Bezpečnostná príručka
Prečo by ste nemali používať heslá opakovane
Pochopte credential stuffing, riziko opakovaného používania hesiel, dôsledky únikov údajov a prečo každý účet potrebuje jedinečné heslo.
Zhrnutie
Opakované používanie hesiel je jedným z najčastejších spôsobov, ako sa jeden únik údajov zmení na mnoho prevzatých účtov. Heslo môže byť dlhé a náhodné, ale ak ho používate na viac ako jednej službe, únik z jednej služby môže odhaliť ostatné.
Použite generátor náhodných hesiel na vytvorenie jedinečnej hodnoty pre každý účet.
Credential stuffing
Útočníci zbierajú uniknuté dvojice používateľských mien a hesiel z únikov, phishingu, malvéru a verejných databáz. Potom tieto prihlasovacie údaje skúšajú na e-mailových, bankových, nákupných, sociálnych a pracovných službách. Útok funguje, pretože veľa ľudí používa heslá opakovane.
Prečo je jedinečnosť dôležitá
Jedinečnosť izoluje škody. Ak jedna služba uchováva heslá zle alebo dôjde k jej úniku, odhalené heslo by nemalo odomknúť váš e-mail, banku, cloudové úložisko ani pracovný účet.
Praktické odporúčania
- Vygenerujte iné heslo pre každý účet.
- Uprednostnite e-mail ako prvý, pretože riadi obnovu hesiel.
- Používajte správcu hesiel, aby ste si nemuseli pamätať veľa hodnôt.
- Povoľte MFA alebo passkeys.
- Zmeňte opakovane používané heslá ihneď po zistení.
Podrobný návod
Tento návod sa zameriava na pochopenie toho, prečo opakované používanie hesiel vytvára riziko prevzatia účtu. Je určený pre používateľov, ktorí používajú jedno obľúbené heslo na mnohých službách, takže praktickým cieľom nie je vytvoriť dramatické bezpečnostné tvrdenie. Cieľom je vybrať si návyk s heslom, ktorý prežije každodenné používanie: prihlasovacie formuláre, správcovia hesiel, mobilné klávesnice, obnova účtu, zdieľané zariadenia a občasná služba s podivnými validačnými pravidlami. Bezpečné odporúčanie je užitočné len vtedy, ak ho skutočný človek dokáže dôsledne dodržiavať.
Najbezpečnejším východiskovým bodom je náhodnosť plus jedinečnosť. Náhodnosť znamená, že hodnota je vybraná z veľkého priestoru kryptograficky vhodným náhodným zdrojom, nie vymyslená z narodenín, mena domáceho maznáčika, vzoru na klávesnici alebo obľúbeného citátu. Jedinečnosť znamená, že rovnaké heslo sa nepoužíva nikde inde. Heslo, ktoré je dlhé, ale opakovane používané, môže rýchlo zlyhať po jednom nesúvisiacom úniku, zatiaľ čo jedinečné náhodné heslo obmedzí škody na jedinom účte, kde bolo použité.
Pre túto tému je praktickým prednastavením jedinečné náhodné heslo pre každý účet uložené v správcovi. Toto prednastavenie môžete použiť s generátorom hesiel s 16 znakmi a potom uložiť výslednú hodnotu do dôveryhodného správcu hesiel. PwdGen generuje hodnoty lokálne v prehliadači pomocou Web Crypto; vygenerované heslo nie je odoslané na server PwdGen. Tento lokálny dizajn znižuje vystavenie na strane servera, ale nechráni pred každou hrozbou. Škodlivé rozšírenie prehliadača, kompromitované zariadenie, phishingová stránka alebo nebezpečné zaobchádzanie so schránkou môžu tajomstvo po vygenerovaní stále odhaliť.
Najčastejšie problémy, ktorým sa treba vyhnúť, sú credential stuffing, staré úniky, phishingové stránky, zdieľané účty a opakovane používané heslá na obnovu. Tieto problémy sú dôležité, pretože útočníci len zriedka potrebujú brute-force všetky možné heslá, keď im ľudské návyky poskytnú skratku. Credential stuffing, phishing, zoznamy uniknutých hesiel a zneužitie obnovy účtu sú často realistickejšie ako čisto matematické vyhľadávanie. Preto najlepšia rada kombinuje kvalitu hesla s kontrolami na úrovni účtu, ako sú MFA, passkeys, ukladanie záložných kódov a pravidelná kontrola e-mailu na obnovu alebo nastavení telefónu.
Použite tento kontrolný zoznam pri aplikovaní odporúčania:
- Začnite s e-mailovými a bankovými účtami.
- Nahrádzajte opakovane používané heslá postupne.
- Používajte správcu, aby ste si nemuseli pamätať veľa hodnôt.
- Povoľte upozornenia na úniky, ak sú k dispozícii.
Ak webová stránka odmietne ideálne nastavenie, nenuťte heslo ručne do slabšieho vzoru. Upravte jednu premennú naraz. Ak sú symboly odmietnuté, ponechajte veľké písmená, malé písmená a čísla povolené a zvýšte dĺžku. Ak je maximálna dĺžka nízka, použite najväčšiu akceptovanú dĺžku a uistite sa, že hodnota je jedinečná. Ak sa heslo musí čítať nahlas, tlačiť alebo písať na televíznej či routerovej obrazovke, zvážte vylúčenie mätúcich znakov a zvýšenie dĺžky, aby ste kompenzovali menšiu abecedu.
Nakoniec si pamätajte hranice rád o heslách. Silné heslo je jedna vrstva obrany, nie záruka. Nedokáže urobiť phishingovú stránku bezpečnou, opraviť malvér ani kompenzovať službu, ktorá uchováva prihlasovacie údaje zle. Užitočný návyk je nudný, ale trvácny: vygenerujte jedinečnú hodnotu, bezpečne ju uložte, chráňte cestu obnovy a rýchlo ju vymeňte, ak máte podozrenie na odhalenie.
Bezpečný ďalší krok
Po prečítaní tohto návodu urobte jeden malý audit účtu namiesto toho, aby ste sa snažili opraviť všetko naraz. Vyberte účet, ktorý by spôsobil najviac problémov, keby bol prevzatý, potvrďte, že jeho heslo je jedinečné, a skontrolujte e-mail na obnovu, telefón na obnovu, metódu MFA a uloženie záložných kódov. Ak je niektorá časť tohto reťazca slabá, zlepšite túto časť predtým, ako prejdete na účty s nižším rizikom. Toto poradie udržuje prácu zvládnuteľnú a chráni účty, ktoré útočníci s najväčšou pravdepodobnosťou použijú ako odrazový mostík. Prečo by ste nemali používať heslá opakovane, najlepším výsledkom je opakovateľný návyk: generovať lokálne, ukladať opatrne a vyhýbať sa opakovaniu.
Často kladené otázky
Čo je credential stuffing?
Credential stuffing je, keď útočníci skúšajú uniknuté dvojice používateľských mien a hesiel na iných službách.
Je opakované používanie stále rizikové, ak je heslo silné?
Áno. Silné opakovane používané heslo môže stále odomknúť viacero účtov po tom, čo ho jedna služba prenikne.
Čo mám robiť po opakovanom použití hesla?
Zmeňte každý účet, ktorý ho používal, počnúc e-mailom, bankovníctvom, prácou a účtami na obnovu správcu hesiel.