"Nästan dags för lunch" tänkte Cameron, när hon klickade igenom sitt e-postmeddelande. "Dokumentgranskning... dokumentgranskning... deposition..." Hon gillade att vara paralegal, men önskade att hennes företag skulle anställa några fler personer för att hjälpa till med arbetsbördan.
Hon pausade ett ögonblick för att titta på ett e-postmeddelande från Tailwind Toys som hade anlänt dagen innan. Tydligen hade de haft någon form av säkerhetsbrott men de tror inte att angriparna fick någon betalningsinformation. "Bra", tänkte hon med ett skratt "Nu vet de vad min sons favoritleksaker är."
En stund senare träffade hon sin vän Akihito för lunch. Dra ut sin stol Akihito tappade avslappnat sin nyckelring på bordet.
"Hej!" Cameron utbrast: "Var fick du den där fantastiska pusselkuben på nyckelringen?!"
"Det är ganska roligt", svarade Akihito. "Det var $5 på Tailwind Toys."
"Ooh" sa Cameron och kom plötsligt ihåg e-postmeddelandet hon sett tidigare. "Hörde du att de blev hackade och förlorade en massa kundinformation?"
"Verkligen? Wow."
"Ja, jag är säker på att de är glada att veta att Ethan gillar blå block." Svarade Cameron och skrattade.
"Är det allt de har?"
"Åh, den vanliga 'Kundnamn, e-postadresser, lösenord' saker också. Men tydligen inga kreditkort." Svarade Cameron.
"Hmmm.. men e-postmeddelanden och lösenord?" Akihito såg bekymrad ut.
"Ja, de fick mitt riktigt häftiga lösenord. De är förmodligen alla använder det för sig själva nu! Den är 23 tecken lång och ser ut att vara skriven i Klingon. Jag använder den där saken överallt."
"Överallt? Är din e-postadress och lösenordet till inloggningen för din bank eller dina sociala medier?"
"Ja... ja..." Cameron svarade, "Men det är olika webbplatser."
"Spelar ingen roll." Akihito sa. " Det finns en typ av attack som kallas 'Autentiseringsuppgifter fyllning'. När skurkarna får användarnamn och lösenord på en webbplats går de runt till alla andra webbplatser och provar dessa kombinationer av användarnamn och lösenord för att se hur många av dem som fungerar. Om du använder samma lösenord överallt, och de vet att det hör till din e-postadress, kan de komma in på dina konton på alla system som använder samma användarnamn och lösenord."
Cameron var orolig. "Jag tror att min e-postadress är mitt användarnamn på många platser, även på jobbet. Vad ska jag göra?"
"Har du aktiverat tvåstegsverifiering för de webbplatserna?" Frågade Akihito.
"Det verkar så jobbigt, så jag aktiverade det inte." Hon erkände.
"Åh. Tja, då skulle jag inte slösa någon tid och jag skulle börja ändra dessa lösenord, börjar med ditt arbetslösenord. Använd unika lösenord för allt och du bör aktivera tvåstegsverifiering överallt där du kan. Det är inte riktigt buggar dig för det andra steget så ofta och det är värt det att stoppa skurkar från att bryta sig in på ditt bankkonto eller ditt arbete."
"Jag hatar att behöva komma ihåg alla lösenorden. Jag vet bara att jag hela tiden kommer att klicka på "glömt lösenord". Hon kände sig lite överväldigad av uppgiften framöver.
"Skaffa en lösenordshanterare. De kan komma ihåg dina lösenord åt dig och även föreslå nya starka lösenord." Akihito föreslog. "Jag använder webbläsaren Microsoft Edge för det. Det gör mitt liv så mycket enklare och synkar till och med till alla mina enheter." Han sa, höll upp sin smartphone.
"Okej, jag antar att jag skulle kunna göra det." Hon sa det.
"Du borde göra det nu, jag ska äta lunch." Han sa att han sträckte sig efter plånboken. "Miss... kan hon få sin order att gå?"
"Tack bud, jag får nästa." Hon sa, på väg mot disken för att hämta sin mat.
Sammanfattning
Det är mycket farligt att återanvända lösenord. Brottslingar kan ha svårt att bryta sig in i din banks system, men det krävs bara en webbplats med svag säkerhet för att bryta sig in och de kan få ditt användarnamn och lösenord. Inom några timmar kan de prova kombinationen av användarnamn och lösenord på hundratals eller tusentals webbplatser på webben. Chansen är stor att de kommer att snubbla över minst ett par andra webbplatser där användarnamnet och lösenordet fungerar.
Om du inte har ytterligare skydd, t.ex. tvåstegsverifiering (kallas ibland multifaktorautentisering) aktiverat, kan de finnas på dina konton innan du ens vet att den första webbplatsen har brutits.
Det är vad en autentiseringsfyllningsattack är.
Vad kunde Cameron ha gjort bättre?
Det stora är inte att återanvända hennes lösenord, oavsett hur bra ett lösenord det var.
Hon kunde också ha aktiverat tvåstegsverifiering var den än var tillgänglig. På så sätt även om skurkarna fick hennes lösenord skulle det vara mycket svårare för dem att komma in på hennes konton.
Vad gjorde Cameron rätt?
När hon insåg den potentiella risken gick hon omedelbart och ändrade sina lösenord, aktiverade lösenordshantering i Microsoft Edge och började använda tvåstegsverifiering.
Mer information finns i https://support.microsoft.com/security.
Om du gillade det här...
Om du gillar att lära dig mer om cybersäkerhet i så här korta berättelser kanske du också vill ta en titt på en phish-berättelse.Det är historien om en kontochef som har ett skrämmande möte med en nätfiskeattack på jobbet.