Útok na hesla hrubou silou (brute force) spočívá ve využití automatizace pokusů o přihlášení do nějakého systému – heslo je zkrátka překonáno díky jeho nalezení postupným zkoušením zásadního množství kombinací. U číselných hesel (například PIN do telefonu) tedy stačí zkoušet postupně všechny kombinace, u znakových či složitějších hesel se pak zpravidla využívalo také zkoušení kombinací nebo různé druhy slovníků. Nevýhodou brute force ale byla časová náročnost a také to, že proti postupnému zkoušení tisíců a tisíců kombinací se systémy dokážou poměrně účinně bránit – při dalším a dalším chybném pokusu zpomalí možnost zkoušet další kombinaci, případně kompletně zablokují systém, z něhož pokusy přicházejí.

Credential stuffing využívá toho, že jsou k dispozici databáze uniklých přihlašovacích údajů – kompletní kombinace uživatelských jmen, e-mailů a hesel. Útočníci pak využijí takovéto databáze a s pomocí automatizace zkoušejí uniklé kombinace. Zvyšuje se tím šance na úspěch, a navíc je běžné, že touto cestou zkoušejí získat přístup k řadě webů či aplikací.

Pokud se jim podaří přístup získat, následují krádeže identity, phishing, podvody založené na vydávání se za různé subjekty a další druhy zneužití dat. V mnoha případech je možné získané přístupy využít i třeba pro nákupy na internetu, ale třeba i pro průmyslovou špionáž. Tento druh útoků bývá úspěšný hlavně proto, že uživatelé běžně používají opakovaně stejné heslo. Stačí, aby uniklo jednou, a útočníci se pak dostanou do všech dalších účtů, které uživatel má.

Rozsáhlé databáze přihlašovacích údajů jsou běžně dostupné na černém trhu a mohou být výsledkem cílených hackovacích kampaní na objednávku. Už v roce 2020 například Akamai upozorňovali, že dochází k růstu credential stuffing útoků proti médiím a novinářům.

Jak se proti credential stuffingu bránit?

Tou nejlepší obranou by bylo přejít na používání multifaktorových a bezheslových autentizačních procesů – u těch je přihlášení do systémů podmíněno ověřením přes jiný faktor než pouze přes heslo: minimálně přes zaslání dodatečného jednorázového kódu na e-mail nebo pomocí SMS, ale ideálně přes nějaký druh bezpečnostního klíče, pomocí biometrie či mobilního autentizátoru.

Navíc v samotných systémech je vhodné monitorovat podezřelé chování uživatelů a náhlé změny (anomálie) vzorců obvyklých činností v kombinaci se zabezpečením webových aplikací pomocí tzv. pokročilých web-aplikačních firewallů (WAF), které poměrně s vysokou přesností dokážou odhalit např. právě útoky typu credential stuffing.

Samotní uživatelé navíc mohou úniky jimi používaných hesel hlídat ještě například za pomoci služby HaveIBeenPwned.com. V případě zjištěného úniku nějakého hesla je nutné toto heslo okamžitě jednou provždy přestat používat.

Ve firemním prostředí je dále na místě školit zaměstnance a vysvětlovat, jak s hesly nakládat a jak vytvářet hesla bezpečná, a zároveň tyto uživatele pravidelně testovat v odolnosti potenciálního předání přístupových údajů, například za pomoci řízených phishingových kampaní.

Pro zodpovědné společnosti navíc platí, že by měly hlídat případné úniky hesel na dark webech, pomocí systematických služeb typu Cyber Threat Intelligence (doporučuje se vyhledávat jednak uniklá hesla k firem­ním účtům, ale i uniklá hesla k soukromým účtům například top-managementu či jiných privilegovaných zaměstnanců).

Zneužívání firemních hesel lze bránit také pomocí technologií, které detekují a blokují použití stejných (firemních) hesel v soukromých systémech (např. aby zaměstnanec nemohl použít některé z firem­ních hesel při přístupu na soukromý Facebook či soukromý e-mail).

Pokud není možné přejít na bezheslové přihlašování, tak by uživatelé měli v maximální míře využívat tzv. dvoufaktorovou (2FA) nebo multifaktorovou (MFA) autentizaci. Ta se týká jak osobních účtů, tak těch firemních. U všech privilegovaných účtů (např. účty administrátorů, účty aplikací apod.) by navíc měly být využívána výrazně přísnější pravidla, např. pravidelná změna hesel, využívání heslových trezorů a ideálně kompletní systémy PAM (Privileged Account Management).

Petr Mojžíš Autor článku je konzultantem kybernetické bezpečnosti ve společnosti ANECT.