Поиск по сайту:

Как защититься от атак с использованием словаря паролей

Атаки по словарю угрожают безопасности ваших сетей и платформ. Они пытаются скомпрометировать учетную запись пользователя, генерируя соответствующий пароль. Узнайте, как они работают и как их победить.

Атаки по словарю

Учетные записи пользователей в компьютерных системах, веб-сайтах и размещенных службах должны быть защищены от несанкционированного доступа. Аутентификация пользователя является наиболее распространенным способом сделать это. Пользователям присваивается уникальный идентификатор пользователя (для онлайн-аккаунтов это обычно адрес электронной почты) и пароль. Эти два бита информации должны быть предоставлены, проверены и подтверждены, прежде чем пользователь сможет получить доступ к учетной записи.

Атаки по словарю — это семейство кибератак, использующих общий метод атаки. Они используют длинные списки — иногда целые базы данных — слов и программного обеспечения. Программа по очереди считывает каждое слово из списка и пытается использовать его в качестве пароля для атакуемой учетной записи. Если одно из слов в списке совпадает с настоящим паролем, учетная запись скомпрометирована.

Эти атаки отличаются от более примитивного типа атаки грубой силы. Атаки грубой силы пробуют случайные комбинации букв и символов в надежде, что они наткнутся на пароль случайно и на удачу. Эти атаки малоэффективны. Они отнимают много времени и требуют больших вычислительных ресурсов.

Усилия, необходимые для взлома пароля, значительно возрастают с каждой дополнительной буквой, которую вы добавляете к своему паролю. В восьмизначном пароле комбинаций на порядок больше, чем в пятизначном. Нет никакой гарантии, что атака грубой силы когда-либо увенчается успехом. Но при атаках по словарю, если одна из записей в списке совпадает с вашим паролем, атака в конечном итоге увенчается успехом.

Конечно, в большинстве корпоративных сетей применяется автоматическая блокировка учетных записей после определенного количества неудачных попыток доступа. Однако очень часто субъекты угроз начинают с корпоративных веб-сайтов, которые часто имеют менее строгий контроль за попытками доступа. И если они получат доступ к веб-сайту, они смогут попробовать эти учетные данные в корпоративной сети. Если пользователь повторно использовал тот же пароль, злоумышленники теперь находятся в вашей корпоративной сети. В большинстве случаев веб-сайт или портал не являются реальной целью. Это промежуточный пост, на пути к настоящей добыче злоумышленника — корпоративной сети.

Получение доступа к веб-сайту позволяет злоумышленникам внедрять вредоносный код, который будет отслеживать попытки входа в систему и записывать идентификаторы пользователей и пароли. Он либо отправит информацию злоумышленникам, либо зарегистрирует ее до тех пор, пока они не вернутся на сайт для ее сбора.

Не просто слова в файле

Самые ранние атаки по словарю были именно такими. Они использовали слова из словаря. Вот почему «никогда не используйте слово из словаря» было частью руководства по выбору надежного пароля.

Пренебрегать этим советом и все равно выбирать словарное слово, а потом добавлять к нему цифру, чтобы оно не совпадало со словом в словаре, так же плохо. Злоумышленники, которые пишут программное обеспечение для атаки по словарю, понимают это. Они разработали новую технику, которая многократно проверяет каждое слово из списка. С каждой попыткой к концу слова добавляется несколько цифр. Это связано с тем, что люди часто используют слово и добавляют цифру, например 1, затем 2 и т. д., каждый раз, когда им приходится менять пароль.

Иногда они добавляют двух- или четырехзначное число для обозначения года. Это может быть день рождения, годовщина, год, когда ваша команда выиграла кубок, или какое-то другое важное событие. Поскольку люди используют имена своих детей или близких в качестве паролей, списки словаря были расширены за счет включения мужских и женских имен.

И программное обеспечение снова эволюционировало. Схемы, в которых буквы заменяются цифрами, например, 1 вместо «i», 3 вместо «e», 5 вместо «s» и т. д., не усложняют ваш пароль. Программное обеспечение знает соглашения и также работает с этими комбинациями.

В настоящее время все эти методы все еще используются, наряду с другими списками, которые не содержат стандартных словарных слов. Они содержат фактические пароли.

Откуда берутся списки паролей

На известном веб-сайте Have I Been Pwned хранится доступная для поиска коллекция из более чем 10 миллиардов скомпрометированных учетных записей. Каждый раз, когда происходит утечка данных, разработчики сайта пытаются получить данные. Если им удается его приобрести, они добавляют его в свои базы данных.

Вы можете свободно искать их базу данных адресов электронной почты. Если ваш адрес электронной почты найден в базе данных, вам сообщат, какая утечка данных привела к утечке вашей информации. Например, я нашел один из своих старых адресов электронной почты в базе данных Я был взломан. Это произошло в результате взлома веб-сайта LinkedIn в 2016 году. Это означает, что мой пароль для этого сайта также был бы взломан. Но поскольку все мои пароли уникальны, все, что мне нужно было сделать, это изменить пароль для этого сайта.

Have I Been Pwned имеет отдельную базу данных для паролей. Вы не можете сопоставлять адреса электронной почты с паролями на сайте Have I Been Pwned по очевидным причинам. Если вы ищете свой пароль и находите его в списке, это не обязательно означает, что пароль исходил от одной из ваших учетных записей. С 10 миллиардами взломанных учетных записей будут дублироваться записи. Интересно, что вам говорят, насколько популярен этот пароль. Вы думали, что ваши пароли уникальны? Возможно нет.

Но независимо от того, получен ли пароль в базе данных от одной из ваших учетных записей или нет, если он находится на веб-сайте Have I Been Pwned, это будут списки паролей, используемые атакующим программным обеспечением злоумышленников. Неважно, насколько загадочен или непонятен ваш пароль. Если он есть в списках паролей, на него нельзя полагаться, поэтому немедленно измените его.

Варианты атак с подбором пароля

Даже при относительно простых атаках, таких как атаки по словарю, злоумышленник может использовать некоторые простые исследования, чтобы попытаться упростить работу программного обеспечения.

Например, они могут зарегистрироваться или частично зарегистрироваться на сайте, который хотят атаковать. После этого они смогут увидеть правила сложности пароля для этого сайта. Если минимальная длина составляет восемь символов, программное обеспечение можно настроить так, чтобы оно начиналось со строк из восьми символов. Нет смысла тестировать все четырех-, пяти-, шести- и семисимвольные строки. Если есть запрещенные символы, их можно удалить из «алфавита», который может использовать программа.

Вот краткое описание различных типов атак на основе списков.

  • Традиционная атака полным перебором. На самом деле это не атака на основе списка. Специальный, специально написанный программный пакет генерирует все комбинации букв, цифр и других символов, таких как знаки препинания и символы, во все более длинные строки. Он пытается использовать каждый из них в качестве пароля для атакуемой учетной записи. Если происходит генерация комбинации символов, совпадающей с паролем атакуемой учетной записи, эта учетная запись скомпрометирована.
  • Атака по словарю: специально написанный программный пакет берет по одному слову из списка словарных слов и пробует их в качестве пароля для атакуемой учетной записи. К словарным словам можно применять преобразования, например добавлять к ним цифры и заменять буквы цифрами.
  • Атака с поиском пароля: аналогична атаке по словарю, но списки слов содержат фактические пароли. Автоматизированное программное обеспечение считывает пароль за раз из огромного списка паролей, собранных в результате утечки данных.
  • Интеллектуальная атака с поиском пароля. Подобна атаке с паролем, но попытки преобразования каждого пароля, а также «голого» пароля. Преобразования имитируют часто используемые трюки с паролями, такие как замена цифр гласными.
  • API-атака: вместо того, чтобы пытаться взломать учетную запись пользователя, эти атаки используют программное обеспечение для генерации строк символов, которые, как они надеются, будут соответствовать ключу пользователя для интерфейса прикладного программирования. Если они смогут получить доступ к API, они смогут использовать его для кражи конфиденциальной информации или интеллектуальных авторских прав.

Несколько слов о паролях

Пароли должны быть надежными, уникальными и не связанными с чем-либо, что может быть обнаружено или выведено о вас, например, с именами детей. Парольные фразы лучше, чем пароли. Три не связанных между собой слова, соединенные знаком препинания, — очень надежный шаблон для пароля. Вопреки интуиции, фразы-пароли обычно используют словарные слова, и нас всегда предупреждали не использовать словарные слова в паролях. Но объединение их таким образом создает очень сложную проблему для решения атакующего программного обеспечения.

Мы можем использовать веб-сайт Насколько безопасен мой пароль , чтобы проверить надежность наших паролей.

  • cloudsavvyit: расчетное время взлома: три недели.
  • cl0uds4vvy1t: расчетное время взлома: три года.
  • thhirty.feather.girder: Расчетное время взлома: 41 квадриллион лет!

И не забывайте золотое правило. Пароли должны использоваться только в одной системе или на одном веб-сайте. Они никогда не должны использоваться более чем в одном месте. Если вы используете пароли более чем в одной системе и одна из этих систем взломана, все сайты и системы, на которых вы использовали этот пароль, находятся под угрозой, поскольку ваш пароль окажется в руках злоумышленников и будет в их списках паролей. . Независимо от того, требуется ли для взлома вашего пароля 41 квадриллион лет, если он есть в их списках паролей, время взлома совершенно не имеет значения.

Если вам нужно запомнить слишком много паролей, используйте менеджер паролей.

Как защититься от атак грубой силы

Многоуровневая оборонительная стратегия всегда лучше. Ни одна защитная мера не сделает вас невосприимчивым к атакам по словарю, но вы можете рассмотреть ряд мер, которые будут дополнять друг друга и значительно снижать риск того, что вы подвержены этим атакам.

  • Включите многофакторную аутентификацию, где это возможно. Это привносит в уравнение что-то физическое, чем владеет пользователь, например сотовый телефон, USB-ключ или брелок. Информация, которая отправляется в приложение на телефоне, или информация в брелоке или USB-ключе, включается в процесс аутентификации. ID пользователя и пароль сами по себе недостаточны для получения доступа к системе.
  • Используйте надежные пароли и кодовые фразы, которые уникальны и надежно хранятся в зашифрованном виде.
  • Создайте и внедрите политику паролей, которая регулирует использование, защиту и допустимую формулировку паролей. Предоставьте его всем сотрудникам и сделайте его обязательным.
  • Ограничьте количество попыток входа небольшим числом. Либо заблокируйте учетную запись, когда будет достигнуто количество неудачных попыток, либо заблокируйте ее и принудительно смените пароль.
  • Включите проверку подлинности или другие дополнительные этапы аутентификации на основе изображений. Они предназначены для остановки ботов и программного обеспечения для паролей, поскольку человек должен интерпретировать изображение.
  • Рассмотрите возможность использования диспетчера паролей. Менеджер паролей может генерировать для вас сложные пароли. Он запоминает, какой пароль относится к какой учетной записи, поэтому вам это не нужно. Менеджер паролей – это самый простой способ получить железные уникальные пароли для каждой учетной записи, за которой вам нужно следить.