Hlavní strana -> Zprávy
Aktuality -> Analýzy - 25. 7. 2024 - Petr Zahálka

Recyklace hesel představuje velké riziko kybernetického útoku typu credential stuffing

Firmy často podceňují rizika ply­noucí z recyklace hesel zaměst­nanců, které tak mohou být zneužity při útoku známém jako credential stuffing. Jde o formu kybernetického útoku, při kterém útočníci používají uživatelská jména a hesla získaná z předcho­zích úniků dat, aby získali neoprávněný přístup k jiným účtům. Útočníci spoléhají na to, že mnoho uživatelů používá stejné heslo pro více účtů, což zvyšuje šance na úspěšný útok.



Credential Stuffing je automatizovaná činnost. Bot zkouší, zpravidla i velmi dlouhou dobu, postupně řadu cílů a řadu možných přihlašovacích údajů. Jakmile uspěje, útoku se ujme zkušený člověk a pokračuje.

Nejvíce jsou credential stuffingem zasaženy obchody a e-shopy, finanční služby, zdravotnictví a vyšší vzdělávací instituce. Útočníci mají velmi často zájem o osobní údaje a informace uživatelů, které mohou zpeněžit. Předmětem obchodování jsou i samotné ověřené přihlašovací údaje.

Pro firmy to představuje značné riziko z několika důvodů:

  • Recyklace hesel: Zaměstnanci často používají stejná hesla pro osobní i firemní účty. Pokud jedno z těchto hesel unikne během porušení dat některé služby, vystavují tím potenciálně riziku všechny systémy, kde toto heslo použili.
  • Přístup k firemním sítím a systémům: Úspěšný credential stuffing útok může umožnit útočníkům přístup k firemním sítím a systémům, což může vést k dalšímu úniku citlivých firemních dat, instalaci malware, nebo dokonce ransomware útokům.
  • Finanční a reputační škody: Jakékoli bezpečnostní incidenty mohou vést k finančním ztrátám a poškození pověsti firmy. Zákazníci a partneři mohou ztratit důvěru v schopnost firmy chránit jejich data.

Firmy by měly pro minimalizaci rizik spojených s credential stuffingem přijmout preventivní opatření:

  • Používání správce hesel: Pomáhá uživatelům vytvářet a ukládat silná a unikátní hesla pro každý účet. Je v zájmu firem, aby zaměstnanci používali firemní správce hesel, ale také se naučili používat osobního správce.
  • Vícefaktorová autentizace (MFA): Přidává další vrstvu zabezpečení tím, že vyžaduje další formu ověření (např. SMS kód, biometrické údaje) kromě hesla. Případné uniklé heslo získané účastníkem tak nebude možné použít pro přihlášení. Jde tedy o zásadní prvek ochrany. Je v zájmu firem naučit zaměstnance používat MFA i pro soukromé účely.
  • Pravidelné školení zaměstnanců: Vzdělávání zaměstnanců o bezpečnostních hrozbách a osvědčených postupech pro zabezpečení hesel. Je nutné zaměstnance naučit, jak správně používat hesla, jak se vyhnout recyklaci, jak pomohou správci hesel i dvoufaktorová ověření a také, jak mají postupovat, když dojde k úniku přihlašovacích údajů.
  • Monitorování bezpečnostních úniků: Pravidelné sledování úniků dat, aby se rychle zjistila potenciální kompromitace účtů. Firma i zaměstnanci mohou využít služeb jako je HaveIBeenpwned.com pro zjištění, zda se konkrétní e-maily neobjevily v některých únicích.
  • Bezpečnostní politiky: Zavedení politik pro vytváření silných hesel a reakce na úniky hesel či jiné bezpečnostní incidenty. Je nutné pečlivě zvážit pravidelné vynucování nových hesel, protože to může vést k vytváření nových potenciálně nebezpečných hesel nebo k vyšší míře recyklace.
Petr Zahálka Petr Zahálka
Autor článku je obchodním ředitelem Thein Security. Článek byl redakčně upraven.

 
  

- PR -

Čeští zaměstnanci už AI běžně používají,

ne vždy však bezpečným způsobem


Umělá inteligence se stává běžnou součástí pracovních procesů. Dokazují to lednová čísla ČSÚ, podle kterých 18 % českých podniků s více než 10 zaměstnanci používá AI. Nejčastěji ji využívají velké firmy, a to dokonce více než polovina z nich. Spolu s popularitou umělé inteligence však přichází i negativní fenomén tzv. shadow AI. Jedná se o firmou neschválené využívání AI nástrojů, které může vyústit až v únik firemních dat.

  

- PR -

Proč je EDITEL vaší nejlepší volbou pro povinnou e-Faktúru na Slovensku?

Od 1. ledna 2027 čeká slovenské plátce DPH povinná B2B e-fakturace ve strukturovaném formátu EN 16931 (UBL/Peppol BIS 3) s doručováním přes síť Peppol. EDITEL je na změnu připraven už dnes – nabízí certifikovaný Peppol Access Point, komplexní řešení včetně archivace a hladký přechod bez zbytečných komplikací, navíc s technickou podporou 24/7.