"Skoro čas na oběd", pomyslela si Cameronová, když klikla přes e-mail. "Kontrola dokumentu... Kontrola dokumentu... depozice..." Ráda byla asistentka, ale přála si, aby její firma najala další lidi, kteří by s pracovním vytížením pomohli.
Chvíli se zastavila, aby se podívala na e-mail od společnosti Tailwind Toys, která přišla o den dřív. Zřejmě měli nějaké porušení zabezpečení, ale nemají za to, že útočníci dostali žádné platební údaje. "Skvělé," zasmála se: "Teď už vědí, jaké jsou oblíbené hračky mého syna".
O chvíli později se seznámila se svým přítelem Akihitem na oběd. Když Akihito vytahoval židle, na stůl si nenuceně upustil klíčenku.
"Ahoj!" Cameron zvolal: "Kde jste na klíčenky dostal tu úžasnou krychli skládačky?!"
"Je to docela zábava," odpověděl Akihito. "To bylo 5 usd u Tailwind Toys."
"Ooh" Řekl Cameron a najednou si vzpomene na e-mail, který předtím viděl. "Slyšeli jste, že se hackli a ztratili spoustu informací o zákazníce?"
"Opravdu? Wow."
"Ano, určitě jsou rádi, že Ethan má rád modré bloky." Cameron odpověděl a smál se.
"Je to všechno, co dostali?"
"Ach, obvyklé 'Jména zákazníků, e-mailové adresy, hesla' věci taky. Ale zřejmě žádné platební karty." Odpověděla Cameronová.
"Hmmm.. ale e-maily a hesla?" Akihito vypadal zauněně.
"Ano, dostali moje opravdu úžasné heslo. Teď ho nejspíš všichni používají sami pro sebe. Je dlouhý 23 znaků a vypadá to, že je napsaný v Klingonu. Tuto věc používám všude."
"Všude? Je vaše e-mailová adresa a toto heslo přihlašovací údaje pro vaši banku nebo sociální sítě?"
"No... Ano..." Cameron odpověděl: "Ale to jsou různé weby".
Na tom nezáleží. Akihito řekl. "Existuje druh útoku s názvem "Credential stuffing" (Nádivka přihlašovacích údajů). Když podvodníci na jednom webu chytá uživatelská jména a hesla, chodí na všechny ostatní weby a vyzkoušejí tato seznamová jména a hesla, aby viděli, kolik z nich funguje. Pokud všude používáte stejné heslo a oni vědí, že jde o vaši e-mailovou adresu, může se k vašim účtům dostat v libovolném systému, který používá stejné uživatelské jméno a heslo."
Teď se Cameron obával. "Myslím, že moje e-mailová adresa je moje uživatelské jméno na mnoha místech, včetně práce. Co mám dělat?"
"Máte pro tyto weby zapnuté dvoukrokové ověření?" Akihito požádal.
"Vypadá to jako taková nepříjemnost, takže jsem ji nezapnout." Připustila.
"Ach. No, pak bych neztrácel čas a začal jsem měnit tato hesla, počínaje vaším pracovním heslem. Používejte jedinečná hesla pro všechnoa měli byste zapnout dvoukrokové ověření všude, kde to jde. Druhý krok vás moc často nenarušuje a stojí za to zabránit podvodníkům v tom, aby se vloupaly na váš bankovní účet nebo vaši práci."
"Ugh, I just hate having to remember all those passwords. Jenom vím, že pořád kliknu na "zapomenuté heslo". V úkolu, který před sebou čeká, se jí trochu zmocněla.
"Získejte správce hesel. Mohou si za vás vzpomenout na vaše hesla a dokonce navrhnou nová silná hesla." Akihito navrhl. "K tomu používám Microsoft Edge prohlížeč. Díky tomu je můj život mnohem jednodušší a dokonce se synchronizuje se všemi mými zařízeními." Řekl, že drží svůj smartphone.
"OK, myslím, že to můžu udělat." Řekla.
"Měli byste to udělat hned, já si dám oběd." Řekl, že si sáhá po peněžence. "Miss... může mít objednávku na vyhovění?"
"Díky bud, dostanu další." Pravila, že míří k přepážce, aby si shromažďoval jídlo.
Shrnutí
Opakované použití hesel je velmi nebezpečné. Zločincům může být těžké vloupat se do systémů vaší banky, ale jenom jeden web se slabým zabezpečením se může dostat do systému a může získat vaše uživatelské jméno a heslo. Během několika hodin si mohou vyzkoušet kombinaci uživatelského jména a hesla na stovkách nebo tisících webů na webu. Je pravděpodobné, že narazí aspoň na několik dalších webů, kde toto uživatelské jméno a heslo funguje.
Pokud nemáte další ochranu, jako je dvoustupňové ověření (někdy označované jako vícefaktorové ověřování), může být ve vašich účtech dřív, než vůbec víte, že byl první web porušován.
To je útok na nádivku přihlašovacích údajů.
Co mohl Udělat Lépe?
Hlavní je, že heslo znovu nepoužití, bez ohledu na to, jak skvělé heslo bylo.
Mohla taky zapnout dvoukrokové ověření tam, kde bylo dostupné. I v případě, že si špatní lidé heslo dosáli, bylo by pro ně mnohem těžší dostat se k jejím účtům.
Co udělal Správně?
Jakmile si uvědomila potenciální riziko, že okamžitě odešla a změnila si hesla ,povolila správu hesel v Microsoft Edge a začala používat dvoukrokové ověření.
Další informace najdete v https://support.microsoft.com/security.
Pokud se vám to líbí...
Pokud se rádi učíte o kybernetické bezpečnosti v krátkých povídcích, jako je tento, můžete se také podívat na phish story.Je to příběh manažera účtu, který se v práci setkal s útokem phishing.
