Credential Stuffing: چگونه PRC تقریباً Steam من را هک کرد
همه ما شاهد نشت رمزهای بسیار بزرگ بوده ایم. 6.4 میلیون رمز عبور بدون نمک از لینکدین درز کرد، سپس 500 میلیون رمز عبور از یاهو درز کرد. این واقعاً ترسناک است، حتی اگر از حساب یاهو خود استفاده نکرده باشید. برای اینکه ببینیم چرا اجازه دهید به زمانی برگردیم که تقریباً قربانی یک حمله پر کردن اعتبار از چین شدم.
اول از همه، “Credential stuffing” نامی جذاب برای استفاده مجدد از رمز عبور است. تنها چیزی که لازم است این است که فردی با دانش بسیار متوسط در مورد امنیت رایانه، گذرواژههای حذف شده را از یاهو یا لینکدین (به طور گسترده در دسترس) جستجو کند، سپس همان اعتبارنامههای دقیق را در سایتهای مختلف تا جایی که ممکن است امتحان کند تا زمانی که مطابقت پیدا شود. در مورد من، من به حساب Steam خود وارد شدم و چیزی شبیه به این دیدم:
متأسفانه، Steam مشخص نمی کند که آیا این تلاش برای پر کردن اعتبار است یا خیر. همچنین ممکن است از همان رمز عبور برای LinkedIn و Steam خود استفاده مجدد کرده باشم، بنابراین همه قطعات مناسب هستند.
در آن زمان، من عمیقاً از همه آن ویژگیهای امنیتی آزاردهنده قدردانی میکردم. فیسبوک از من میخواهد دوستانم را شناسایی کنم، گوگل برای من پیامهای متنی میفرستد، و اکنون Steam با استفاده از موقعیت جغرافیایی میخواهد ببیند که شخص بدل من کجا زندگی میکند. من به سرعت رمز عبور خود را در Steam و 5-6 وب سایت دیگر به روز کردم.
رمز عبور جدید من همان رمز قبلی بود، با آخرین حرف از “d” به “e”، یعنی این پنجمین باری بود که رمز عبور Steam خود را به دلایلی به روز می کردم. بقیه پسورد از نظر آنتروپی بسیار خوب بود. حروف، حروف کوچک، اعداد و نمادها که به صورت تصادفی و همچنین قابل تلفظ تولید می شوند.
اما این در کل عالی نیست. تنها یک گام در مسیر درست برای مهاجمان است تا متوجه شوند که به خاطر سپردن رمز عبور چقدر سخت است، به همین دلیل است که کاربران ترجیح میدهند رمزهای عبور موجود خود را با اجزای قابل پیشبینی، مانند شناسه در حال افزایش، پستثبیت کنند. من پستهایی درباره افرادی که از رمز عبور یکسانی در همه جا استفاده میکنند خواندهام و در عوض آن را با نام سایت پیشوند میزنند. بنابراین اگر رمز عبور اصلی شما “d34db33f” باشد، برای آمازون، “amazon_d3adb33f”، برای Chase، “chase_d3adb33f” یا چیزی در همین راستا خواهد بود.
من معتقدم که درک خوبی از مفاهیم امنیتی پشت گذرواژهها دارم، و فکر میکنم از نظر گذرواژه بهتر از 99٪ افرادی هستم که در آنجا حضور دارند، زیرا رمز عبور من “رمز عبور” یا “123456” (اثبات) نیست. از سوی دیگر، در اینجا متوجه شدم که الگوهای رمز عبور قابل پیش بینی را ارائه می کنم. سپس به من رسید، مشکل بزرگتری که توسط حملات پر کردن اعتبار و استفاده مجدد از رمز عبور آشکار شد:
یا همه ما رمزهای عبور را درست انجام می دهیم یا هیچ کس این کار را نمی کند.
یا هیچ کس هک نمی شود، یا ممکن است همه ما هک شویم، تا زمانی که کاربران نتوانند از رمزهای عبور یکسان و الگوهای قابل پیش بینی بارها و بارها استفاده نکنند.
بنابراین منظور از اینکه همه پسوردها را درست انجام دهند چیست؟ اگر می خواهید واقعاً ایمن باشید، باید کمی پارانوئید باشید و کاملاً به سمت امنیت در مقابل راحتی تکیه کنید.
رمز عبور باید کاملاً غیرقابل پیشبینی باشد (نباید شامل نام حیوان خانگی، تاریخ تولد، نام میانی، نام فرزندان، قهرمانان دوران کودکی، کتابهای مورد علاقه، در واقع هیچ کلمه انگلیسی نباشد).
رمز عبور باید دارای حروف بزرگ، حروف کوچک، اعداد، نمادها و حداقل 16 کاراکتر (برای کلیدهای 128 بیتی) باشد.
یک رمز عبور متفاوت برای هر وب سایت، هر سه ماه یکبار تغییر می کند، بدون هیچ ارتباط منطقی بین آنها.
در واقع غیرممکن است که با استفاده از رمزهای عبور امنیت واقعی داشته باشید. پس مدیران پسورد چطور؟ به آنها اجازه میدهیم تا با پیچیدگی گذرواژهها مقابله کنند. در اولین فکر ایده بدی نیست. فقط تمام رمزهای عبور را به دستگاه کاربر گره بزنید.
مدیران رمز عبور اساساً مشکل امنیت سایبری را به مشکل امنیت فیزیکی دستگاههای شما افزایش میدهند. برای مثال، اگر بتوانم یک لپتاپ باز را در دست بگیرم، میتوانم تقریباً به هر وبسایتی دسترسی داشته باشم، تا زمانی که کوکیها فعال باشند یا از یک مدیر رمز عبور استفاده شده باشد. و این خیلی وحشتناک است.
در پایان، امروز هیچ راه حلی به تمام جنبه های امنیت هویت توجه نمی کند. این یا همان چیزی است که شما می دانید (رمز عبور)، آنچه دارید (دستگاه) و اکنون ما در نهایت به عصری می رویم که شما هستید.
ما در Prove به انسان به عنوان نقطه مرکزی مدیریت هویت فکر می کنیم. به تک تک اطلاعاتی که شما را می سازد فکر کنید. گام شما چقدر است، تند راه می روید یا آهسته، بازوهایتان چقدر بلند است، خانه شما در کدام طبقه است، با چه سرعتی به سمت محل کار می روید؟ این همه اطلاعاتی است که ما به عنوان ورودی به سیستم یادگیری ماشین خود وارد می کنیم. خروجی باینری است. یا تو هستی یا نیستی از آنجایی که در زمان احراز هویت فقط به 1 بیت اطلاعات نیاز داریم، میتوانیم با یک کلیک وارد سیستم شوید.
علاوه بر این، Prove در همه دستگاهها کار میکند. رایانه شما از تلفن شما اطلاع دارد و آنها اعتبار یکسانی دارند. آن زمان را به خاطر دارید که لپ تاپ خود را به مدت 5 دقیقه بدون مراقبت رها کردید و دیوار فیس بوک شما پر از پست های مشکوک شد؟ دیگر نه. ما می توانیم تشخیص دهیم که چه زمانی بلند می شوید و می روید. ما می توانیم این کار را برای هر وب سایت، بانک، فروشگاه الکترونیکی و وب سایت فدرال انجام دهیم. هنگام خروج از اتاق هویت خود را همراه داشته باشید.
اینجا در Prove، ما امنیت شما را جدی میگیریم. رمزهای عبور یک ناراحتی هستند و به زودی راه فلاپی درایو را خواهند رفت. با این حال، یادگیری ماشین و احراز هویت ضمنی می تواند به شما کمک کند، و ما دقیقاً می دانیم که چگونه.