facebook LinkedIN LinkedIN - follow
Aktuality -> Analýzy - 25. 7. 2024 - Petr Zahálka

Recyklace hesel představuje velké riziko kybernetického útoku typu credential stuffing

Firmy často podceňují rizika ply­noucí z recyklace hesel zaměst­nanců, které tak mohou být zneužity při útoku známém jako credential stuffing. Jde o formu kybernetického útoku, při kterém útočníci používají uživatelská jména a hesla získaná z předcho­zích úniků dat, aby získali neoprávněný přístup k jiným účtům. Útočníci spoléhají na to, že mnoho uživatelů používá stejné heslo pro více účtů, což zvyšuje šance na úspěšný útok.



Credential Stuffing je automatizovaná činnost. Bot zkouší, zpravidla i velmi dlouhou dobu, postupně řadu cílů a řadu možných přihlašovacích údajů. Jakmile uspěje, útoku se ujme zkušený člověk a pokračuje.

Nejvíce jsou credential stuffingem zasaženy obchody a e-shopy, finanční služby, zdravotnictví a vyšší vzdělávací instituce. Útočníci mají velmi často zájem o osobní údaje a informace uživatelů, které mohou zpeněžit. Předmětem obchodování jsou i samotné ověřené přihlašovací údaje.

Pro firmy to představuje značné riziko z několika důvodů:

  • Recyklace hesel: Zaměstnanci často používají stejná hesla pro osobní i firemní účty. Pokud jedno z těchto hesel unikne během porušení dat některé služby, vystavují tím potenciálně riziku všechny systémy, kde toto heslo použili.
  • Přístup k firemním sítím a systémům: Úspěšný credential stuffing útok může umožnit útočníkům přístup k firemním sítím a systémům, což může vést k dalšímu úniku citlivých firemních dat, instalaci malware, nebo dokonce ransomware útokům.
  • Finanční a reputační škody: Jakékoli bezpečnostní incidenty mohou vést k finančním ztrátám a poškození pověsti firmy. Zákazníci a partneři mohou ztratit důvěru v schopnost firmy chránit jejich data.

Firmy by měly pro minimalizaci rizik spojených s credential stuffingem přijmout preventivní opatření:

  • Používání správce hesel: Pomáhá uživatelům vytvářet a ukládat silná a unikátní hesla pro každý účet. Je v zájmu firem, aby zaměstnanci používali firemní správce hesel, ale také se naučili používat osobního správce.
  • Vícefaktorová autentizace (MFA): Přidává další vrstvu zabezpečení tím, že vyžaduje další formu ověření (např. SMS kód, biometrické údaje) kromě hesla. Případné uniklé heslo získané účastníkem tak nebude možné použít pro přihlášení. Jde tedy o zásadní prvek ochrany. Je v zájmu firem naučit zaměstnance používat MFA i pro soukromé účely.
  • Pravidelné školení zaměstnanců: Vzdělávání zaměstnanců o bezpečnostních hrozbách a osvědčených postupech pro zabezpečení hesel. Je nutné zaměstnance naučit, jak správně používat hesla, jak se vyhnout recyklaci, jak pomohou správci hesel i dvoufaktorová ověření a také, jak mají postupovat, když dojde k úniku přihlašovacích údajů.
  • Monitorování bezpečnostních úniků: Pravidelné sledování úniků dat, aby se rychle zjistila potenciální kompromitace účtů. Firma i zaměstnanci mohou využít služeb jako je HaveIBeenpwned.com pro zjištění, zda se konkrétní e-maily neobjevily v některých únicích.
  • Bezpečnostní politiky: Zavedení politik pro vytváření silných hesel a reakce na úniky hesel či jiné bezpečnostní incidenty. Je nutné pečlivě zvážit pravidelné vynucování nových hesel, protože to může vést k vytváření nových potenciálně nebezpečných hesel nebo k vyšší míře recyklace.
Petr Zahálka Petr Zahálka
Autor článku je obchodním ředitelem Thein Security. Článek byl redakčně upraven.

 
  

- PR -

„Se vším, co vidíte, pomáhá Helios“

bylo motto prezentace Asseco Solutions a Gatema IT na letošním MSV


Expozice společností Asseco Solutions a Gatema IT se nacházela v sekci MSV s názvem Digitální továrna. (Zdroj: Asseco Solutions)Stejně, jako každoročně, i byl letošní ročník Mezinárodního strojírenského veletrhu v Brně příležitostí k setkání nejen pro strojírenské firmy, ale i pro všechny společnosti, které mohou strojařům nabídnout něco přínosného.

  

- PR -

Zajistěte hladký průběh náboru a onboardingu zaměstnanců pomocí Atlassian nástrojů

OnboardingNábor a onboarding nových za­měst­nan­ců jsou klíčové procesy, které mohou výrazně ovlivnit úspěch a kulturu společnosti. Efektivní nábor a onboarding nejenže pomáhají přilákat a udr­žet talentované pracovníky, ale také zajišťují, že noví zaměstnanci se rychle stanou pro­duk­tiv­ní­mi členy týmu. V tomto článku se podíváme na to, jak mohou nástroje z rodiny Atlassian, jako jsou Jira, Confluence, Jira Service Management, Loom a nový produkt Rovo, pod­po­řit tyto procesy a zpřístupnit kolektivní znalosti nováčkům.

- inzerce -