नॉर्टन कॉम्प्युटर सिक्युरिटी सूटसाठी गेले काही महिने फारसे चांगले राहिलेले दिसत नाहीत. आधीच आमच्याकडे होते त्याच्या सुरक्षा सूटमध्ये क्रिप्टोकरन्सी सॉफ्टवेअरच्या दुर्दैवी समावेशाबद्दल माहिती दिली. आता ते नॉर्टन पासवर्ड मॅनेजरवर हल्ला करतात.
पासवर्ड मॅनेजर हे संगणक सुरक्षा साधन आहे कारण, आम्हाला ते लक्षात ठेवण्यापासून प्रतिबंधित करून, ते आम्हाला वेगवेगळ्या सेवांसाठी वेगवेगळे पासवर्ड ठेवण्याची परवानगी देते. त्यांच्यापैकी एकावर हल्ला होणे म्हणजे पोलिस खात्यात घुसण्यासारखे आहे.
नॉर्टनच्या पासवर्ड मॅनेजरवर हल्ला
NortonLifeLock (जे अवास्टमध्ये विलीन झालेले जेन डिजिटल नावाच्या कंपनीचा एक भाग आहे) ने व्हरमाँट जनरल ऑफिसला एक संप्रेषण पाठवले आणि गेल्या महिन्याच्या मध्यभागी, त्याचे वर्णन केले गेले. "आमच्या ग्राहकांच्या खात्यांमध्ये अयशस्वी लॉगिनचे असामान्यपणे उच्च प्रमाण."
कंपनीच्या मते:
आम्ही निर्धारित केले आहे की, 1 डिसेंबर 2022 पासून, एका अनधिकृत तृतीय पक्षाने नॉर्टन ग्राहकांच्या खात्यांमध्ये लॉग इन करण्याचा प्रयत्न करण्यासाठी, डार्क वेब सारख्या दुसर्या स्रोताकडून मिळवलेल्या वापरकर्तानावांची आणि पासवर्डची सूची वापरली होती. आमच्या स्वतःच्या यंत्रणांशी तडजोड केली नाही.
नॉर्टनची मूळ कंपनी जनरल डिजिटलच्या प्रवक्त्याने सांगितल्याप्रमाणे, सर्वात निराशावादी परिस्थिती म्हणजे "क्रेडेन्शियल स्टफिंग अटॅक" म्हणून ओळखल्या जाणार्या युक्तीद्वारे 8000 खात्यांशी तडजोड केली जाईल.. जेन डिजिटलने मास्टर पासवर्ड बदलण्यासाठी आणि अतिरिक्त सुरक्षा उपाय लागू करण्यासाठी अनेक अयशस्वी लॉगिन प्रयत्नांसह खातेधारकांना चेतावणी देऊन 925000 हल्ले रोखल्याचा अभिमान बाळगला आहे.
क्रेडेन्शियल स्टफिंग अटॅक म्हणजे काय?
क्रेडेन्शियल स्टफिंग अटॅकमध्ये एका सेवेचे युजरनेम आणि पासवर्डची दुसर्या सेवेमध्ये चाचणी केली जाते. सायबर गुन्हेगार बेकायदेशीरपणे एका सेवेमधून वापरकर्त्यांची आणि पासवर्डची यादी मिळवतो आणि इतर सेवांवर त्यांची चाचणी घेतो, त्या वापरकर्त्यांच्या आळशीपणावर किंवा स्मरणशक्तीच्या कमतरतेवर पैज लावतो ज्यामुळे ते खाते तयार करत असलेल्या प्रत्येक नवीन ठिकाणी नवीन पासवर्ड तयार करण्यापासून रोखतात. सर्वसाधारणपणे या तपासण्या बॉट्सद्वारे केल्या जातात.
हॉलीवूडने लादलेला विश्वास असूनही, सर्वोत्तम संगणक गुन्हेगार हे तंत्रज्ञान वापरणाऱ्यांपेक्षा मानसशास्त्रज्ञ म्हणून अधिक कुशल असतात. या प्रकारचा हल्ला 85% वापरकर्ते त्यांचे पासवर्ड पुन्हा वापरतात या ज्ञानावर आधारित आहे.
सांख्यिकीय दृष्टीने, परिणामकारकता खूपच कमी आहे, 1 पैकी फक्त 1000 खात्यांचा भंग होऊ शकतो. आता, जर आम्ही वेबवरील लाखो वापरकर्त्यांच्या खात्यांनी याचा गुणाकार केला आणि यापैकी बर्याच खात्यांमध्ये क्रेडिट कार्ड क्रमांक किंवा धोरणात्मक साइटवर प्रवेश क्रेडेन्शियल्स यांसारखा संवेदनशील डेटा असेल, तर नुकसान अगणित असू शकते.
क्रेडेन्शियल स्टफिंग हल्ल्यापासून स्वतःचे संरक्षण कसे करावे
पारंपारिक सुरक्षा उपाय जसे की आयपी अवरोधित करणे जे अनेक प्रयत्न अयशस्वी करतात किंवा प्रवेशास विलंब करतात. बॉट्स वेगवेगळ्या डिव्हाइसेस आणि वेगवेगळ्या ठिकाणांवरील उत्पन्नाचे अनुकरण करतात.
हा हल्ला रोखण्याचे काही मार्ग आहेत:
- द्वि-चरण प्रमाणीकरण: यामध्ये एक डिव्हाइस किंवा अॅप-प्रदान केलेला कोड वापरणे समाविष्ट आहे जे प्रमाणित करते की वैध वापरकर्ता लॉग इन करण्याचा प्रयत्न करत आहे. पहिल्या प्रकरणात, वापरकर्त्याला त्यांच्या ओळखीची पुष्टी करण्यासाठी मजकूर संदेश किंवा ईमेलद्वारे सूचना पाठविली जाते. दुसऱ्यामध्ये, अनुप्रयोग एक कोड व्युत्पन्न करतो (यादृच्छिक घटकांवर आधारित) जो तुम्हाला ज्या सेवेमध्ये प्रवेश करायचा आहे त्या सेवेच्या लॉगिन फॉर्ममध्ये टाइप करणे आवश्यक आहे.
- फायरफॉक्स मॉनिटर: Es एक वेब Mozilla Foundation कडून जो ईमेल पत्ता ऑनलाइन डेटा उल्लंघनाचा भाग असल्यास चेतावणी देतो. या लेखाच्या शीर्षस्थानी असलेला स्क्रीनशॉट मला माझा प्राथमिक ईमेल पत्ता प्रविष्ट करण्यापासून मिळालेला आहे.
- पासवर्ड व्यवस्थापक: या प्रकारच्या हल्ल्यासाठी हे मूलभूत संरक्षण साधन आहे कारण ते लक्षात न ठेवता प्रत्येक सेवेसाठी नवीन नियुक्त करण्याची परवानगी देते. हे ब्राउझर विस्तार म्हणून, तुमच्या वितरणाच्या भांडारांमध्ये किंवा तुमच्या मोबाइल डिव्हाइसच्या अॅप स्टोअरमध्ये आढळू शकते. अर्थात, तुम्ही आधी वापरला नसलेल्या मास्टर पासवर्डने त्याचे संरक्षण करा