Hlavní strana -> Zprávy
Aktuality -> Analýzy - 25. 7. 2024 - Petr Zahálka

Recyklace hesel představuje velké riziko kybernetického útoku typu credential stuffing

Firmy často podceňují rizika ply­noucí z recyklace hesel zaměst­nanců, které tak mohou být zneužity při útoku známém jako credential stuffing. Jde o formu kybernetického útoku, při kterém útočníci používají uživatelská jména a hesla získaná z předcho­zích úniků dat, aby získali neoprávněný přístup k jiným účtům. Útočníci spoléhají na to, že mnoho uživatelů používá stejné heslo pro více účtů, což zvyšuje šance na úspěšný útok.



Credential Stuffing je automatizovaná činnost. Bot zkouší, zpravidla i velmi dlouhou dobu, postupně řadu cílů a řadu možných přihlašovacích údajů. Jakmile uspěje, útoku se ujme zkušený člověk a pokračuje.

Nejvíce jsou credential stuffingem zasaženy obchody a e-shopy, finanční služby, zdravotnictví a vyšší vzdělávací instituce. Útočníci mají velmi často zájem o osobní údaje a informace uživatelů, které mohou zpeněžit. Předmětem obchodování jsou i samotné ověřené přihlašovací údaje.

Pro firmy to představuje značné riziko z několika důvodů:

  • Recyklace hesel: Zaměstnanci často používají stejná hesla pro osobní i firemní účty. Pokud jedno z těchto hesel unikne během porušení dat některé služby, vystavují tím potenciálně riziku všechny systémy, kde toto heslo použili.
  • Přístup k firemním sítím a systémům: Úspěšný credential stuffing útok může umožnit útočníkům přístup k firemním sítím a systémům, což může vést k dalšímu úniku citlivých firemních dat, instalaci malware, nebo dokonce ransomware útokům.
  • Finanční a reputační škody: Jakékoli bezpečnostní incidenty mohou vést k finančním ztrátám a poškození pověsti firmy. Zákazníci a partneři mohou ztratit důvěru v schopnost firmy chránit jejich data.

Firmy by měly pro minimalizaci rizik spojených s credential stuffingem přijmout preventivní opatření:

  • Používání správce hesel: Pomáhá uživatelům vytvářet a ukládat silná a unikátní hesla pro každý účet. Je v zájmu firem, aby zaměstnanci používali firemní správce hesel, ale také se naučili používat osobního správce.
  • Vícefaktorová autentizace (MFA): Přidává další vrstvu zabezpečení tím, že vyžaduje další formu ověření (např. SMS kód, biometrické údaje) kromě hesla. Případné uniklé heslo získané účastníkem tak nebude možné použít pro přihlášení. Jde tedy o zásadní prvek ochrany. Je v zájmu firem naučit zaměstnance používat MFA i pro soukromé účely.
  • Pravidelné školení zaměstnanců: Vzdělávání zaměstnanců o bezpečnostních hrozbách a osvědčených postupech pro zabezpečení hesel. Je nutné zaměstnance naučit, jak správně používat hesla, jak se vyhnout recyklaci, jak pomohou správci hesel i dvoufaktorová ověření a také, jak mají postupovat, když dojde k úniku přihlašovacích údajů.
  • Monitorování bezpečnostních úniků: Pravidelné sledování úniků dat, aby se rychle zjistila potenciální kompromitace účtů. Firma i zaměstnanci mohou využít služeb jako je HaveIBeenpwned.com pro zjištění, zda se konkrétní e-maily neobjevily v některých únicích.
  • Bezpečnostní politiky: Zavedení politik pro vytváření silných hesel a reakce na úniky hesel či jiné bezpečnostní incidenty. Je nutné pečlivě zvážit pravidelné vynucování nových hesel, protože to může vést k vytváření nových potenciálně nebezpečných hesel nebo k vyšší míře recyklace.
Petr Zahálka Petr Zahálka
Autor článku je obchodním ředitelem Thein Security. Článek byl redakčně upraven.

 
  

- PR -

AI má pracovat s vámi, ne místo vás

Jak začít s robotizací kanceláře?


Kolik peněz vaši firmu každý měsíc stojí ruční přepisování dat? Ceny, PDFka, tabulky, faktury, data v různých formátech – rutina bez přidané hodnoty, často vnímaná jako nutné zlo, která spolyká desítky hodin lidského času a vytváří dvojí náklad: přímé mzdové výdaje i ztrátu prostoru pro práci s vyšší přidanou hodnotou. Možná už víte, že tato opakující se zátěž brzdí výkon, snižuje motivaci a omezuje růst. A možná také tušíte, že díky rozvoji AI ji lze efektivně automatizovat. Otázka tak často není „zda“, ale „jak a kde začít“, aby se řešení skutečně vyplatilo.

  

- PR -

Umělá inteligence mění firemní tisk

HP přenáší AI z experimentu do každodenního provozu podniků


Firemní tisk dlouhodobě patří mezi technologické oblasti, které se vyvíjejí spíše evolučně než revolučně. S nástupem umělé inteligence se však tento segment dostává do nové fáze. HP už v roce 2024 představila platformu HP Print AI jako rámec pro inteligentní tiskové a skenovací funkce a postupně ji rozšiřuje o další schopnosti. Na letošním CES pak HP ukázala především praktickou integraci generativní AI do kancelářských zařízení prostřednictvím funkcí navázaných na Microsoft 365 Copilot, které míří na produktivitu a práci s dokumenty přímo na multifunkcích.