"Nesten tid til lunsj" Cameron tenkte, da hun klikket gjennom e-posten sin. "Dokumentgjennomgang... dokumentgjennomgang... deponering ... Hun likte å være advokat, men ønsket at firmaet hennes ville ansette noen flere personer til å hjelpe til med arbeidsmengden.
Hun tok en pause for å se på en e-post fra Tailwind Toys som hadde kommet dagen før. Tilsynelatende hadde de hatt et slags sikkerhetsbrudd, men de tror ikke angriperne fikk noen betalingsinformasjon. "Flott," tenkte hun med en latter "Nå vet de hva min sønns favorittleker er."
En liten stund senere møtte hun sin venn Akihito til lunsj. Å trekke ut stolen Akihito mistet tilfeldigvis nøkkelringen på bordet.
"Hei!" Cameron utbrøt: "Hvor fikk du den fantastiske puslespillkuben på nøkkelringen din?!"
"Det er ganske morsomt," svarte Akihito. "Det var 5 dollar på Tailwind Toys."
"Ooh" Cameron sa, plutselig husker e-posten hun hadde sett tidligere. «Hørte du at de ble hacket og mistet en haug med kundeinformasjon?»
"Virkelig? Jøss.»
"Ja, jeg er sikker på at de er glade for å vite at Ethan liker blå blokker." Cameron svarte og lo.
"Er det alt de har?"
"Å, de vanlige "Kundenavn, e-postadresser, passord" ting også. Men tilsynelatende ingen kredittkort." Cameron svarte.
"Hmmm.. men e-postmeldinger og passord?» Akihito så bekymret ut.
"Ja, de har mitt fantastiske passord. De bruker det sannsynligvis for seg selv nå! Den er 23 tegn lang og ser ut som den ble skrevet i Klingon. Jeg bruker den overalt.»
"Overalt? Er e-postadressen din og passordet påloggingen for banken eller sosiale medier?»
"Vel... Ja... Cameron svarte: "Men det er forskjellige nettsteder."
"Spiller ingen rolle." Akihito sa. "Det er en slags angrep kalt "Legitimasjon stuffing". Når skurkene får brukernavn og passord på ett nettsted, går de rundt til alle de andre nettstedene og prøver disse brukernavn- og passordkombinasjonene for å se hvor mange av dem som fungerer. Hvis du bruker det samme passordet overalt, og de vet at det følger med e-postadressen din, kan de komme inn på kontoene dine på alle systemer som bruker samme brukernavn og passord.»
Nå var Cameron bekymret. «Jeg tror e-postadressen min er brukernavnet mitt mange steder, inkludert på jobben. Hva bør jeg gjøre?»
«Har du aktivert totrinnskontroll for disse nettstedene?» Akihito spurte.
"Det virker som et problem, så jeg slo det ikke på." Hun innrømmet.
"Åh. Vel, da ville jeg ikke kaste bort noe tid, og jeg ville begynne å endre disse passordene, starter med arbeidspassordet ditt. Bruk unike passord for alt, og du bør virkelig aktivere totrinnskontroll overalt hvor du kan. Det tar deg egentlig ikke feil for det andre trinnet veldig ofte, og det er verdt det å stoppe skurker fra å bryte seg inn på bankkontoen eller arbeidet ditt."
"Jeg hater bare å måtte huske alle de passordene. Jeg vet bare at jeg stadig klikker på «glemt passord». Hun følte seg litt overveldet av oppgaven fremover.
"Få en passordbehandling. De kan huske passordene dine for deg og til og med foreslå nye, sterke passord.» Akihito foreslo. «Jeg bruker Microsoft Edge-nettleseren for dette. Det gjør livet mitt så mye enklere, og synkroniserer til og med til alle enhetene mine.» Han sa, holder opp smarttelefonen.
"Ok, jeg kan vel gjøre det." Hun sa.
"Du bør gjøre det nå, jeg skal spise lunsj." Han sa, og strakte seg etter lommeboken. "Frøken... kan hun få bestillingen sin på farten?"
"Takk bud, jeg skal få den neste." Hun sa, på vei mot disken for å samle maten sin.
Oppsummering
Gjenbruk av passord er ekstremt farlig. Kriminelle kan ha vanskelig for å bryte seg inn i bankens systemer, men det tar bare ett nettsted med svak sikkerhet å bli brutt inn i, og de kan få brukernavnet og passordet ditt. I løpet av få timer kan de prøve denne kombinasjonen av brukernavn og passord på hundrevis, eller tusenvis, av nettsteder på nettet. Sjansen er stor for at de snubler over minst et par andre nettsteder der brukernavnet og passordet fungerer.
Hvis du ikke har ekstra beskyttelse, for eksempel totrinnskontroll (noen ganger kalt godkjenning med flere faktorer) aktivert, kan de være i kontoene dine før du selv vet at det første nettstedet ble brutt.
Det er hva en legitimasjon stuffing angrep er.
Hva kunne Cameron ha gjort bedre?
Det store er ikke å gjenbruke passordet hennes, uansett hvor flott et passord det var.
Hun kunne også ha slått på totrinnskontroll uansett hvor den var tilgjengelig. På den måten, selv om skurkene fikk passordet hennes, ville det være mye vanskeligere for dem å komme inn på kontoene hennes.
Hva gjorde Cameron riktig?
Når hun innså den potensielle faren , gikk hun umiddelbart og endret passordene sine, aktiverte passordbehandling i Microsoft Edge og begynte å bruke totrinnskontroll.
Hvis du vil ha mer informasjon, kan du gå til https://support.microsoft.com/security.
Hvis du likte dette ...
Hvis du liker å lære om cybersikkerhet i noveller som dette, vil du kanskje også sjekke ut en phish-historie.Det er historien om en kontoleder som har et opprivende møte med et phishing-angrep på jobben.
