Ամենատարածված անվտանգության սխալներից մեկը միաժամանակ նաև ամենաթանկերից է՝ նույն գաղտնաբառը մի քանի հաշիվների համար օգտագործելը։
Շատերը մտածում են՝ «Իմ գաղտնաբառը ուժեղ է, այսինքն՝ անվտանգ եմ»։ Բայց ուժեղ լինելը բավարար չէ, եթե նույն գաղտնաբառը օգտագործվում է մի քանի տեղ։
Երբ որևէ կայք արտահոսք է ունենում, հարձակվողները հաճախ փորձում են արտահոսած email+password համադրությունը բազմաթիվ այլ ծառայություններում։ Սա կոչվում է credential stuffing, և այն աշխատում է շատ ավելի հաճախ, քան մարդիկ պատկերացնում են։
Պարզ իրական օրինակ
Պատկերացրեք՝ նույն գաղտնաբառը օգտագործում եք՝
- հին ֆորումի հաշվի համար
- ձեր email-ի համար
- օնլայն խանութի login-ի համար
- բանկային կամ վճարային հաշվի համար
Գուցե հին ֆորումը ձեզ այլևս չի հետաքրքրում։ Բայց եթե այդ փոքր կայքը կոտրվի և ձեր գաղտնաբառը արտահոսի, հարձակվողը կարող է նույն գաղտնաբառը փորձել ձեր email-ում, cloud storage-ում, գնումների հաշիվներում և աշխատանքային գործիքներում։
Ահա թե ինչու իրական վտանգը միայն առաջին արտահոսքը չէ։ Վտանգավորը դրանից հետո սկսվող շղթայական ռեակցիան է։
Ինչու նույն գաղտնաբառը այսքան ռիսկային է
- Մեկ արտահոսքը կարող է բացել բազմաթիվ հաշիվներ։ Թույլ կայքը կարող է դառնալ դուռ դեպի ավելի կարևորները։
- Email-ը դառնում է գլխավոր բանալին։ Եթե հարձակվողը մտնի email, կարող է այլ հաշիվների գաղտնաբառերը վերականգնել։
- Գործընթացը ավտոմատացված է։ Նրանք ձեռքով չեն գուշակում. օգտագործում են մասշտաբային գործիքներ։
- Հին հաշիվներն էլ կարևոր են։ Նույնիսկ մոռացված կայքերը կարող են բացել այսօր դեռ օգտագործվող գաղտնաբառերը։
Այդ պատճառով նույն գաղտնաբառի կրկնակի օգտագործումը վտանգավոր է նույնիսկ այն ժամանակ, երբ սկզբնական հաշիվը ձեզ «անշարժ» կամ անկարևոր է թվում։
Ինչ են հարձակվողները հաճախ անում հետո
- նույն տվյալները փորձում են հայտնի ծառայություններում
- առաջին հերթին փորձում են մուտք գործել email
- ստուգում են գնումների կամ վճարային հարթակները
- փնտրում են cloud drive-եր, business tool-եր կամ admin panel-ներ
- օգտագործում են մուտքը խարդախության, շանտաժի կամ impersonation-ի համար
Այլ կերպ ասած՝ հարձակվողները մտածում են համակարգային։ Նրանք չեն հարցնում միայն՝ «Կկարողանա՞մ այստեղ մտնել»։ Նրանք հարցնում են՝ «Սա էլ ինչ կարող է բացել»։
Ինչպես պաշտպանվել առանց պարանոյայի
- Ամեն կարևոր հաշվի համար օգտագործեք եզակի գաղտնաբառ։ Սա ամենամեծ բարելավումն է։
- Օգտագործեք password manager։ Այն ստեղծում և պահում է ուժեղ ու տարբեր գաղտնաբառեր, որպեսզի ստիպված չլինեք ամեն ինչ հիշել։
- Հատկապես լավ պաշտպանեք ձեր email-ը։ Email-ը պետք է ունենա եզակի գաղտնաբառ և multi-factor authentication։
- Միացրեք MFA-ն այնտեղ, որտեղ հնարավոր է։ Գողացված գաղտնաբառը շատ ավելի քիչ օգտակար է, երբ պետք է նաև երկրորդ քայլ։
- Փոխեք կրկնվող գաղտնաբառերը՝ սկսելով կարևոր հաշիվներից։ Սկսեք email-ից, բանկից, cloud storage-ից, աշխատանքային գործիքներից և գնումների հաշիվներից։
Ձեզ պետք չէ մեկ գիշերում հասնել կատարյալ անվտանգության։ Պետք է նախ կոտրել ամենամեծ սխալի օրինաչափությունը։
Թաքնված դասը․ անվտանգության խափանումները հաճախ կողքից են տարածվում
Մարդիկ երբեմն պատկերացնում են հարձակումները որպես ուղղակի հարված իրենց ամենաարժեքավոր հաշվին։ Բայց իրականում շատ հարձակումներ կողքից են տարածվում․ փոքր մոռացված հաշիվը տանում է ավելի մեծ հաշվի, իսկ այն՝ ավելի արժեքավորի։
Հենց սա է նույն գաղտնաբառի վտանգը։ Այն ստեղծում է անտեսանելի կամուրջներ հաշիվների միջև, որոնք պետք է իրարից մեկուսացված լինեին։
Տարածված վտանգավոր հավատքը
Շատերը մտածում են՝ «Այդ կայքը կարևոր չէ, այսինքն՝ ինչ գաղտնաբառ էլ դնեմ, խնդիր չէ»։
Դա ճիշտ է միայն այն դեպքում, եթե այդ գաղտնաբառը ոչ մի այլ տեղ չի օգտագործվում։ Այն պահից, երբ նույն գաղտնաբառը հայտնվում է մեկ այլ հաշվում, ցածր արժեք ունեցող կայքն էլ դառնում է ավելի մեծ ռիսկի շղթայի մաս։
Եզրակացություն
Կրկնվող գաղտնաբառերը մեկ արտահոսքը վերածում են բազմաթիվ հնարավորությունների հարձակվողների համար։ Նպատակը տասնյակ «խելացի» գաղտնաբառեր հիշելը չէ։ Նպատակը ձեր հաշիվների միջև կապը կտրելն է։ Եզակի գաղտնաբառերը, password manager-ը և MFA-ն հենց դա են անում։