Polski 
English 
Русский 
简体中文 
Português do Brasil 
Français 
Español 
Türkçe 
Tiếng Việt 
한국어 
Nederlands 
Italiano 
日本語 
Eesti 
Čeština 
മലയാളം 
Bahasa Melayu 
हिन्दी 
اردو 
Bahasa Indonesia 
Bezpieczna siećUpychanie danych uwierzytelniających to zautomatyzowana technika cyberataku, podczas której program komputerowy lub haker próbuje uzyskać dostęp do systemu lub usługi, korzystając z listy kombinacji nazwy użytkownika i/lub hasła. Jest to rodzaj ataku brute-force, czyli teoretycznego, nieautoryzowanego ataku polegającego na systematycznym próbowaniu wprowadzenia wielu haseł lub fraz, aż do znalezienia tego właściwego.
Upychanie poświadczeń opiera się w dużej mierze na nielegalnie zakupionych lub uzyskanych w inny sposób listach wcześniej skradzionych poświadczeń (zwykle adresów e-mail i haseł). Osoba atakująca następnie próbuje ponownie wykorzystać te dane uwierzytelniające w innych witrynach w Internecie, mając nadzieję, że uda mu się uzyskać dostęp do większej liczby kont i usług. W wielu przypadkach użytkownicy ponownie używają tej samej kombinacji nazwy użytkownika i hasła w wielu witrynach internetowych lub polegają wyłącznie na słabych hasłach.
Ten wektor ataku jest możliwy ze względu na ogromną liczbę zagrożonych baz danych dostępnych w Internecie, często zdobytych w wyniku innych cyberataków, takich jak naruszenia bezpieczeństwa danych. W rezultacie organizacje z ujawnionymi poświadczeniami są szczególnie podatne na upychanie poświadczeń.
Skutki udanych ataków polegających na fałszowaniu danych uwierzytelniających mogą być poważne i obejmować straty finansowe spowodowane kradzieżą środków z docelowych kont lub nieuczciwymi zakupami, aż po zniszczenie krytycznych wrażliwych danych w wyniku naruszenia danych. Co więcej, wiele kont ma dodatkowe ustawienia zabezpieczeń, takie jak uwierzytelnianie dwuskładnikowe (2FA) lub uwierzytelnianie wieloskładnikowe (MFA), które nie zawsze są włączone, narażając je na upychanie poświadczeń.
Organizacje i osoby prywatne mogą chronić się przed upychaniem danych uwierzytelniających, regularnie zmieniając hasła, używając silnych haseł składających się z kombinacji znaków, używając menedżera haseł do generowania losowych haseł i włączając uwierzytelnianie dwuskładnikowe (2FA), aby każda próba podania nieprawidłowego hasła była natychmiast blokowane, gdy użytkownik otrzyma powiadomienie na połączone urządzenie. Należy również zapobiegać resetowaniu haseł w przypadku znanych „wypełnionych” adresów e-mail. Organizacje muszą także zapewnić regularne monitorowanie bezpieczeństwa i systemy wykrywania włamań.
