"Næsten tid til frokost" Cameron tænkte, da hun klikkede gennem sin e-mail. "Dokumentgennemsyn... dokumentgennemsyn... aflejring..." Hun kunne godt lide at være en advokatfuldmægtig, men ønskede, at hendes firma ville ansætte nogle flere mennesker til at hjælpe med arbejdsbyrden.
Hun standsede et øjeblik for at se på en mail fra Tailwind Toys, der var ankommet dagen før. Tilsyneladende havde de haft en form for sikkerhedsbrud, men de tror ikke, at angriberne fik nogen betalingsoplysninger. "Godt," tænkte hun med en klukle "Nu ved de, hvad min søns yndlingslegetøj er."
Lidt senere mødte hun sin ven Akihito til frokost. At trække sin stol Akihito henkastet faldt hans nøglering på bordet.
"Hej!" Cameron udbrød: "Hvor fik du den fantastiske puslespilskube på din nøglering?!"
"Det er ret sjovt," svarede Akihito. "Det var $ 5 på Tailwind Toys."
"Ooh" Cameron sagde, pludselig huske den e-mail, hun havde set tidligere. "Hørte du, at de blev hacket og mistede en masse kundeoplysninger?"
"Virkelig? Wow."
"Ja, jeg er sikker på, de er glade for at vide, at Ethan kan lide blå blokke." Cameron svarede, griner.
"Er det alt, hvad de har?"
"Åh, de sædvanlige 'Kundenavne, mailadresser, adgangskoder' ting også. Men tilsyneladende ingen kreditkort." Cameron svarede.
"Hmmm.. men mails og adgangskoder?" Akihito så bekymret ud.
"Ja, de har min virkelig fantastiske adgangskode. De bruger det sikkert alle for sig selv nu! Det er 23 tegn lang og ser ud som om det blev skrevet i Klingon. Jeg bruger den overalt."
"Overalt? Er din mailadresse og denne adgangskode logon for din bank eller dine sociale medier?"
"Jamen... Ja..." Cameron svarede: "Men det er forskellige steder."
"Det er lige meget." Akihito sagde. "Der er en slags angreb kaldet 'Credential stuffing'. Når skurkene får brugernavne og adgangskoder på et websted, går de rundt til alle de andre websteder og prøver disse brugernavn og adgangskodekombinationer for at se, hvor mange af dem der fungerer. Hvis du bruger den samme adgangskode overalt, og de ved, at den følger med din mailadresse, kan de få adgang til dine konti på et hvilket som helst system, der bruger samme brugernavn og adgangskode."
Cameron var bekymret. "Jeg tror, at min mailadresse er mit brugernavn mange steder, også på arbejdet. Hvad skal jeg gøre?"
"Har du totrinsbekræftelse slået til for disse websteder?" Akihito spurgte.
"Det virker som sådan et besvær, så jeg tændte det ikke." Hun indrømmede.
"Åh, åh. Nå, så ville jeg ikke spilde tid, og jeg vil begynde at ændre disse adgangskoder, startende med dit arbejde adgangskode. Brug entydige adgangskoder til alt, og du bør virkelig aktivere totrinsbekræftelse overalt, hvor du kan. Det er ikke rigtig bug dig til andet skridt meget ofte, og det er det værd at stoppe skurke fra at bryde ind i din bankkonto eller dit arbejde.
"Jeg hader bare at skulle huske alle de adgangskoder. Jeg ved bare, at jeg hele tiden klikker på "Glemt adgangskode". Hun følte sig lidt overvældet over opgaven forude.
"Få en adgangskodeadministrator. De kan huske dine adgangskoder for dig og endda foreslå nye stærke adgangskoder." Akihito foreslog. "Det bruger jeg Microsoft Edge-browseren til. Det gør mit liv så meget nemmere og synkroniserer endda med alle mine enheder." Han sagde, at holde sin smartphone op.
"Ok, jeg tror jeg kunne gøre det." Det sagde hun.
"Du skal gøre det nu, jeg får frokost." Han sagde, rækker ud efter sin tegnebog. "Frøken... kan hun få sin ordre til at gå?"
"Tak bud, jeg får den næste." Hun sagde, på vej mod tælleren for at samle hendes mad.
Sammendrag
Det er ekstremt farligt at genbruge adgangskoder. Kriminelle kan have svært ved at bryde ind i din banks systemer, men det tager bare et websted med svag sikkerhed for at få brudt ind, og de kunne få dit brugernavn og adgangskode. Inden for få timer kunne de prøve denne kombination af brugernavn og adgangskode på hundredvis eller tusindvis af websteder på tværs af internettet. Det er sandsynligt, at de falder over mindst et par andre websteder, hvor det brugernavn og den adgangskode fungerer.
Hvis du ikke har aktiveret yderligere beskyttelse, f.eks. totrinsbekræftelse (nogle gange kendt som multifaktorgodkendelse), kan de være på dine konti, før du ved, at det første websted er blevet overtrådt.
Det er, hvad en legitimationsoplysninger fyld angreb er.
Hvad kunne Cameron have gjort bedre?
Det store er ikke at genbruge hendes adgangskode, uanset hvor stor en adgangskode det var.
Hun kunne også have aktiveret totrinsbekræftelse, uanset hvor den var tilgængelig. På den måde ville det være meget sværere for dem at få adgang til hendes konti, selvom de slemme fyre fik hendes adgangskode.
Hvad gjorde Cameron rigtigt?
Når hun indså den potentielle fare, gik hun straks og ændrede sine adgangskoder, aktiverede administration af adgangskoder i Microsoft Edge og begyndte at bruge totrinsbekræftelse.
Du kan få mere at vide ved at besøge https://support.microsoft.com/security.
Hvis du nød dette...
Hvis du kan lide at lære om cybersikkerhed i korte historier som denne, kan du også tjekke en phish-historie.Det er historien om en kontoleder, der har et rystende møde med et phishingangreb på arbejdet.