"Prawie czas na lunch" Cameron myśli, jak kliknęła przez jej e-mail. "Recenzja dokumentu... Recenzja dokumentu... deponowania..." Lubiła być paralegalna, ale chciała, aby jej firma zatrudniła jeszcze kilka osób, aby pomóc w obciążeniu pracą.
Zatrzymała się na chwilę, aby spojrzeć na e-mail z Tailwind Toys, który przybył dzień wcześniej. Najwyraźniej mieli jakieś naruszenie bezpieczeństwa, ale nie sądzę, aby napastnicy dostali jakiekolwiek informacje płatnicze. "Świetnie", pomyślała z chichotem "Teraz wiedzą, jakie są ulubione zabawki mojego syna."
Chwilę później poznała swoją przyjaciółkę Akihito na lunch. Wyciągając krzesło Akihito przypadkowo spadł pęk kluczy na stole.
"Hej!" Cameron zawołał: "Gdzie masz tę niesamowitą kostkę układanki na pęku kluczy?!"
"To jest całkiem zabawne," Akihito odpowiedział. "To było 5 dolarów w Tailwind Toys."
"Ooh" Cameron powiedział, nagle pamiętając e-mail widziała wcześniej. "Czy słyszałeś, że włamali się i stracili kilka informacji o klientach?"
"Naprawdę? Wow".
"Yeah, jestem pewien, że są podekscytowani, aby wiedzieć, że Ethan lubi niebieskie bloki." Cameron odpowiedział, śmiejąc się.
"Czy to wszystko, co dostali?"
"Och, zwykle "Nazwy klientów, adresy e-mail, hasła" rzeczy też. Ale najwyraźniej nie ma kart kredytowych." Cameron odpowiedział.
"Hmmm.. ale wiadomości e-mail i hasła?" Akihito wyglądał na zaniepokojonego.
"Yeah, dostali moje naprawdę niesamowite hasło. Prawdopodobnie wszyscy używają go teraz dla siebie! Ma 23 znaki i wygląda na to, że został napisany w Klingon. Używam tego wszędzie".
"Wszędzie? Czy Twój adres e-mail i hasło to logowanie do banku lub mediów społecznościowych?"
"No cóż... tak..." Cameron odpowiedział: "Ale to są różne strony."
"Nie ma znaczenia". Akihito powiedział. "Istnieje rodzaj ataku o nazwie "Farsz poświadczeń". Gdy oszuści otrzymują nazwy użytkowników i hasła w jednej witrynie, odwiedzają wszystkie pozostałe witryny i próbują użyć tych kombinacji nazw użytkowników i haseł, aby sprawdzić, ile z nich działa. Jeśli wszędzie używasz tego samego hasła i wiedzą, że jest ono używane wraz z Twoim adresem e-mail, mogą oni uzyskać dostęp do Twoich kont w dowolnym systemie, w którym jest używana ta sama nazwa użytkownika i hasło".
Teraz Cameron się martwił. "Myślę, że mój adres e-mail jest moją nazwą użytkownika w wielu miejscach, w tym w pracy. Co mam zrobić?"
"Czy dla tych witryn jest włączona weryfikacja dwuetapowa?" - zapytał Akihito.
"Wydaje się, że taki kłopot, więc nie włączyć." Przyznała.
"Och. Cóż, wtedy nie traciłbym czasu i zacząłem zmieniać te hasła, zaczynając od hasła służbowego. Używaj unikatowych haseł do wszystkich elementów i wszędzie, gdzie możesz, włącz weryfikację dwuetapową. To naprawdę nie błąd dla drugiego kroku bardzo często i warto powstrzymać oszustów przed włamaniem się na konto bankowe lub pracy."
"Ugh, po prostu nienawidzę konieczności pamiętania wszystkich tych haseł. Wiem tylko, że będę ciągle klikać "nie pamiętam hasła". Czuła się trochę przytłoczona nadchodzącym zadaniem.
"Uzyskaj menedżera haseł. Mogą zapamiętyć Twoje hasła, a nawet sugerować nowe silne hasła". Akihito zasugerował. "W tym celu używam przeglądarki Microsoft Edge. To znacznie ułatwia mi życie, a nawet synchronizuje się ze wszystkimi moimi urządzeniami". Powiedział, trzymając smartfon.
"Ok, myślę, że mogę to zrobić." Powiedziała.
"Powinieneś iść zrobić to teraz, dostanę obiad." Powiedział, sięgając po portfel. "Miss... czy może ona mieć swój rozkaz, aby przejść?"
"Dzięki pączek, dostanę następny." Powiedziała, kierując się w kierunku licznika, aby zebrać jej jedzenie.
Podsumowanie
Ponowne używanie haseł jest bardzo niebezpieczne. Przestępcy mogą mieć trudności z włamaniem się do systemów Twojego banku, ale wystarczy jedna witryna ze słabymi zabezpieczeniami, na którą mogą uzyskać Twoją nazwę użytkownika i hasło. W ciągu kilku godzin mogą wypróbować tę kombinację nazwy użytkownika i hasła w setkach lub tysiącach witryn w sieci Web. Prawdopodobnie natkną się na co najmniej kilka innych witryn, w których działa ta nazwa użytkownika i hasło.
Jeśli nie masz dodatkowej ochrony, takiej jak weryfikacja dwuetapowa (czasami nazywana uwierzytelnianiem wieloskładnikowym), mogą one znajdować się na Twoich kontach, zanim będziesz wiedzieć, że pierwsza witryna została naruszona.
To właśnie jest atak farszu poświadczeń.
Co Cameron mógł zrobić lepiej?
Najważniejsze jest to, że nie używa ponownie swojego hasła, bez względu na to, jak wspaniałe było hasło.
Mogła również włączyć weryfikację dwuetapową, gdziekolwiek była dostępna. W ten sposób, nawet jeśli źli nie dostać jej hasło byłoby o wiele trudniejsze dla nich, aby dostać się do jej kont.
Co Cameron zrobił dobrze?
Gdy zdała sobie sprawę z potencjalnego niebezpieczeństwa, natychmiast poszła i zmieniła swoje hasła, włączyła zarządzanie hasłami w programie Microsoft Edge i zaczęła używać weryfikacji dwuetapowej.
Aby dowiedzieć się więcej, odwiedź https://support.microsoft.com/security.
Jeśli ci się to podobało...
Jeśli lubisz uczyć się o cyberbezpieczeństwie w takich opowiadaniach, możesz również zapoznać się z historią wyłudzania informacji.To historia kierownictwa konta, który ma wstrząsające spotkanie z atakiem wyłudzania informacji w pracy.