Skip to content
Aiqon Blog
MFA

Ataque de Credential Stuffing

Publicado

Nesse Artigo

O que são ataques de credential stuffing?

Credential stuffing é um método de ataque automatizado usado para encontrar credenciais em aplicações baseadas na web, assim como credenciais de contas de login direto na rede. Para executar esses ataques os atacantes obtém uma lista de nomes de usuário roubados, endereços de e-mail e senhas correspondentes na Dark Web e então eles executam script automatizados para tentar as credencias vazadas em outros sites em uma tentativa de registrá-las e ter acesso não autorizado a um sistema.

Ataques de credential stuffing estão emergindo como uma forma mais efetiva dos atacantes ganharem acesso não autorizado a sistemas e redes do que os ataques tradicionais de força bruta.

Credential stuffing? Um vetor de ataque em evolução

O ato de coletar sistematicamente volumes de credenciais comprometidas da Dark Web foi recente reconhecido como credential stuffing e está ganhando popularidade entre os autores de ameaças que o consideram significativamente mais eficiente do que os métodos de força bruta. O credential stuffing são implementados de duas formas:

  1. Usando pares existentes de usuários e senhas vazados
  2. Usando senhas vazadas e as combinando com uma lista de usuários conhecidos

credential stuffing

Senhas comprometidas: As chaves de acesso aos seus recursos

Não é surpresa que as senhas são consideradas a forma mais comum de autenticar usuários legítimos, são também consideradas o principal alvo para autores de ameaças. Há toda uma economia na Dark Web baseada na troca de credenciais roubadas, considerado o próximo passo natural depois de toda brecha que envolve o comprometimento em massa de credenciais. Recentemente, um vazamento recorde de 13 bilhões de credenciais foi descoberto.

Leia também:  É hora de adicionarmos o MFA a infraestrutura crítica

Complexidades e regras de senha não são o suficiente

Garantir que os funcionários usem senhas fortes são uma das melhores práticas aplicadas tanto pelos profissionais de TI quanto os de segurança. Nas organizações de hoje, existe o hábito de fortalecer senhas com regras de complexidade como uma combinação de caracteres especiais, números e letras. Entretanto, com bilhões de senhas disponíveis para que um atacante comprar e usar, as regras de complexidade de senhas típicas não são o suficiente.

As senhas dos seus funcionários já podem estar comprometidas

Considerando a limitação de criatividade típica de um humano, é provável que algumas das senhas roubadas já sejam usadas por outros humanos, talvez até mesmo seus funcionários. E isso significa que os hackers tem uma boa chance de descobrir que algumas dessas senhas podem ser usadas para acessar os recursos da sua organização.

O Lado bom: As senhas vazadas podem ser usadas pelos profissionais de segurança para prevenir vazamentos

Se os hackers estão usando esses bancos de dados de senhas comprometidos, por que você não a usaria também? Os bancos de dados de senhas comprometidos estão acessíveis não apenas por maliciosos, mas também pelos profissionais de segurança que se esforçarem em acessá-las. Scanear a rede para identificar o uso dessas senhas e pedir aos usuários  para alterá-las para ajudar a prevenir uma brecha. Por isso o site “Have I been pwned” mantém uma página de senhas expostas dizendo que:

Senhas exposta são 572.611.621 senhas reais que foram expostas em brechas de dados. Essa exposição as torna inviáveis para uso já que elas têm um risco maior de serem tomadas. Elas são pesquisáveis no link acima e podem ser baixadas para uso em outros sistemas online. Ataques como o credential stuffing toma vantagem de credenciais reutilizadas automatizando as tentativas de login contra sistemas com pares de e-mail e senhas conhecidos…”

Proteja as credenciais de acesso na sua empresa

Vimos que somente senhas não são suficientes para proteção do acesso as contas da empresa. A AIQON em parceria com a Silverfort entrega uma autenticação adaptativa através de todas as redes da corporação, TI e ambientes na nuvem através de uma plataforma unificada sem a necessidade de agente ou proxies.

Leia também:  Dicas para um melhor gerenciamento de senhas

Analisando a atividade de autenticação através de todos os usuários, dispositivos e ambientes e alavancando um motor de risco impulsionado por IA, o Silverfort possibilita a autenticação adaptativa mais efetiva com base no risco com alto índice de precisão. O Silverfort ajuda as organizações a detectar e mitigar ameaças em tempo real e se proteger de acessos não-autorizados sem atrapalhar a experiência do usuário.

credential stuffing

Por Yoav Iellin, pesquisador e Yiftach Keshet, diretor de produto de Marketing da Silverfort

Artigos recomendados

Comente o que achou do artigo