image

Akamai: Miljarden inlogpogingen met gestolen wachtwoorden

dinsdag 20 februari 2018, 14:55 door Redactie, 5 reacties

In november en december vorig jaar hebben criminelen miljarden keren geprobeerd om met gestolen wachtwoorden op websites in te loggen, zo laat internetgigant Akamai in een vandaag verschenen rapport weten (pdf). Van de meer dan 17 miljard inlogverzoeken die eind vorig jaar op het platform van Akamai werden gemonitord, werd bijna de helft (43 procent) gebruikt voor het misbruiken van inloggegevens.

De internetgigant baseert dit op ip-adressen die meerdere keren met gelekte inloggegevens op accounts probeerden in te loggen of wachtwoorden probeerden te raden, zonder dat ze verder iets op de website deden. De aanvallen doen zich voornamelijk voor bij webwinkels, gevolgd door websites van hotels en de reisindustrie. "Misbruik van inloggegevens, zowel door brute-force of het gebruik van illegaal verkregen lijsten met gebruikersnamen en wachtwoorden is een probleem dat niet snel zal verdwijnen. Mensen blijven continu wachtwoorden hergebruiken en veel te veel organisaties houden inlogpogingen niet voldoende in de gaten", aldus Akamai.

Image

Reacties (5)
20-02-2018, 15:35 door Anoniem
Captcha's, een strenge VPN / proxy blocking policy en veel javascript maakt het moeilijker om dit te doen. (Voor de webdevs onder ons die dit tegen willen gaan)
20-02-2018, 17:23 door Anoniem
Door Anoniem: Captcha's, een strenge VPN / proxy blocking policy en veel javascript maakt het moeilijker om dit te doen. (Voor de webdevs onder ons die dit tegen willen gaan)

Onzinnige suggestie, Akamai blokkeert al vol privacy oplossingen en toch is er miljarden misbruik.

Conclusie : de oplossingen, als bijvoorbeeld torbrowser, die altijd de schuld krijgen van misbruik, zijn helemaal niet de schuldige.
Dat werkelijk blinde domme blokkeren is dus helemaal niet effectief, behalve dan in het etaleren van totale onkunde en desinteresse in het verzinnen van ter zake doende oplossingen.
20-02-2018, 20:57 door Anoniem
Waarom niet standaard bij elke 3e inlogpoging toegang voor 24 uur blokkeren en een filter waarbij je het land of de provider kiest vanwaar je normaal gesproken kan inloggen.

Zo simpel maar geen enkele webportal ondersteund het.
21-02-2018, 01:02 door beatnix
Captcha's zijn af te raden, tenzij zelf gemaakt, want anders volgen derden bijvoorbeeld uw klanten vaak buiten uw medeweten en hun medeweten, niet alleen zonder u daarvoor te betalen, daarbij vaak de westerse wetgeving te schenden over u rug, dus uw medeplichtig daaraan te maken. dan hebben we het nog niet gehad over hoe 'klantvriendelijk' het mag heten om zulks met uw bezoekers te doen. verder mag het een relatief sterke hulp zijn in het tegengaan van geautomatiseerde login aanvallen.

VPN/ proxy blokkades op een open mesh als het internet is niet alleen relatief ineffectief maar ook dom te noemen, men is nogal wat capaciteit kwijt met real time controle scripts en anders wel met up to date houden van adres lijsten die in ieder geval niet volledig te noemen zijn. bovendien beveiligd men door discriminatie op een open mesh, strikt genomen, waarmee key strategic policy in handen gebruiker ligt en niet aanbieder.

javascript kan erg handig zijn maar hoeft niet, via verschillende technieken zijn ook javascript implementaties te volgen waarvan curl er één is die nogal interessante mogelijkheden hiertoe biedt. bovendien maakt men security meer afhankelijk van client side, wat vaak ook juridisch spelletje is en onprofessionaliteit laat zien aan werkelijke sharkies. dan hebben we het nog niet gehad over de immer nog brakke javascript implementaties waar men de gebruiker nu toe dwingt, vraag is nu of de gebruiker weet hoe dit af te dichten of alleen maar uiterst betrouwbare sites met javascript engine aan te bezoeken, men dwingt dus onder noemer security gebruiker naar relatief meer onveiligheid/vulnerable en gaat ervan uit dat standaard huis tuin en keuken gebruikers dit dan weten (wat niet zo is)

wat momenteel beter blijft werken is twee- of drie traps authenticatie, mits niet met onversleutelde mail (bijv. met pgp) en niet mailen over hetzelfde backbone netwerk waar de server website communicatie over aanbiedt. twee traps kan ook zijn dubbel wachtwoord of e-mail, gebruikersnaam, wachtwoord combinatie, mits juist verwerkt en gecontroleerd op de server met hashing techniek e-mail versleutelen bijv.

ook handig is om ip's en routes bij gebruikers op te slaan en bij alles wat afwijkt van de standaard, inlogpogingen limiteren en notificatie naar gebruiker. meta data als user-agents opslaan wil ook erg sterk zijn, snel ook voor aanvalsdetectie. wel afhankelijk van user-agent, client side, alleen veel veiliger dan javascript, sterker en laat je gebruiker zien dat je beveiliging serieus neemt.

te snel inlogpogingen limiteren leidt tot denial of service vulnerability, zelfde als real time vpn/proxy checks en zelfs vpn/proxy ip checks via lijsten (denk ook aan automatische update van die lijsten).

vaak wordt ook niet hoofdzakelijk beoogd toegang tot een netwerk te verkrijgen, maar via denial of service informatie in te winnen of af te leiden, zoals waarschijnlijk in akamai geval. men denkt bij inlog pogingen altijd 'ze proberen via deze poging binnen te komen, dus brute force inloggen', wat regelmatig een valkuil blijkt tegenwoordig bij de werkelijke professional.
21-02-2018, 20:11 door Anoniem
Akamai: Miljarden inlogpogingen met gestolen wachtwoorden
Akamai beweert dat er miljarden inlogpogingen zijn met gegevens die worden geraden of zijn gelekt. Alleen een deel in je titel verwerken maakt de titel misschien voor je publiek, maar maakt de schrijver niet geloofwaardig of betrouwbaar. En dat op een site over security.

De internetgigant baseert dit op ip-adressen die meerdere keren met gelekte inloggegevens op accounts probeerden in te loggen
Akamai baseert het op ip-adressen maar niet op gelekte inloggegevens. Ze maken een inschatting dat het om gelekte inloggegevens zou kunnen gaan. Ze hebben geen bewijs dat de gebruikte gegevens gelekte gegevens zijn. De inloggegevens vertellen niet waar ze vandaan komen en ook niet of ze gelekt zijn. Het is niet geloofwaardig dat gelekte inloggegevens zo massaal misbruikt zouden worden dat ze een significant deel vormen van die miljaren inlogpogingen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.