Panduan keselamatan

Mengapa Anda Tidak Patut Menggunakan Semula Kata Laluan

Fahami credential stuffing, risiko penggunaan semula kata laluan, kesan pelanggaran data, dan mengapa setiap akaun memerlukan kata laluan unik.

Ringkasan

Penggunaan semula kata laluan adalah salah satu cara paling biasa satu pelanggaran data menjadi banyak pengambilalihan akaun. Kata laluan boleh panjang dan rawak, tetapi jika anda menggunakannya pada lebih daripada satu perkhidmatan, kebocoran dari satu perkhidmatan boleh mendedahkan yang lain.

Gunakan penjana kata laluan rawak untuk mencipta nilai unik bagi setiap akaun.

Credential stuffing

Penyerang mengumpul pasangan nama pengguna dan kata laluan yang bocor dari pelanggaran data, pancingan data, perisian hasad, dan lambakan awam. Mereka kemudian mencuba bukti kelayakan tersebut pada perkhidmatan e-mel, perbankan, membeli-belah, sosial, dan kerja. Serangan ini berkesan kerana ramai orang menggunakan semula kata laluan.

Mengapa keunikan penting

Keunikan mengasingkan kerosakan. Jika satu perkhidmatan menyimpan kata laluan dengan lemah atau mengalami pelanggaran data, kata laluan yang terdedah tidak sepatutnya membuka kunci akaun e-mel, bank, storan awan, atau kerja anda.

Cadangan praktikal

• Hasilkan kata laluan berbeza untuk setiap akaun.
• Utamakan e-mel dahulu kerana ia mengawal set semula kata laluan.
• Gunakan pengurus kata laluan untuk mengelak menghafal banyak nilai.
• Aktifkan MFA atau passkey.
• Tukar kata laluan yang digunakan semula sebaik sahaja diketahui.

Panduan terperinci

Panduan ini memberi tumpuan kepada memahami mengapa penggunaan semula kata laluan mewujudkan risiko pengambilalihan akaun. Ia ditulis untuk pengguna yang menggunakan satu kata laluan kegemaran di banyak perkhidmatan, jadi matlamat praktikal bukan untuk membuat tuntutan keselamatan yang dramatik. Matlamatnya adalah memilih tabiat kata laluan yang boleh bertahan dalam penggunaan harian: borang log masuk, pengurus kata laluan, papan kekunci mudah alih, pemulihan akaun, peranti kongsi, dan kadangkala perkhidmatan dengan peraturan pengesahan yang pelik. Cadangan yang selamat hanya berguna jika orang sebenar boleh mengikutinya secara konsisten.

Titik permulaan paling selamat adalah rawak ditambah keunikan. Rawak bermaksud nilai dipilih dari ruang yang besar oleh sumber rawak yang sesuai secara kriptografi, bukan dicipta dari hari lahir, nama haiwan peliharaan, corak papan kekunci, atau petikan kegemaran. Keunikan bermaksud kata laluan yang sama tidak digunakan di tempat lain. Kata laluan yang panjang tetapi digunakan semula boleh gagal dengan cepat selepas satu pelanggaran data yang tidak berkaitan, manakala kata laluan rawak unik mengehadkan kerosakan kepada akaun tunggal di mana ia digunakan.

Untuk topik ini, pratetap praktikal adalah kata laluan rawak unik untuk setiap akaun, disimpan dalam pengurus. Anda boleh gunakan pratetap itu dengan penjana kata laluan 16 aksara dan kemudian simpan nilai akhir dalam pengurus kata laluan yang dipercayai. PwdGen menjana nilai secara setempat dalam pelayar dengan Web Crypto; kata laluan yang dihasilkan tidak dihantar ke pelayan PwdGen. Reka bentuk setempat itu mengurangkan pendedahan di sisi pelayan, tetapi ia tidak melindungi daripada setiap ancaman. Sambungan pelayar berniat jahat, peranti terjejas, halaman pancingan data, atau pengendalian papan klip yang tidak selamat masih boleh mendedahkan rahsia selepas ia dihasilkan.

Masalah paling biasa yang perlu dielakkan adalah credential stuffing, pelanggaran data lama, halaman pancingan data, akaun kongsi, dan kata laluan pemulihan yang digunakan semula. Masalah ini penting kerana penyerang jarang perlu memaksa semua kemungkinan kata laluan apabila tabiat manusia memberi mereka jalan pintas. Credential stuffing, pancingan data, senarai kata laluan bocor, dan penyalahgunaan pemulihan akaun selalunya lebih realistik daripada carian matematik tulen. Itulah sebabnya nasihat terbaik menggabungkan kualiti kata laluan dengan kawalan peringkat akaun seperti MFA, passkey, penyimpanan kod pemulihan, dan semakan tetap e-mel pemulihan atau tetapan telefon.

Gunakan senarai semak ini semasa menggunakan cadangan:

• Mulakan dengan akaun e-mel dan perbankan.
• Gantikan kata laluan yang digunakan semula secara beransur-ansur.
• Gunakan pengurus untuk mengelak menghafal banyak nilai.
• Aktifkan amaran pelanggaran data jika ada.

Jika laman web menolak tetapan ideal, jangan paksa kata laluan ke dalam corak yang lebih lemah secara manual. Laraskan satu pembolehubah pada satu masa. Jika simbol ditolak, kekalkan huruf besar, huruf kecil, dan nombor diaktifkan dan tingkatkan panjang. Jika panjang maksimum rendah, gunakan panjang yang diterima terbesar dan pastikan nilai itu unik. Jika kata laluan perlu dibaca dengan kuat, dicetak, atau ditaip pada skrin televisyen atau penghala, pertimbangkan untuk mengecualikan aksara yang mengelirukan dan tingkatkan panjang untuk mengimbangi abjad yang lebih kecil.

Akhir sekali, ingat batasan nasihat kata laluan. Kata laluan yang kuat adalah satu lapisan pertahanan, bukan jaminan. Ia tidak boleh menjadikan halaman pancingan data selamat, membetulkan perisian hasad, atau mengimbangi perkhidmatan yang menyimpan bukti kelayakan dengan lemah. Tabiat yang berguna adalah membosankan tetapi tahan lama: hasilkan nilai unik, simpan dengan selamat, lindungi laluan pemulihan, dan gantikan dengan cepat jika anda mengesyaki pendedahan.

Langkah seterusnya yang selamat

Selepas membaca panduan ini, lakukan satu audit akaun kecil daripada cuba membetulkan semuanya sekali gus. Pilih akaun yang akan menyebabkan paling banyak masalah jika diambil alih, sahkan bahawa kata laluannya unik, dan periksa e-mel pemulihan, telefon pemulihan, kaedah MFA, dan penyimpanan kod sandaran. Jika mana-mana bahagian rantai itu lemah, perbaiki bahagian itu sebelum beralih ke akaun berisiko rendah. Urutan ini memastikan kerja terkawal dan melindungi akaun yang paling mungkin digunakan penyerang sebagai batu loncatan. Untuk mengapa anda tidak patut menggunakan semula kata laluan, hasil terbaik adalah tabiat yang boleh diulang: hasilkan secara setempat, simpan dengan teliti, dan elakkan penggunaan semula.

Soalan lazim

Apakah credential stuffing?

Credential stuffing adalah apabila penyerang mencuba pasangan nama pengguna dan kata laluan yang bocor pada perkhidmatan lain.

Adakah penggunaan semula masih berisiko jika kata laluan itu kuat?

Ya. Kata laluan kuat yang digunakan semula masih boleh membuka kunci pelbagai akaun selepas satu perkhidmatan membocorkannya.

Apa yang perlu saya lakukan selepas menggunakan semula kata laluan?

Tukar setiap akaun yang menggunakannya, bermula dengan e-mel, perbankan, kerja, dan akaun pemulihan pengurus kata laluan.