Útok na hesla pomocí „brute force“ (hrubou silou) spočívá ve využití automatizace pokusů o přihlášení do nějakého systému – heslo je zkrátka překonáno díky jeho nalezení postupným zkoušením zásadního množství kombinací. U číselných hesel (například PINu do telefonu) tedy stačí zkoušet postupně všechny kombinace, u znakových či složitějších hesel se pak zpravidla využívalo také zkoušení kombinací nebo různých druhů slovníků.
Nevýhodou brute force je však časová náročnost a také to, že proti postupnému zkoušení tisíců a tisíců kombinací se systémy dokážou poměrně účinně bránit – při dalším a dalším chybném pokusu zpomalí možnost zkoušet další kombinaci, případně kompletně zablokují systém, z něhož pokusy přicházejí.
Credential stuffing využívá toho, že jsou k dispozici databáze uniklých přihlašovacích údajů – kompletní kombinace uživatelských jmen, e-mailů a hesel. Útočníci pak využijí takovéto databáze a s pomocí automatizace zkoušejí uniklé kombinace. Zvyšuje se tím šance na úspěch, a navíc je běžné, že touto cestou zkoušejí získat přístup k řadě webů či aplikací.
Pokud se jim podaří přístup získat, následují krádeže identity, phishing, podvody založené na vydávání se za různé subjekty a další druhy zneužití dat. V mnoha případech je možné získané přístupy využít i třeba pro nákupy na internetu, ale třeba i pro průmyslovou špionáž.
Tento druh útoků bývá (oproti brute force) úspěšný hlavně proto, že uživatelé běžně používají opakovaně stejné heslo. Stačí, aby uniklo jednou, a útočníci se pak dostanou do všech dalších účtů, které uživatel má.
Rozsáhlé databáze přihlašovacích údajů jsou běžně dostupné na černém trhu a mohou být i výsledkem cílených hackovacích kampaní na objednávku. Už v roce 2020 například Akamai upozorňovali, že dochází k růstu credential stuffing útoku proti médiím a novinářům.
Jak se proti credential stuffingu bránit?
Nejlepší obranou je přechod na používání multifaktorových a bezheslových autentizačních procesů – u těch je přihlášení do systémů podmíněno ověřením přes jiný faktor než pouze přes heslo: minimálně přes zaslání dodatečného jednorázového kódu na email nebo pomocí SMS, ale ideálně přes nějaký druh bezpečnostního klíče, pomocí biometrie či mobilního autentizátoru.
V samotných systémech je navíc vhodné monitorovat podezřelé chování uživatelů a náhlé změny (anomálie) vzorců obvyklých činností v kombinaci se zabezpečením webových aplikací pomocí tzv. pokročilých web-aplikačních firewallů (WAF), které poměrně s vysokou přesností dokážou odhalit např. právě útoky typu redential stuffing.
Samotní uživatelé navíc mohou úniky jimi používaných hesel hlídat například za pomoci služby HaveIBeenPwned.com. V případě zjištěného úniku nějakého hesla je nutné toto heslo okamžitě jednou provždy přestat používat.
Ve firemním prostředí je dále na místě školit zaměstnance a vysvětlovat, jak s hesly nakládat a jak vytvářet hesla bezpečná, a zároveň tyto uživatele pravidelně testovat v odolnosti potenciálního předání přístupových údajů, například za pomoci řízených phishingových kampaní.
Pro zodpovědné společnosti navíc platí, že by měly hlídat případné úniky hesel na dark webech, pomocí systematických služeb typu Cyber Threat Intelligence (doporučuje se vyhledávat jednak uniklá hesla k firemním účtům, ale i uniklá hesla k soukromým účtům například top managementu či jiných privilegovaných zaměstnanců).
Zneužívání firemních hesel lze bránit také pomocí technologií, které detekují a blokují použití stejných (firemních) hesel v soukromých systémech (např., aby zaměstnanec nemohl použít některé z firemních hesel při přístupu na soukromý Facebook či soukromý email).
Pokud není možné přejít na bezheslové přihlašování, tak by uživatelé měli v maximální míře využívat tzv. dvoufaktorovou (2FA) nebo multifaktorovou (MFA) autentizaci. Ta se týká jak osobních účtů, tak těch firemních. U všech privilegovaných účtů (např. účty administrátorů, účty aplikací apod.) by navíc měly být využívány výrazně přísnější pravidla, např. pravidelná změna hesel, využívání heslových trezorů a ideálně kompletní systémy PAM (Privileged Account Management).
Autor: Petr Mojžíš, konzultant kybernetické bezpečnosti společnosti Anect