Af Eskil Sørensen, 20/06/22
Det kommer næppe som en overraskelse for folk inden for miljøet, men alligevel er det et voldsomt stort tal, der nu lægges frem. Kombinationer af brugernavne og adgangskoder, der tilbydes til salg på Dark Web af kriminelle, er steget voldsomt siden 2020. Det skriver Dark Reading på baggrund af en rapport fra Digital Shadows Photon Research med titlen ’Account Takeover in 2022’.
Teamet bag rapporten har angiveligt kigget dybt i Dark Web og fundet, at eksisterer 6,7 mia unikke par med kombinationen brugernavn og adgangskode. At de er unikke indikerer, at kombinationen ikke er duplikeret på tværs af databaser. Tallet er 1,7 mia højere flere end, der blev fundet i 2020.
Tilmed viser rapporten, at mange af de undersøgte adgangskoder ikke er særligt sikre.
Næsten 5 pct. af de fundne adgangskoder til salg er 123456. Af de 50 mest almindeligt anvendte adgangskoder kan 49 af dem knækkes på mindre end et sekund ved hjælp af værktøjer, der også er almindeligt tilgængelige i fora på Dark Web. I de tilfælde, kan man tilføje, er det slet ikke nødvendigt for de kriminelle at købe adgangskoderne.
Rapporten viser også, at de markeder, der sælger legitimationsoplysninger, er robuste og sofistikerede. Man kan så går tegne abonnement på tjenesterne.
Er FIDO redningen?
Dark Reading skriver, at de voldsomme tal blot er er en af de mange grunde til, at sikkerhedsfolk og organisationer bag teknologistandarder har presset hårdt på for mere brugbar adgangskodeløs teknologi. Et af de største initiativer til autentificering findes i FIDO Alliance, som i mere end et årti har udgivet standarder for godkendelsesmekanismer med høj sikkerhed.
Ifølge Dark Reading anerkendte FIDO Alliance tidligere i år, at der ikke er opnået ’høj anvendelse af FIDO-baseret autentificering i consumer-laget’. Som DKCERT har skrevet om i sin Trendrapport og i sidste måneds klumme er FIDO-nøgler en af de mest sikre autentifikationsmetoder, der findes i dag. De er tilmed designet til at gøre login nemmere på tværs af mobile enheder og desktops.
Indtil de har fået større udbredelse har, som en af forfatterne bag rapporten, Chris Morgan, siger det, organisationer ikke råd til at ignorere det stadigt voksende problem med stjålne og handlede legitimationsoplysninger.
’Vi vil flytte til en fremtid uden adgangskode, men for nu er spørgsmålet om ikke brudte legitimationsoplysninger ude af kontrol’, slutter Morgan.
Links:
https://www.darkreading.com/vulnerabilities-threats/24-billion-credentials-circulate-dark-web-2022
https://cert.dk/da/klumme/2022-05-31/Der-findes-flere-forskellige-slags-MFA%E2%80%99er