O que é enchimento de credenciais? (e como se proteger)

Um total de 500 milhões de contas do Zoom estão à venda na dark web graças ao “enchimento de credenciais”. É uma forma comum de criminosos invadirem contas online. Veja o que esse termo realmente significa e como você pode se proteger.

Ele começa com bancos de dados de senha vazados

Ataques contra serviços online são comuns. Os criminosos costumam explorar falhas de segurança em sistemas para adquirir bancos de dados de nomes de usuário e senhas. Bancos de dados de credenciais de login roubados são frequentemente vendidos online na dark web , com criminosos pagando em Bitcoin pelo privilégio de acessar o banco de dados.

Digamos que você tenha uma conta no fórum do Avast, que foi violada em 2014 . Essa conta foi violada e os criminosos podem ter seu nome de usuário e senha no fórum do Avast. Avast entrou em contato com você e pediu que você alterasse sua senha do fórum, então qual é o problema?

Infelizmente, o problema é que muitas pessoas reutilizam as mesmas senhas em sites diferentes. Digamos que seus detalhes de login do fórum do Avast fossem “you@example.com” e “AmazingPassword”. Se você se logou em outros sites com o mesmo nome de usuário (seu endereço de e-mail) e senha, qualquer criminoso que adquirir suas senhas vazadas poderá obter acesso a essas outras contas.

RELACIONADOS: O que é Dark Web?

Enchimento de credenciais em ação

O “enchimento de credenciais” envolve o uso desses bancos de dados de detalhes de login vazados e a tentativa de login com eles em outros serviços online.

Os criminosos pegam grandes bancos de dados de combinações vazadas de nome de usuário e senha – geralmente milhões de credenciais de login – e tentam entrar com eles em outros sites. Algumas pessoas reutilizam a mesma senha em vários sites, portanto, algumas corresponderão. Isso geralmente pode ser automatizado com software, tentando rapidamente várias combinações de login.

Para algo tão perigoso que parece tão técnico, isso é tudo – tentar credenciais já vazadas em outros serviços e ver o que funciona. Em outras palavras, os “hackers” enfiam todas essas credenciais de login no formulário de login e vê o que acontece. Alguns deles certamente funcionarão.

Essa é uma das formas mais comuns que os invasores usam para “hackear” contas online atualmente. Somente em 2018, a rede de distribuição de conteúdo Akamai registrou quase 30 bilhões de ataques de preenchimento de credenciais.

Como se Proteger

Proteger-se contra o enchimento de credenciais é muito simples e envolve seguir as mesmas práticas de segurança de senha que os especialistas em segurança vêm recomendando há anos. Não há solução mágica – apenas uma boa higiene de senha. Aqui está o conselho:

• Evite reutilizar senhas: Use uma senha exclusiva para cada conta que você usa online. Dessa forma, mesmo que sua senha vaze, ela não poderá ser usada para fazer login em outros sites. Os invasores podem tentar colocar suas credenciais em outros formulários de login, mas não funcionam.
• Use um gerenciador de senhas: lembrar senhas únicas e fortes é uma tarefa quase impossível se você tiver contas em alguns sites, e quase todo mundo tem. Recomendamos o uso de um gerenciador de senhas como 1Password  (pago) ou Bitwarden  (gratuito e de código aberto) para lembrar suas senhas para você. Ele pode até mesmo gerar essas senhas fortes do zero.
• Habilite a autenticação de dois fatores: com a autenticação de duas etapas , você precisa fornecer algo mais – como um código gerado por um aplicativo ou enviado a você via SMS – cada vez que fizer login em um site. Mesmo que um invasor tenha seu nome de usuário e senha, ele não poderá fazer login em sua conta se não tiver esse código.
• Receba notificações de vazamento de senha: Com um serviço como Have I Been Pwned? , você pode receber uma notificação quando suas credenciais aparecerem em um vazamento .

Como os serviços podem proteger contra o enchimento de credenciais

Embora os indivíduos precisem assumir a responsabilidade pela proteção de suas contas, há muitas maneiras de os serviços online se protegerem contra ataques de preenchimento de credenciais.

• Verificar bancos de dados vazados em busca de senhas de usuários: o Facebook e a Netflix verificaram os bancos de dados vazados em busca de senhas, fazendo referência cruzada com as credenciais de login em seus próprios serviços. Se houver uma correspondência, o Facebook ou Netflix pode solicitar que seu próprio usuário altere sua senha. Essa é uma maneira de vencer os empecilhos de credenciais.
• Oferecer autenticação de dois fatores: os usuários devem ser capazes de habilitar a autenticação de dois fatores para proteger suas contas online. Serviços particularmente sensíveis podem tornar isso obrigatório. Eles também podem fazer com que um usuário clique em um link de verificação de login em um e-mail para confirmar a solicitação de login.
• Exigir um CAPTCHA: se uma tentativa de login parecer estranha, um serviço pode exigir a inserção de um código CAPTCHA exibido em uma imagem ou clicar em outro formulário para verificar se uma pessoa – e não um bot – está tentando fazer login.
• Limite de tentativas de login repetidas : os serviços devem tentar impedir que os bots façam um grande número de tentativas de login em um curto período de tempo. Os bots sofisticados e modernos podem tentar entrar de vários endereços IP ao mesmo tempo para disfarçar suas tentativas de preenchimento de credenciais.

Práticas inadequadas de senha – e, para ser justo, sistemas online mal protegidos que geralmente são muito fáceis de comprometer – tornam o empilhamento de credenciais um sério perigo para a segurança da conta online. Não é de admirar que muitas empresas do setor de tecnologia queiram construir um mundo mais seguro sem senhas .