"Prawie czas na lunch" Cameron sądziła, gdy kliknąła wiadomość e-mail. "Recenzja dokumentu... recenzja dokumentu... wpłaty..." Lubiła być paralegałem, ale chciała, aby jej firma zatrudniła więcej osób, które będą pomagać w obciążeniach pracą.
Zatrzymała się na chwilę, aby spojrzeć na wiadomość e-mail od firmy Tailwind Toys, która dotarła dzień wcześniej. Najprawdopodobniej dotarli oni do naruszenia bezpieczeństwa, ale według nich osoby atakujące nie uzyskały żadnych informacji dotyczących płatności. "Świetnie", zastanawiała się, jak wygląda ulubione zabawki mojego syna.
Chwilę później spotykała się ze swoim znajomym Akitrą na lunch. Wyciągając krzesło Akikino niechcący wrzuciło na stole swój keychain.
"Hej! Cameron wykrzywił się: "Skąd masz niesamowite modułu puzzle na keychain?".
"To jest przyjemne" — odpowiedziałA. "W tailwind Toys kosztował 5 USD".
"Ołek" Cameron odpowiedziała, nagle pamiętając wiadomość e-mail, która była wcześniej przeze mnie widziana. "Czy słyszysz, że ktoś się włamał i utracił wiele informacji o klientach?".
"Naprawdę? Wow".
"Tak, z przyjemnością wiedzą, że Ethan lubi niebieskie bloki". Cameron odpowiedział, śmiejąc się.
"Czy to wszystko dostali?"?
"No cóż, typowe informacje o nazwach klientów, adresach e-mail, hasłach. Wygląda na to, że nie ma żadnych kart kredytowych". Cameron odpowiedział.
"Hmmm.. ale adresy e-mail i hasła?" Akikino wyglądała na nieciekawą.
"Tak, dostali moje naprawdę wspaniałe hasło. Pewnie wszyscy teraz z niego chcą korzystać. Ma ona 23 znaki i wygląda na to, że została napisana w Programie. Używam tego wszędzie".
"Wszędzie? Czy Twój adres e-mail i to hasło są loginem banku lub mediów społecznościowych?"
"Dobrze... Tak..." Cameron odpowiedział: "Ale to są inne witryny".
"Nie ma znaczenia". Dodał, że Tomek jest tym, co mówi. "Jest to rodzaj ataku, nazywany "namysłem poświadczeń". Gdy w jednej witrynie wąsy uzyskają nazwy użytkowników i hasła, przejdą do wszystkich innych witryn i wypróbują te pola kombi nazw użytkowników i haseł, aby sprawdzić, ile z nich działa. Jeśli używasz tego samego hasła wszędzie i wiesz, że jest ono używane wraz z Twoim adresem e-mail, te osoby będą mieć dostęp do Twoich kont w dowolnym systemie, który używa tej samej nazwy użytkownika i tego samego hasła".
Teraz Cameron martwił się. "Sądzę, że mój adres e-mail jest moją nazwą użytkownika w wielu miejscach, także w pracy. Co mam zrobić?"
"Czy masz włączona weryfikację dwuetapową dla tych witryn?" Akikino poprosił.
"Wydaje się, że to takie kłopoty, więc nie włączyć tej pracy". Została wpuszczena.
"O. Dobrze, nie zmarnowałabym czasu i zaczynałabym zmieniać te hasła, zaczynając od hasła służbowego. Używaj unikatowych haseł w każdymmiejscu , a weryfikację dwuetapową należy włączyć wszędzie, gdzie jest to tylko dostępne. W przypadku drugiego kroku nie jest to naprawdę błąd zbyt często i warto zatrzymać włamywanie się na konto bankowe lub pracę".
"Nie podoba mi się pamiętanie wszystkich tych haseł. Po prostu wiem, że będę stale klikać pozycję "Nie pamiętam hasła". Bardzo jej to przytłaczało.
"Uzyskaj menedżera haseł. Zapamiętują Twoje hasła, a nawet sugerują nowe silne hasła". Sugerowane przez akitrę. "Używam do Microsoft Edge przeglądarki internetowej. To znacznie ułatwia moje życie, a nawet synchronizuje się ze wszystkimi moimi urządzeniami". Dodał, trzymając swój smartfon.
"Dobrze, chyba to się udało". Dodała.
"Musisz zrobić to teraz, zjednę lunch". Dodał, że poszuka swojego portfela. "Miss... czy może ona zamówić to-go?"
"Dziękuję, dostaję następne". Dodała, że chce zebrać jej jedzenie w kierunku licznika.
Podsumowanie
Ponowne użyciu haseł jest bardzo niebezpieczne. Przestępcy mogą mieć trudności z włamywaniem się do systemów bankowych, ale włamanie się do jednej witryny ze słabymi zabezpieczeniami wymaga po prostu dostępu do danych użytkowników i hasła. W ciągu kilku godzin mogą oni wypróbować kombinację nazwy użytkownika i hasła na setkach lub tysiącach witryn w Internecie. Być może natknie się on na co najmniej kilka innych witryn, w których działa ta nazwa użytkownika i hasło.
Jeśli nie masz dodatkowej ochrony, na przykład włączonej weryfikacji dwuetapowej (nazywanej czasem uwierzytelnianiem wieloskładnikowym), mogą one być na Twoich kontach, zanim nawet będziesz wiedzieć, że pierwsza witryna została naruszona.
Do tego jest atak z rzeczami poświadczeń.
Co udałoby się cameronowi zrobić lepiej?
Najważniejsze, że hasło nie jest wynoszalne, bez względu na to, jak doskonałe było hasło.
Mogła również włączona weryfikacja dwuetapowa niezależnie od tego, gdzie była dostępna. Dzięki temu, nawet jeśli zła wiadomość otrzyma swoje hasło, znacznie trudniej będzie im uzyskać dostęp do swoich kont.
Co Cameron miał rację?
Gdy uświadomiła sobie potencjalne zagrożenie, natychmiast zmieniła swoje hasła,włączyła zarządzanie hasłami w programie Microsoft Edge i rozpoczynając korzystać z weryfikacji dwuetapowej.
Aby dowiedzieć się więcej, odwiedź https://support.microsoft.com/security.
Jeśli lubisz to...
Jeśli lubisz dowiedzieć się o swojej niechlubności w krótkich opowieściach, warto też zobaczyć achówcę.Jest to historia kierownika konta, który ma do czynienia z atakiem typu wyłudzania informacji w pracy.
