총 5억 개의 Zoom 계정이 있습니다. 다크 웹에서 판매 “자격 증명 채우기” 덕분입니다. 범죄자가 온라인에서 계정에 침입하는 일반적인 방법입니다. 이 용어의 실제 의미와 자신을 보호할 수 있는 방법은 다음과 같습니다.
목차
유출된 비밀번호 데이터베이스로 시작
온라인 서비스에 대한 공격은 일반적입니다. 범죄자들은 종종 시스템의 보안 결함을 악용하여 사용자 이름과 암호 데이터베이스를 획득합니다. 도난당한 로그인 자격 증명의 데이터베이스는 종종 다크 웹에서 온라인으로 판매되며 범죄자는 데이터베이스 액세스 권한에 대해 비트코인으로 비용을 지불합니다.
Avast 포럼에 계정이 있다고 가정해 보겠습니다. 2014년에 침해. 해당 계정은 침해되었으며 범죄자들은 Avast 포럼에서 귀하의 사용자 이름과 비밀번호를 알고 있을 수 있습니다. Avast에서 귀하에게 연락하여 포럼 비밀번호를 변경하도록 요청했는데 무엇이 문제입니까?
불행히도 문제는 많은 사람들이 다른 웹사이트에서 동일한 비밀번호를 재사용한다는 것입니다. Avast 포럼 로그인 세부 정보가 “[email protected]” 및 “AmazingPassword.” 동일한 사용자 이름(귀하의 이메일 주소)과 비밀번호로 다른 웹사이트에 로그인한 경우 유출된 비밀번호를 알아낸 범죄자는 다른 계정에 액세스할 수 있습니다.
실행 중인 크리덴셜 스터핑
“자격 증명 스터핑”은 이러한 유출된 로그인 세부 정보 데이터베이스를 사용하여 다른 온라인 서비스에서 로그인을 시도하는 것을 포함합니다.
범죄자들은 사용자 이름과 비밀번호 조합이 유출된 대규모 데이터베이스(대개 수백만 개의 로그인 자격 증명)를 가져와 다른 웹사이트에서 로그인을 시도합니다. 어떤 사람들은 여러 웹사이트에서 동일한 비밀번호를 재사용하므로 일부는 일치합니다. 이것은 일반적으로 많은 로그인 조합을 빠르게 시도하는 소프트웨어로 자동화할 수 있습니다.
너무 위험하게 들리고 기술적으로 들리는 것은 다른 서비스에서 이미 유출된 자격 증명을 시도하고 작동하는 것을 확인하는 것뿐입니다. 즉, “해커”는 모든 로그인 자격 증명을 로그인 양식에 입력하고 어떤 일이 발생하는지 확인합니다. 그들 중 일부는 확실히 작동합니다.
이것은 오늘날 공격자가 온라인 계정을 “해킹”하는 가장 일반적인 방법 중 하나입니다. 2018년에만 콘텐츠 전송 네트워크 아카마이 거의 300억 건에 달하는 크리덴셜 스터핑 공격을 기록했습니다.
자신을 보호하는 방법
크리덴셜 스터핑(credential stuffing)으로부터 자신을 보호하는 것은 매우 간단하며 보안 전문가가 수년 동안 권장해 온 것과 동일한 비밀번호 보안 관행을 따라야 합니다. 마법의 해결책은 없습니다. 단지 좋은 암호 위생만 있을 뿐입니다. 다음은 조언입니다.
비밀번호 재사용 방지: 온라인에서 사용하는 각 계정에 고유한 비밀번호를 사용하십시오. 이렇게 하면 비밀번호가 누출되더라도 다른 웹사이트에 로그인하는 데 사용할 수 없습니다. 공격자는 귀하의 자격 증명을 다른 로그인 양식에 입력하려고 시도할 수 있지만 작동하지 않습니다.
암호 관리자 사용: 강력한 고유 암호를 기억하는 것은 꽤 많은 웹사이트에 계정이 있고 거의 모든 사람이 계정을 갖고 있는 경우 거의 불가능한 작업입니다. 다음과 같은 암호 관리자를 사용하는 것이 좋습니다. 1비밀번호 (유료) 또는 비트워든 (무료 및 오픈 소스) 암호를 기억합니다. 강력한 암호를 처음부터 생성할 수도 있습니다.
2단계 인증 활성화: 2단계 인증을 사용하면 웹사이트에 로그인할 때마다 앱에서 생성하거나 SMS를 통해 전송되는 코드와 같은 다른 것을 제공해야 합니다. 공격자가 귀하의 사용자 이름과 비밀번호를 알고 있더라도 해당 코드가 없으면 귀하의 계정에 로그인할 수 없습니다.
유출된 비밀번호 알림 받기: 다음과 같은 서비스로 내가 Pwned 되었습니까?, 자격 증명이 누출될 때 알림을 받을 수 있습니다.
서비스가 크리덴셜 스터핑으로부터 보호하는 방법
개인이 계정 보안에 대한 책임을 져야 하지만 자격 증명 스터핑 공격으로부터 온라인 서비스를 보호할 수 있는 방법은 많이 있습니다.
유출된 데이터베이스에서 사용자 비밀번호 검색: Facebook 및 Netflix 스캔했다 암호에 대한 유출된 데이터베이스, 자체 서비스의 로그인 자격 증명에 대해 상호 참조합니다. 일치하는 항목이 있으면 Facebook 또는 Netflix에서 사용자에게 암호를 변경하라는 메시지를 표시할 수 있습니다. 이것은 크리덴셜-스터퍼(credential-stuffers)를 펀치로 이기는 방법입니다.
2단계 인증 제공: 사용자는 온라인 계정을 보호하기 위해 2단계 인증을 활성화할 수 있어야 합니다. 특히 민감한 서비스는 이것을 의무화할 수 있습니다. 또한 사용자가 이메일의 로그인 확인 링크를 클릭하여 로그인 요청을 확인하도록 할 수도 있습니다.
보안 문자 필요: 로그인 시도가 이상하게 보이면 서비스에서 이미지에 표시된 보안 문자 코드를 입력하거나 다른 양식을 클릭하여 봇이 아닌 사람이 로그인을 시도하는지 확인해야 할 수 있습니다.
반복 로그인 시도 제한: 서비스는 봇이 짧은 시간 동안 많은 로그인 시도를 시도하지 못하도록 차단해야 합니다. 최신의 정교한 봇은 자격 증명 채우기 시도를 위장하기 위해 한 번에 여러 IP 주소에서 로그인을 시도할 수 있습니다.
잘못된 암호 관행과 종종 너무 쉽게 손상되는 보안이 취약한 온라인 시스템은 자격 증명 스터핑을 온라인 계정 보안에 심각한 위험으로 만듭니다. 기술 산업의 많은 회사가 암호 없이 더 안전한 세상을 만들고 싶어하는 것은 놀라운 일이 아닙니다.