"Melkein aika lounaalle" Cameron ajatteli, kun hän napsautti sähköpostiaan. "Asiakirjan tarkistus... asiakirjan tarkistus... tallennus..." Hän piti avustajana olemisesta, mutta toivoi, että hänen yrityksensä palkkaisi lisää ihmisiä auttamaan työmäärän kanssa.
Hän pysähtyi hetkeksi katsomaan Tailwind Toysin sähköpostiviestiä, joka oli saapunut edellisenä päivänä. Ilmeisesti he olivat saaneet jonkinlaisen tietoturvamurron, - mutta he eivät usko hyökkääjien saaneen maksutietoja. "Hienoa", hän ajatteli nauraen" "Nyt he tietävät, mitkä ovat poikani lempilelut."
Vähän myöhemmin hän tapasi ystävänsä Akihiton lounaalla. Tuolin vetäminen Akihito pudotti satunnaisesti avainnipun pöydälle.
"Hei!" Cameron huudahti: "Mistä sait sen mahtavan palapelikuution avainnippuun?"!"
"Se on aika hauskaa", Akihito vastasi. "Se maksoi viisi dollaria Tailwind Toysissa."
"Ooh" Cameron sanoi, yhtäkkiä muistaen sähköpostin, jonka hän oli nähnyt aiemmin. "Kuulitko, että heidät hakkeroitiin ja menetettiin asiakastietoja?"
"Todellako? "Vau."
"Olen varma, että he ovat innoissaan tietäessään, että Ethan pitää sinisistä lohkoista." Cameron vastasi nauraen.
"Eikö heillä ole muuta?"
"Ai niin, tavalliset asiakkaiden nimet, sähköpostiosoitteet, salasanat" -jutut myös. Mutta ilmeisesti ei luottokortteja." Cameron vastasi.
"Hmmm. mutta sähköpostit ja salasanat?" Akihito näytti huolestuneelta.
"Jeah, he saivat todella mahtavan salasanani. He luultavasti käyttävät sitä nyt itselleen! Se on 23 merkkiä pitkä ja näyttää siltä, että se on kirjoitettu klingonilla. Käytän sitä kaikkialla."
"Kaikkialla? Onko sähköpostiosoitteesi ja salasanasi pankkisi tai yhteisöpalvelusi kirjautumisessa?"
"No... Kyllä..." Cameron vastasi: "Mutta ne ovat eri sivustoja."
"Ei sillä ole väliä." Akihito sanoi. "On olemassa eräänlainen hyökkäys nimeltä 'Tunnistetietojen täyttäminen'. Kun roistot saavat käyttäjänimiä ja salasanoja yhdessä sivustossa, he käyvät kaikissa muissa sivustoissa ja kokeilevat näitä käyttäjänimi- ja salasanakoboja nähdäkseen, kuinka moni niistä toimii. Jos käytät samaa salasanaa kaikkialla ja he tietävät, että se liittyy sähköpostiosoitteeseesi, he voivat käyttää tilejäsi missä tahansa järjestelmässä, jossa käytetään samaa käyttäjänimeä ja salasanaa."
Cameron oli huolissaan. "Mielestäni sähköpostiosoitteeni on käyttäjänimeni monessa paikassa, myös töissä. Mitä minun pitäisi tehdä?"
"Onko näiden sivustojen kaksivaiheinen tarkistaminen käytössä?" Akihito kysyi.
"Se tuntuu niin vaikealta, joten en käynnistänyt sitä." Hän myönsi.
"Ai niin. Sitten en tuhlaisi aikaa ja alkaisin vaihtaa niitä salasanoja, alkaen työsalasanastasi. Käytä yksilöllisiä salasanoja kaikkeen, ja sinun pitäisi ottaa kaksivaiheinen tarkistaminen käyttöön kaikkialla, missä voit. Se ei oikeastaan häiritse sinua toiseen vaiheeseen kovin usein, ja on sen arvoista estää roistoja murtautumasta pankkitilillesi tai työhösi."
"Vihaan vain salasanojen muistamista. Tiedän vain, että napsautan jatkuvasti "unohdin salasanan". Hän oli hieman häkeltynyt tulevasta tehtävästä.
"Hanki salasanojen hallinta. He muistavat salasanasi puolestasi ja jopa ehdottavat uusia vahvoja salasanoja." Akihito ehdotti. "Käytän siihen Microsoft Edge -selainta. Se helpottaa elämääni ja jopa synkronoituu kaikkiin laitteisiini." Hän sanoi pitävänsä älypuhelintaan pystyssä.
"Selvä, voisin kai tehdä sen." Hän sanoi.
"Mene tekemään se nyt, minä käyn lounaalla." Hän sanoi kurottavansa kukkaroonsa. "Neiti... Voiko hän saada tilauksensa mukaan?"
"Kiitos kaveri, otan seuraavan." Hän sanoi, menossa kohti tiskiä hakemaan ruokaansa.
Yhteenveto
Salasanojen uudelleenkäyttö on erittäin vaarallista. Rikollisten on ehkä vaikea murtautua pankkisi järjestelmiin, mutta murtautuminen vaatii vain yhden sivuston, jossa on heikko suojaus, ja he voivat saada käyttäjänimesi ja salasanasi. Muutamassa tunnissa he voivat kokeilla tätä käyttäjänimen ja salasanan yhdistelmää sadoissa tai tuhansissa sivustoissa verkossa. On todennäköistä, että ne törmäävät ainakin pariin muuhun sivustoon, joissa kyseinen käyttäjänimi ja salasana toimivat.
Jos sinulla ei ole lisäsuojausta, kuten kaksivaiheista tarkistamista (kutsutaan joskus monimenetelmäiseksi todentamiseksi), ne voivat olla tileilläsi ennen kuin edes tiedät, että ensimmäistä sivustoa on rikottu.
Se on tunnistetietojen täyttämishyökkäys.
Mitä Cameron olisi voinut tehdä paremmin?
Tärkeintä ei ole käyttää salasanaa uudelleen riippumatta siitä, kuinka hyvä salasana se oli.
Hän olisi voinut myös ottaa kaksivaiheisen tarkistamisen käyttöön kaikkialla, missä se oli käytettävissä. Näin, vaikka pahikset saisivat hänen salasanansa, heidän olisi paljon vaikeampi päästä hänen tileilleen.
Mitä Cameron teki oikein?
Kun hän tajusi mahdollisen vaaran, hän meni heti vaihtamaan salasanansa, mahdollisti salasanan hallinnan Microsoft Edgessä ja alkoi käyttää kaksivaiheista tarkistamista.
Lisätietoja on https://support.microsoft.com/security.
Jos nautit tästä...
Jos haluat oppia kyberturvallisuutta tämänkaltaisissa novellissa, kannattaa tutustua myös tietokalastelutarinaan.Se on tarina tilijohtajasta, jolla on tuskallinen kohtaaminen tietojenkalasteluhyökkäyksen kanssa töissä.
