Tutto quanto sopra menzionato, più almeno altri due:
1. Per un utente che riutilizza le password su diversi account (ad esempio, un grande, grande, grande numero di utenti), un furto del database delle password da un servizio consente a un attore malintenzionato di ritentare tali credenziali su una vasta serie di altri siti. Spesso con successo.
Questa tattica si è dimostrata efficace nella violazione della password dopo la violazione della password ed è probabilmente il modo più efficace con cui un cattivo attore può accedere rapidamente a molti account di valore. Esempio concreto: se l'indirizzo e-mail e la password di un determinato utente sono rubati, per esempio, da LinkedIn , un attore malvagio va e basta prova le stesse credenziali presso Bank of America, Citi, JP Morgan Chase, Paypal e altri siti finanziari (e altri siti di interesse) con una base di clienti molto ampia. L'attaccante gioca le probabilità: prova le credenziali rubate di una persona che ri-utilizza le password su servizi abbastanza popolari e spesso colpisci un account dove funzionano quelle credenziali riutilizzate. Anche se questa tattica try-as-many funziona per una percentuale molto piccola di credenziali utente in un dato database rubato, se il database di cui parliamo contiene milioni di record è una festa incredibile per qualsiasi attore maligno che possa accedervi.
(Ai fini di semplificare le cose qui, supponiamo che qualsiasi database di password compromesso di cui ho parlato sopra non sia stato protetto da un hashing delle password molto robusto, con la conseguenza che gli attori malintenzionati violano con successo una grande percentuale di hash delle password rubate in modo da poter recuperare il password originali e in chiaro e prova a riutilizzarle. Come, beh, quello che è successo con l'hack di LinkedIn .)
2. La tattica spesso ignorata ma devastante dell'abuso di reimpostazione della password.
Come utente puoi fare assolutamente tutto bene quando imposti una password per un servizio - non riutilizzare una password da nessun'altra parte, usa un lungo e amp; stringa generata casualmente con lettere minuscole, lettere maiuscole, cifre e caratteri speciali - ma il tuo account è stato comunque dirottato. Se, cioè, un cattivo attore può semplicemente resettare quella password. Come succede? Bene, più frequentemente accade perché alcuni servizi molto importanti usano ancora la pratica terribile di proteggere la reimpostazione della password con domande di sicurezza abbastanza probabili. ( Alcuni di questi hanno persino permesso agli aggressori di effettuare tentativi illimitati di indovinare le risposte a queste domande correttamente.) Ma a volte un aggressore non ha nemmeno bisogno di farlo; gli addetti al servizio clienti per i servizi a volte sono riluttanti sulla procedura corretta e reimpostano una password anche se un utente malintenzionato non è in grado di rispondere correttamente alle domande. Più notoriamente / infamemente, questo è ciò che è accaduto al giornalista Mat Honan quando un l'hacker ha violato il suo account Apple e cancellato il contenuto di tutti i suoi dispositivi Apple.
L'impostazione dell'autenticazione a due fattori con un servizio ( se il servizio lo offre) per autorizzare la reimpostazione della password può ridurre il rischio, così come provare a evitare l'uso di servizi basati su meccanismi di autenticazione deboli come la sicurezza domande. Ma ciò lascia comunque aperta la possibilità che un rappresentante del servizio clienti mal addestrato e mal monitorato venga ingannato nel reimpostare la password per un utente malintenzionato. E su questa minaccia un utente può fare ben poco.