“증명서 채우기”덕분에 다크 웹에서 총 5 억 개의 줌 계정을 판매 할 수 있습니다. 범죄자가 온라인으로 계정을 침입하는 일반적인 방법입니다. 다음은 그 용어가 실제로 의미하는 바와 자신을 보호 할 수있는 방법입니다.
유출 된 비밀번호 데이터베이스로 시작
온라인 서비스에 대한 공격이 일반적입니다. 범죄자는 종종 시스템의 보안 결함을 악용하여 사용자 이름 및 비밀번호 데이터베이스를 얻습니다. 도난당한 로그인 자격 증명 데이터베이스는 종종 어두운 웹에서 온라인으로 판매되며 범죄자는 데이터베이스 액세스 권한을 Bitcoin에 지불합니다.
2014 년에 위반 된 Avast 포럼에 계정이 있다고 가정 해 봅시다. 해당 계정이 위반되어 범죄자가 Avast 포럼에 사용자 이름과 비밀번호를 가지고있을 수 있습니다. Avast가 연락하여 포럼 비밀번호를 변경 했습니까? 그러면 무엇이 문제입니까?
불행히도 문제는 많은 사람들이 다른 웹 사이트에서 동일한 암호를 재사용한다는 것입니다. Avast 포럼 로그인 세부 정보는 “you@example.com”및 “AmazingPassword”라고 가정하겠습니다. 동일한 사용자 이름 (이메일 주소)과 비밀번호로 다른 웹 사이트에 로그인 한 경우 유출 된 비밀번호를 얻은 모든 범죄자는 해당 계정에 액세스 할 수 있습니다.
관련 : 다크 웹이란 무엇입니까?
자격 증명 소 작성
“증명서 채우기”에는 유출 된 로그인 세부 정보가있는 이러한 데이터베이스를 사용하고 다른 온라인 서비스에 로그인하려고합니다.
범죄자는 유출 된 사용자 이름 및 비밀번호 조합 (대개 수백만 개의 로그인 자격 증명)으로 구성된 대규모 데이터베이스를 가져 와서 다른 웹 사이트에서 로그인하려고합니다. 일부 사람들은 여러 웹 사이트에서 동일한 암호를 재사용하므로 일부 사람들은 일치합니다. 일반적으로 소프트웨어를 사용하여 자동화 할 수 있으며 많은 로그인 조합을 신속하게 시도 할 수 있습니다.
매우 위험한 것으로 기술적으로 들리면 그게 전부입니다. 다른 서비스에서 이미 유출 된 자격 증명을 시도하고 작동하는 것을 확인하십시오. 다시 말해,“해커”는 모든 로그인 자격 증명을 로그인 양식에 입력하고 어떻게되는지 확인합니다. 그들 중 일부는 반드시 작동합니다.
이것은 공격자가 요즘 온라인 계정을 “해킹”하는 가장 일반적인 방법 중 하나입니다. Akamai는 콘텐츠 전송 네트워크 인 2018 년에만 약 300 억 건의 자격 증명 소싱 공격을 기록했습니다.
관련 : 공격자가 실제로 “계정을 해킹”하는 방법과 자신을 보호하는 방법
자신을 보호하는 방법
자격 증명을 채우는 것을 방지하는 것은 매우 간단하며 보안 전문가가 수년 동안 권장 해 왔던 것과 동일한 암호 보안 관례를 따르는 것입니다. 마법의 해결책은 없습니다. 암호 보안이 우수합니다. 조언은 다음과 같습니다.
- 비밀번호 재사용을 피하십시오. 온라인으로 사용하는 각 계정마다 고유 한 비밀번호를 사용하십시오. 이렇게하면 비밀번호가 유출 되더라도 다른 웹 사이트에 로그인하는 데 사용할 수 없습니다. 공격자는 자격 증명을 다른 로그인 양식에 넣을 수는 있지만 작동하지 않습니다.
- 비밀번호 관리자를 사용하십시오. 꽤 많은 웹 사이트에 계정이 있고 거의 모든 사람이 강력한 암호를 기억하는 것은 거의 불가능한 작업입니다. 1Password (유료) 또는 Bitwarden (무료 및 오픈 소스)와 같은 비밀번호 관리자를 사용하여 비밀번호를 기억하는 것이 좋습니다. 강력한 암호를 처음부터 생성 할 수도 있습니다.
- 2 단계 인증 사용 : 2 단계 인증을 사용하면 웹 사이트에 로그인 할 때마다 앱에서 생성하거나 SMS를 통해 전송 한 코드와 같은 다른 것을 제공해야합니다. 공격자가 사용자 이름과 비밀번호를 가지고 있어도 해당 코드가 없으면 계정에 로그인 할 수 없습니다.
- 유출 된 비밀번호 알림 받기 : 소유 한 적이 있습니까?와 같은 서비스를 사용하면 자격 증명이 유출 될 때 알림을받을 수 있습니다.
관련 : 비밀번호를 도난 당했는지 확인하는 방법
서비스가 자격 증명 소를 막을 수있는 방법
개인은 자신의 계정 보안에 대한 책임을 져야하지만 온라인 서비스가 자격 증명 공격으로부터 보호하는 방법에는 여러 가지가 있습니다.
- 유출 된 데이터베이스에서 사용자 비밀번호 검색 : Facebook과 Netflix는 유출 된 데이터베이스에서 비밀번호를 검색하여 자체 서비스의 로그인 자격 증명과 상호 참조합니다. 일치하는 경우 Facebook 또는 Netflix는 자신의 사용자에게 비밀번호를 변경하도록 프롬프트 할 수 있습니다. 이것은 자격 증명을 채우는 방법입니다.
- 2 단계 인증 제공 : 사용자는 온라인 계정을 보호하기 위해 2 단계 인증을 사용할 수 있어야합니다. 특히 민감한 서비스는이 의무 사항을 수행 할 수 있습니다. 또한 사용자가 이메일에서 로그인 확인 링크를 클릭하여 로그인 요청을 확인할 수 있습니다.
- 보안 문자 필요 : 로그인 시도가 이상하게 보일 경우 서비스에서 이미지에 표시된 보안 문자 코드를 입력하거나 다른 양식을 클릭하여 봇이 아닌 사람이 로그인을 시도하고 있는지 확인할 수 있습니다.
- 반복 된 로그인 시도 제한: 서비스는 봇이 짧은 시간 내에 많은 로그인 시도를 시도하지 못하도록 차단해야합니다. 최신의 정교한 봇은 자격 증명을 시도하기 위해 여러 IP 주소에서 한 번에 로그인하려고 시도 할 수 있습니다.
암호를 잘못 입력하고 보안이 취약한 온라인 시스템은 보안이 취약하기 때문에 온라인 계정 보안에 심각한 위험을 초래합니다. 기술 업계의 많은 회사들이 암호없이보다 안전한 세상을 만들고자하는 것은 놀라운 일이 아닙니다.
관련 : 기술 산업은 암호를 죽이고 싶어합니다. 아니면?
