Cos'è il credential stuffing?
Un attacco di credential stuffing avviene quando un criminale informatico utilizza una serie di credenziali rubate per tentare di accedere a più account contemporaneamente. Il credential stuffing è efficace perché quasi due terzi degli Internauti riutilizza le proprie password. I criminali informatici inseriscono le credenziali rubate in migliaia di siti web nell'arco di pochi minuti o di diverse ore, compromettendo tutto, dagli account dei social media al software aziendale proprietario e molto altro.
Credential stuffing VS. password spray
Il password spray prende un nome utente verificato e lo inserisce in vari account in combinazione con tante password diverse ma gettonate. Se un utente non mette in pratica buone abitudini di utilizzo delle password, la maggior parte, se non tutti i suoi account possono essere messi a rischio se viene indovinata la password (o le password) che usa più di frequente.
Un attacco di credential stuffing si basa sul riutilizzo delle password. Poiché molte persone riutilizzano le proprie password con più account, basta un solo set di credenziali per rendere violabile la maggior parte se non tutti gli account. I criminali informatici utilizzano strumenti come i botnet per eseguire attacchi multi-front su più dispositivi, ampliando le loro capacità di attacco con un solo set di credenziali.
Quando un malintenzionato riesce a portare a termine un attacco di credential stuffing, può potenzialmente prendere il controllo delle informazioni bancarie, degli account dei social media e altro ancora. Ciò può portare a un vero e proprio furto di denaro o di altri beni, a estorsioni o al furto d'identità.
Come individuare un attacco di credential stuffing
Individuare tempestivamente un attacco di credential stuffing può darvi il tempo di reagire e proteggere i vostri account.
Per utenti privati
Il rilevamento di un attacco di credential stuffing può essere semplice come richiedere la verifica con l'autenticazione multifattoriale (AMF) per ogni account. L'AMF è una misura di sicurezza aggiuntiva che potete attivare sulla maggior parte dei vostri account online. Invece di dover accedere a un account solo con un nome utente e una password, dovrete fornire uno o più fattori di autenticazione aggiuntivi.
Se una persona non autorizzata tenta di accedere al vostro account con l'AMF abilitata e ricevete dei codici via e-mail o via SMS, questi codici fungono essenzialmente da avvertimento che potrebbe esserci un tentativo di violazione dei vostri account.
Per utenti aziendali e professionisti
Rivelatori di anomalie di traffico con bot.
Questi strumenti individuano le anomalie presenti nel traffico web in entrata e vi avvisano di eventuali bot. Il furto di credenziali si basa su bot autonomi che riescono rapidamente a inserire le credenziali, quindi se si riesce a individuarli si può contrastarli per tempo.
Uso dell'impronta digitale su dispositivi e browser.
Le credenziali biometriche consentono un accesso forte e univoco. La combinazione di una password con una credenziale biometrica può rendere un account molto più forte.
Come prevenire il credential stuffing
Evitare il credential stuffing come utente singolo
Per evitare un attacco di credential stuffing, iniziate a proteggere ogni vostro account online con password complesse e univoche. Le password devono contenere almeno 16 caratteri e una combinazione di lettere maiuscole e minuscole con un mix di simboli e numeri. Per aiutarvi a creare password complesse, utilizzate un generatore di password. I generatori di password sono strumenti online gratuiti che generano casualmente una stringa di caratteri da utilizzare come password.
Le password generate non sono facili da ricordare, per cui è meglio memorizzarle in un gestore di password. Un gestore di password vi aiuta a memorizzare e gestire tutte le vostre password e a ricordare solo una password principale complessa per accedere al resto delle credenziali.
Come ulteriore misura di sicurezza, attivate l'AMF ogni volta che vi è possibile. L'AMF aiuta a proteggere i vostri account online dalla compromissione da parte di utenti non autorizzati. L'abilitazione dell'AMF riduce il rischio di essere vittima di un attacco di credential stuffing, perché anche se un malintenzionato riuscisse a mettere le mani sul vostro nome utente e sulla vostra password, non sarebbe in grado di entrare senza il modulo di autenticazione aggiuntivo che avete solo voi.
Evitare il credential stuffing come azienda
Per evitare che il credential stuffing si verifichi nella vostra organizzazione, iniziate a proteggere gli account dei vostri dipendenti con password complesse e a imporre l'uso dell'AMF. Il modo migliore per assicurarsi che i dipendenti seguano le migliori pratiche in materia di password è implementare un gestore di password aziendali.
I gestori di password aziendali offrono agli amministratori IT una visibilità completa sulle pratiche dei dipendenti con le password, oltre ad aiutarli a far rispettare le regole di sicurezza con le password, come ad esempio l'imposizione di una lunghezza minima della password e l'obbligo di utilizzare l'AMF laddove è supportata. Disponendo di una soluzione centralizzata per la gestione delle password, le organizzazioni possono essere sicure di prendere le precauzioni necessarie per prevenire la possibilità di attacchi di credential stuffing, che si traducono in account dei dipendenti compromessi.
Attenzione al furto di credenziali
Gli attacchi di credential stuffing possono mettere a serio rischio i dati personali e aziendali, con conseguenti furti di identità e perdite finanziarie. Per evitare che voi o la vostra azienda cadiate vittima di un attacco di credential stuffing, è importante sapere cosa comporta e cosa potete fare per proteggere i vostri account online.
