentando rapidamente várias combinações de login.

Para algo tão perigoso que parece tão técnico, isso é tudo – tentar credenciais já vazadas em outros serviços e ver o que funciona. Em outras palavras, os “hackers” enfiam todas essas credenciais de login no formulário de login e vê o que acontece. Alguns deles certamente funcionarão.

Essa é uma das formas mais comuns que os invasores usam para “hackear” contas online atualmente. Só em 2018, a rede de distribuição de conteúdo Akamai registrou quase 30 bilhões de ataques de preenchimento de credenciais.

RELACIONADO: Como os invasores realmente “invadem contas” on-line e como se proteger

Como se Proteger

Várias chaves ao lado de um cadeado aberto.
Ruslan Grumble / Shutterstock.com

Proteger-se contra o enchimento de credenciais é muito simples e envolve seguir as mesmas práticas de segurança de senha que os especialistas em segurança vêm recomendando há anos. Não há solução mágica – apenas uma boa higiene de senha. Aqui está o conselho:

  • Evite reutilizar senhas: Use uma senha exclusiva para cada conta que você usa online. Dessa forma, mesmo que sua senha vaze, ela não poderá ser usada para fazer login em outros sites. Os invasores podem tentar colocar suas credenciais em outros formulários de login, mas não funcionarão.
  • Use um gerenciador de senhas: Lembrar de senhas únicas fortes é uma tarefa quase impossível se você tiver contas em alguns sites, e quase todo mundo tem. Recomendamos o uso de um gerenciador de senhas como 1Password (pago) ou Bitwarden (gratuito e de código aberto) para lembrar suas senhas para você. Ele pode até mesmo gerar essas senhas fortes do zero.
  • Habilite a autenticação de dois fatores: Com a autenticação em duas etapas, você deve fornecer algo mais – como um código gerado por um aplicativo ou enviado a você via SMS – cada vez que você fizer login em um site. Mesmo se um invasor tiver seu nome de usuário e senha, ele não poderá fazer login em sua conta se não tiver esse código.
  • Receba notificações de senha vazada: Com um serviço como Have I Been Pwned ?, você pode receber uma notificação quando suas credenciais aparecem em um vazamento.

RELACIONADO: Como verificar se sua senha foi roubada

Como os serviços podem proteger contra o enchimento de credenciais

Embora os indivíduos precisem assumir a responsabilidade pela proteção de suas contas, há muitas maneiras de os serviços online se protegerem contra ataques de preenchimento de credenciais.

  • Verificar bancos de dados vazados em busca de senhas de usuários: O Facebook e a Netflix examinaram bancos de dados vazados em busca de senhas, referenciando-os com as credenciais de login em seus próprios serviços. Se houver uma correspondência, o Facebook ou Netflix pode solicitar que seu próprio usuário altere sua senha. Essa é uma maneira de superar os empecilhos de credenciais.
  • Oferecer autenticação de dois fatores: Os usuários devem ser capazes de habilitar a autenticação de dois fatores para proteger suas contas online. Serviços particularmente sensíveis podem tornar isso obrigatório. Eles também podem fazer com que um usuário clique em um link de verificação de login em um e-mail para confirmar a solicitação de login.
  • Requer um CAPTCHA: Se uma tentativa de login parecer estranha, um serviço pode exigir a inserção de um código CAPTCHA exibido em uma imagem ou clicar em outro formulário para verificar se um humano – e não um bot – está tentando fazer login.
  • Limite de tentativas de login repetidas: Os serviços devem tentar impedir que os bots façam um grande número de tentativas de login em um curto período de tempo. Os bots sofisticados modernos podem tentar entrar de vários endereços IP ao mesmo tempo para disfarçar suas tentativas de enchimento de credenciais.

Práticas inadequadas de senha – e, para ser justo, sistemas online mal protegidos que geralmente são muito fáceis de comprometer – tornam o empilhamento de credenciais um sério perigo para a segurança da conta online. Não é à toa que muitas empresas do setor de tecnologia desejam construir um mundo mais seguro sem senhas.

RELACIONADO: A indústria de tecnologia quer eliminar a senha. Ou não?


Like it? Share with your friends!

0

0 Comments

Your email address will not be published. Required fields are marked *