إجمالي 500 مليون حساب Zoom معروض للبيع على الويب المظلم بفضل “حشو بيانات الاعتماد”. إنها طريقة شائعة للمجرمين لاقتحام الحسابات عبر الإنترنت. إليك ما يعنيه هذا المصطلح بالفعل وكيف يمكنك حماية نفسك.
يبدأ بقواعد بيانات كلمات المرور المسربة
الهجمات على الخدمات عبر الإنترنت شائعة. غالبًا ما يستغل المجرمون الثغرات الأمنية في الأنظمة للحصول على قواعد بيانات لأسماء المستخدمين وكلمات المرور. غالبًا ما تُباع قواعد بيانات بيانات اعتماد تسجيل الدخول المسروقة عبر الإنترنت على شبكة الإنترنت المظلمة ، حيث يدفع المجرمون بعملة البيتكوين مقابل امتياز الوصول إلى قاعدة البيانات.
لنفترض أن لديك حسابًا في منتدى Avast ، والذي تم اختراقه مرة أخرى في عام 2014 . تم اختراق هذا الحساب ، وقد يكون لدى المجرمين اسم المستخدم وكلمة المرور الخاصين بك في منتدى Avast. اتصلت Avast بك وهل قمت بتغيير كلمة مرور المنتدى ، فما هي المشكلة؟
حشو الاعتماد في العمل
يتضمن “حشو بيانات الاعتماد” استخدام قواعد البيانات هذه الخاصة بتفاصيل تسجيل الدخول المسربة ومحاولة تسجيل الدخول بها على خدمات أخرى عبر الإنترنت.
يأخذ المجرمون قواعد بيانات كبيرة من مجموعات أسماء المستخدمين وكلمات المرور المسربة – غالبًا الملايين من بيانات اعتماد تسجيل الدخول – ويحاولون تسجيل الدخول معهم على مواقع الويب الأخرى. يعيد بعض الأشخاص استخدام نفس كلمة المرور على مواقع ويب متعددة ، لذا سيتطابق البعض. يمكن أتمتة هذا بشكل عام مع البرنامج ، وسرعان ما يجرب العديد من مجموعات تسجيل الدخول.
بالنسبة لشيء خطير للغاية يبدو تقنيًا ، هذا كل ما في الأمر – تجربة بيانات اعتماد مسربة بالفعل على خدمات أخرى ومعرفة ما ينجح. بمعنى آخر ، يقوم “المتسللون” بحشو جميع بيانات اعتماد تسجيل الدخول هذه في نموذج تسجيل الدخول ومعرفة ما سيحدث. من المؤكد أن بعضهم سيعمل.
كيف تحمي نفسك
تعد حماية نفسك من حشو بيانات الاعتماد أمرًا بسيطًا جدًا وتتضمن اتباع نفس ممارسات أمان كلمة المرور التي يوصي بها خبراء الأمان لسنوات. لا يوجد حل سحري — فقط نظافة كلمات المرور الجيدة. ها هي النصيحة:
تجنب إعادة استخدام كلمات المرور
استخدم كلمة مرور فريدة لكل حساب تستخدمه عبر الإنترنت. بهذه الطريقة ، حتى إذا تم تسريب كلمة المرور الخاصة بك ، فلا يمكن استخدامها لتسجيل الدخول إلى مواقع الويب الأخرى. يمكن للمهاجمين محاولة حشو بيانات الاعتماد الخاصة بك في نماذج تسجيل دخول أخرى ، لكنها لن تعمل.
استخدام مدير كلمات المرور
يعد تذكر كلمات المرور الفريدة القوية مهمة شبه مستحيلة إذا كان لديك حسابات على عدد غير قليل من مواقع الويب ، وكل شخص يفعل ذلك. نوصي باستخدام مدير كلمات المرور مثل 1Password (مدفوع) أو Bitwarden (مجاني ومفتوح المصدر) لتذكر كلمات مرورك نيابة عنك. يمكنه حتى إنشاء كلمات المرور القوية هذه من البداية.
تمكين المصادقة الثنائية
باستخدام المصادقة المكونة من خطوتين ، يتعين عليك تقديم شيء آخر – مثل رمز تم إنشاؤه بواسطة أحد التطبيقات أو تم إرساله إليك عبر الرسائل القصيرة – في كل مرة تقوم فيها بتسجيل الدخول إلى موقع ويب. حتى إذا كان المهاجم لديه اسم المستخدم وكلمة المرور الخاصين بك ، فلن يتمكن من تسجيل الدخول إلى حسابك إذا لم يكن لديه هذا الرمز.
احصل على إشعارات كلمة المرور المسربة
مع خدمة مثل Have I been Pwned؟ ، يمكنك الحصول على إشعار عندما تظهر بيانات الاعتماد الخاصة بك في حالة تسريب .
كيف يمكن للخدمات الحماية من حشو بيانات الاعتماد
بينما يحتاج الأفراد إلى تحمل المسؤولية عن تأمين حساباتهم ، هناك العديد من الطرق التي توفرها الخدمات عبر الإنترنت للحماية من هجمات حشو بيانات الاعتماد.
فحص قواعد
البيانات المسربة بحثًا عن كلمات مرور المستخدم: قام Facebook و Netflix بفحص قواعد البيانات المسربة بحثًا عن كلمات المرور ، وقاموا بمقارنتها ببيانات اعتماد تسجيل الدخول على خدماتهم الخاصة. إذا كان هناك تطابق ، فيمكن لـ Facebook أو Netflix مطالبة المستخدم الخاص بهما بتغيير كلمة المرور الخاصة به. هذه طريقة للتغلب على حاملي أوراق الاعتماد.
تقديم مصادقة ثنائية
يجب أن يكون المستخدمون قادرين على تمكين المصادقة الثنائية لتأمين حساباتهم عبر الإنترنت. يمكن للخدمات الحساسة بشكل خاص أن تجعل هذا إلزاميًا. يمكنهم أيضًا جعل المستخدم ينقر على رابط التحقق من تسجيل الدخول في رسالة بريد إلكتروني لتأكيد طلب تسجيل الدخول.
يتطلب اختبار CAPTCHA
إذا بدت محاولة تسجيل الدخول غريبة ، فقد تتطلب الخدمة إدخال رمز CAPTCHA المعروض في صورة أو النقر فوق نموذج آخر للتحقق من أن شخصًا – وليس روبوتًا – يحاول تسجيل الدخول.
الحد من محاولات تسجيل الدخول المتكررة
يجب أن تحاول الخدمات منع برامج الروبوت من محاولة عدد كبير من محاولات تسجيل الدخول في فترة زمنية قصيرة. قد تحاول الروبوتات المتطورة الحديثة تسجيل الدخول من عناوين IP متعددة في وقت واحد لإخفاء محاولات حشو بيانات الاعتماد الخاصة بهم.
ممارسات كلمات المرور السيئة – ولكي نكون منصفين ، أنظمة الإنترنت غير المؤمنة بشكل جيد والتي يسهل اختراقها في كثير من الأحيان – تجعل حشو بيانات الاعتماد خطرًا خطيرًا على أمان الحساب عبر الإنترنت. لا عجب أن العديد من الشركات في صناعة التكنولوجيا ترغب في بناء عالم أكثر أمانًا بدون كلمات مرور .
