"Nästan dags för lunch" Tankesnänkt när hon klickade via e-post. "Dokumentgranskning... dokumentgranskning... ..." Hon gillade att vara en paralegal, men önskade att hennes företag skulle anlita fler personer för att hjälpa till med arbetsbelastningen.
Hon pausade ett ögonblick för att titta på ett e-postmeddelande från Tailwind Toys som kom dagen innan. Det var till synes så att de hade haft någon typ av säkerhetsintrång men de tror inte att attackerarna har fått någon betalningsinformation. "Bra", tänker hon med en snles "Nu vet de vilken min sons favorit toys är."
Ett tag senare såg hon sin vän Akihito på lunch. Dra ut sin stol Akihito tillfälligt släppa sin nyckelring på tabellen.
"Hej!" Man utser: "Var fick du den där fantastiska kuben med nyckelringen?!"
"Det är ganska kul", svarade Akihito. "Det var $5 hos Tailwind Toys."
"Det var han som senast sa att han plötsligt minns e-postmeddelandet som hon hade sett tidigare. "Har du hört att de blivit hackade och förlorat en massa kundinformation?"
"Är det verkligen? Oj."
"Ja, de är säkert glada att få veta att Du gillar blå block." Han svarade och skrattade.
"Är det allt de fick?"
"Oj, de vanliga "Kundnamn, e-postadresser och lösenord" saker också. Men det finns till synes inga kreditkort." Svarad, svarat.
"Hmmm.. men e-postmeddelanden och lösenord?" Akihito såg orolig ut.
"Ja, de har fått mitt riktigt fantastiska lösenord. Alla använder den säkert själva nu! Det är 23 tecken långt och ser ut som om det skrivits i Fonon. Jag använder den överallt."
"Överallt? Är din e-postadress och lösenordet till inloggningen för din bank eller sociala medier?"
"Nåja... ja..." Han svarade "Men det är olika webbplatser".
"Det spelar ingen roll." Akihito sa. "Det finns en typ av attack som kallas 'Credential stuffing'. När de får användarnamn och lösenord på en webbplats går de till alla de andra webbplatserna och provar kombinationerna med användarnamn och lösenord för att se hur många av dem som fungerar. Om du använder samma lösenord överallt, och de vet att det gäller för din e-postadress, kan de komma åt dina konton på alla system som använder samma användarnamn och lösenord."
Nu var Hanna orolig. "Jag tror att min e-postadress är mitt användarnamn på många platser, bland annat på jobbet. Vad ska jag göra?"
"Har du aktiverat tvåstegsverifiering för de webbplatserna?" Akihito tillfrågad.
"Det verkar krångligt, så jag har inte gjort det." Hon upptogs.
"Oj. Då skulle jag inte slösa tid på att ändra lösenorden, och börja med ditt arbetslösenord. Använd unika lösenord för allt ,och du bör aktivera tvåstegsverifiering överallt där du kan. Det är faktiskt inte så ofta du gör det andra steget och det är värt att stoppa avbrotten från att brytas in på ditt bankkonto eller ditt arbete".
"Jag ogillar bara att behöva komma ihåg alla lösenorden. Jag vet bara att jag hela tiden klickar på "glömt lösenord". Hon kändes lite överhopad vid uppgiften i förväg.
"Skaffa en lösenordshanterare. De kan komma ihåg dina lösenord åt dig och även föreslå nya starka lösenord." Förslag på Akihito. "Jag använder Microsoft Edge för det. Det gör mitt liv så mycket enklare och även synkroniseras med alla mina enheter." Han sa att han håller i sin smartphone.
"OKEJ, det kan jag väl göra." Hon sa det.
"Du ska göra det nu, jag ska äta lunch." Han sa att han sträckte sig efter plånboken. "Miss... kan hon ha sin beställning att gå?"
"Tack så mycket, jag hämtar nästa." Hon sade att hon gick mot räknaren för att samla in hennes mat.
Sammanfattning
Att återanvända lösenord är mycket farligt. Brottslingar kan ha svårt att bryta sig in i din bank system, men det tar bara en webbplats med svagt skydd att bryta sig in i och de kan få ditt användarnamn och lösenord. Inom några timmar kunde de prova en kombination av användarnamn och lösenord på hundratals eller tusentals webbplatser på hela webben. De kanske stöter på minst ett par andra webbplatser där användarnamnet och lösenordet fungerar.
Om du inte har ytterligare skydd, t.ex. tvåstegsverifiering (kallas ibland multifaktorautentisering) aktiverat, kan de finnas på dina konton innan du ens vet att den första webbplatsen har brutits.
Det är vad en angrepp för autentiseringsuppgifter är.
Vad kan Han göra bättre?
Det viktiga är inte att återanvända sitt lösenord, oavsett hur bra ett lösenord var.
Hon kunde också ha aktiverat tvåstegsverifiering där den var den var tillgänglig. På så sätt, även om de dåliga har fått sitt lösenord, skulle det vara mycket svårare för dem att komma in på hennes konton.
Vad gjorde Han rätt?
När hon upptäckte den potentiella fara hon genast gick och ändrade sina lösenord aktiverade hon lösenordshanteringi Microsoft Edge, och började använda tvåstegsverifiering.
Om du vill veta mer kan du https://support.microsoft.com/security.
Om du tyckte om det här...
Om du gillar att lära dig mer om cybersäkerhet i korta berättelser som det här, kanske du också vill ta en en titta på en phish-historia.Det är en berättelse om en kontochef som har ett trakasserande möte med en nätfiskeattack på jobbet.
