Hlavní strana -> Zprávy
Aktuality -> Analýzy - 25. 7. 2024 - Petr Zahálka

Recyklace hesel představuje velké riziko kybernetického útoku typu credential stuffing

Firmy často podceňují rizika ply­noucí z recyklace hesel zaměst­nanců, které tak mohou být zneužity při útoku známém jako credential stuffing. Jde o formu kybernetického útoku, při kterém útočníci používají uživatelská jména a hesla získaná z předcho­zích úniků dat, aby získali neoprávněný přístup k jiným účtům. Útočníci spoléhají na to, že mnoho uživatelů používá stejné heslo pro více účtů, což zvyšuje šance na úspěšný útok.



Credential Stuffing je automatizovaná činnost. Bot zkouší, zpravidla i velmi dlouhou dobu, postupně řadu cílů a řadu možných přihlašovacích údajů. Jakmile uspěje, útoku se ujme zkušený člověk a pokračuje.

Nejvíce jsou credential stuffingem zasaženy obchody a e-shopy, finanční služby, zdravotnictví a vyšší vzdělávací instituce. Útočníci mají velmi často zájem o osobní údaje a informace uživatelů, které mohou zpeněžit. Předmětem obchodování jsou i samotné ověřené přihlašovací údaje.

Pro firmy to představuje značné riziko z několika důvodů:

  • Recyklace hesel: Zaměstnanci často používají stejná hesla pro osobní i firemní účty. Pokud jedno z těchto hesel unikne během porušení dat některé služby, vystavují tím potenciálně riziku všechny systémy, kde toto heslo použili.
  • Přístup k firemním sítím a systémům: Úspěšný credential stuffing útok může umožnit útočníkům přístup k firemním sítím a systémům, což může vést k dalšímu úniku citlivých firemních dat, instalaci malware, nebo dokonce ransomware útokům.
  • Finanční a reputační škody: Jakékoli bezpečnostní incidenty mohou vést k finančním ztrátám a poškození pověsti firmy. Zákazníci a partneři mohou ztratit důvěru v schopnost firmy chránit jejich data.

Firmy by měly pro minimalizaci rizik spojených s credential stuffingem přijmout preventivní opatření:

  • Používání správce hesel: Pomáhá uživatelům vytvářet a ukládat silná a unikátní hesla pro každý účet. Je v zájmu firem, aby zaměstnanci používali firemní správce hesel, ale také se naučili používat osobního správce.
  • Vícefaktorová autentizace (MFA): Přidává další vrstvu zabezpečení tím, že vyžaduje další formu ověření (např. SMS kód, biometrické údaje) kromě hesla. Případné uniklé heslo získané účastníkem tak nebude možné použít pro přihlášení. Jde tedy o zásadní prvek ochrany. Je v zájmu firem naučit zaměstnance používat MFA i pro soukromé účely.
  • Pravidelné školení zaměstnanců: Vzdělávání zaměstnanců o bezpečnostních hrozbách a osvědčených postupech pro zabezpečení hesel. Je nutné zaměstnance naučit, jak správně používat hesla, jak se vyhnout recyklaci, jak pomohou správci hesel i dvoufaktorová ověření a také, jak mají postupovat, když dojde k úniku přihlašovacích údajů.
  • Monitorování bezpečnostních úniků: Pravidelné sledování úniků dat, aby se rychle zjistila potenciální kompromitace účtů. Firma i zaměstnanci mohou využít služeb jako je HaveIBeenpwned.com pro zjištění, zda se konkrétní e-maily neobjevily v některých únicích.
  • Bezpečnostní politiky: Zavedení politik pro vytváření silných hesel a reakce na úniky hesel či jiné bezpečnostní incidenty. Je nutné pečlivě zvážit pravidelné vynucování nových hesel, protože to může vést k vytváření nových potenciálně nebezpečných hesel nebo k vyšší míře recyklace.
Petr Zahálka Petr Zahálka
Autor článku je obchodním ředitelem Thein Security. Článek byl redakčně upraven.

 
  

- PR -

Specializovaný software Energo oslavil 20 let na trhu

Helios Energo je specializované SW řešení pro správu zákaznických dat energetických společností vybudované na platformě ekonomického informačního systému Helios Inuvio. Je určené pro výrobce, distributory a obchodníky s energetickými komoditami.
Řešení, které už přes 20 let vyvíjí a dodává společnost PC HELP, a.s., pokrývá agendu prodeje komodit a souvisejících služeb, včetně nástrojů komunikace s odběrateli, dodavateli a ostatními subjekty energetického trhu.  Současně umožňuje zpracovávat také další související činnosti, jako interní řízení úkolů, plánování údržby, bilanční vyhodnocení aj.

  

- PR -

Predikce vývoje datových center v roce 2026

Datová centra se v roce 2025 dostala do středu zájmu, především díky neutuchající poptávce po výpočetním výkonu. V dalších letech se přitom bude měnit jak náš pohled na datová centra, tak jejich fungování. Následující trendy naznačují, jak bude tato transformace v roce 2026 vypadat v praxi.