"Fast Zeit zum Mittagessen", dachte sich Lange, als sie durch die E-Mail klickte. "Dokumentüberprüfung... Dokumentüberprüfung... Position..." Sie hatte gerne eine paralegale Kandidatin, hatte sich aber gewünscht, dass ihr Unternehmen einige weitere Personen beauftragen würde, ihr bei der Arbeitsauslastung zu helfen.
Sie pausierte einen Moment, um eine E-Mail von Tailwind Toys zu betrachten, die am Vortag eingetroffen war. Offensichtlich hat es eine Art Sicherheitsverletzung geben, aber sie glauben nicht, dass die Angreifer Zahlungsinformationen erhalten haben. "Großartig", dachte sie mit einem Zunger: "Jetzt wissen sie, was die Lieblingsspielwaren meines Sohn sind".
Etwas später hat sie ihren Freund Akihito zum Mittagessen getroffen. Beim Herausziehen seines Stuhls Akihito hat er seinen Schlüsselbund gelegentlich auf dem Tisch abgelegt.
"Hey!" Ausdinge: "Wo haben Sie den fantastischen Puzzlecube auf Ihren Schlüsselbund bekommen?!"
"Das macht ziemlich Spaß", antwortete Akihito. "Für Tailwind Toys waren es 5 USD."
"O nicht weiter", sagte Müller und erinnerte sich plötzlich an die E-Mail, die sie früher gesehen hatte. "Haben Sie gehört, dass sie gehackt wurden und eine Reihe von Kundeninformationen verloren gegangen sind?"
"Wirklich? Wow."
"Ja, ich bin sicher, dass sie gespannt darauf sind, dass Äthan blaue Blöcke mag." Seine Antwort: Lachend.
"Sind das alles, was sie bekommen?"
"Oh, auch die üblichen Dinge wie "Kundennamen, E-Mail-Adressen, Kennwörter". Aber anscheinend keine Kreditkarten." Er antwortete.
"Hmmm.. aber E-Mails und Kennwörter?" Akihito wirkte besorgt.
"Ja, die haben mein richtig fantastisches Kennwort erhalten. Wahrscheinlich verwenden sie es jetzt alle für sich selbst! Sie ist 23 Zeichen lang und sieht so aus, als ob sie in Klingon geschrieben wurde. Ich verwende das überall."
"Überall? Ist Ihre E-Mail-Adresse und dieses Kennwort die Anmeldung für Ihre Bank oder Ihre sozialen Medien?"
"Nun, ... Ja..." Repligte: "Aber das sind unterschiedliche Websites".
"Spielt keine Rolle." Akihito sagte. "Es gibt eine Art von Angriff namens 'Credential Stuffing'. Wenn die Gaoks Benutzernamen und Kennwörter auf einer Website erhalten, wechseln sie zu allen anderen Websites und probieren diese Kombination aus Benutzernamen und Kennwort aus, um zu sehen, wie viele davon funktionieren. Wenn Sie überall dasselbe Kennwort verwenden und wissen, dass es ihrer E-Mail-Adresse beikommt, können diese Benutzer in Ihre Konten auf jedem System mit demselben Benutzernamen und Kennwort gehen."
Jetzt macht sich David Sorgen. "Ich glaube, dass meine E-Mail-Adresse an vielen Stellen mein Benutzername ist, auch bei der Arbeit. Was soll ich tun?"
"Haben Sie die Überprüfung in zwei Schritten für diese Websites aktiviert?" Akihito wurde gefragt.
"Das mag so unleserig aussehen, also habe ich es nicht aktivieren können." Sie wurde zugelassen.
"Oh. Nun, dann würde ich keine Zeit verschwenden und damit beginnen, diese Kennwörter zu ändern, beginnend mit Ihrem Arbeitskennwort. Verwenden Sie eindeutige Kennwörter für alle- und Sie sollten die Überprüfung in zwei Schritten überall dort aktivieren, wo Sie können. Der zweite Schritt ist nicht sehr häufig für Sie ein Fehler, und es lohnt sich, zu verhindern, dass Diese in Ihr Bankkonto oder Ihre Arbeit einbrechen."
"Hetze, ich hasse es nur, dass ich mich all diese Kennwörter merken muss. Ich weiß nur, dass ich ständig auf 'Kennwort vergessen' klicke." Sie hat sich ein wenig überwältigt über die an diesem Vorgang liegende Aufgabe gefühlt.
"Kennwort-Manager erhalten. Sie können sich Ihre Kennwörter merken und sogar neue sichere Kennwörter vorschlagen." Akihito vorgeschlagen. "Ich verwende dafür Microsoft Edge Browser . Das macht mein Leben so viel einfacher und synchronisiert sogar mit allen meinen Geräten." Er sagte, und hält sein Smartphone hoch.
"OK, ich denke, das könnte ich tun." , Sagte sie.
"Das sollten Sie jetzt machen, ich kannst mittagessen." Er sagte, und sprach nach seiner Brieftasche. "Miss... kann sie Ihre Bestellung losgehen?"
"Danke, ich bekommt das nächste." Sie sagte, auf dem Weg zum Zähler, um Ihr Essen zu sammeln.
Zusammenfassung
Das Wiederverwahren von Kennwörtern ist extrem gefährlich. Kriminelle haben es möglicherweise schwer, sich in die Systeme Ihrer Bank einzugeben, aber es braucht nur eine Website mit schwacher Sicherheit, in die eingebrochen werden kann, und sie könnten Ihren Benutzernamen und Ihr Kennwort erhalten. Innerhalb von Stunden konnten sie diese Kombination aus Benutzername und Kennwort bei Hunderten oder Tausenden von Websites im Internet ausprobieren. Es kann sein, dass sie auf mindestens ein paar andere Websites stürzt, auf denen dieser Benutzername und das Kennwort funktionieren.
Wenn sie keinen zusätzlichen Schutz haben, z. B. die Überprüfung in zwei Schritten (auch als mehrstufige Authentifizierung bezeichnet),können sie in Ihren Konten vorhanden sein, bevor Sie wissen, dass die erste Website verletzt wurde.
Dies ist der Angriff auf Anmeldeinformationen.
Was hätte Ich verbessern können?
Das Wichtigste ist, dass ihr Kennwort nicht wiederver verwendet wird, ganz gleich, wie groß das Kennwort war.
Sie könnte auch die Überprüfung in zwei Schritten an dem Ort aktiviert haben, an dem sie verfügbar war. Auf diese Weise wäre es viel schwieriger, auf ihre Konten zu kommen, auch wenn die schlechten Leute ihr Kennwort erhalten würden.
Was hat Dies zu tun?
Sobald sie die potenzielle Gefahr erkannt hat, geht sie sofort auf und hat ihre Kennwörter geändert,die Kennwortverwaltung in Microsoft Edge aktiviert und mit der Überprüfung in zwei Schritten begonnen.
Weitere Informationen finden Sie unter https://support.microsoft.com/security.
Wenn Ihnen das Spaß hat ...
Wenn Sie in kurzen Storys wie dieser gerne etwas über Internetsicherheit lernen, sollten Sie sich auch eine Phish-Story durchchecken.Es handelt sich um die Geschichte eines Kontoleiters, der bei der Arbeit eine erschrowende Zusammentreffen mit einem Phishing-Angriff hat.
