Как защититься от атак по словарю паролей – CloudSavvy IT

Contimis Works / Shutterstock.com

Атаки по словарю угрожают безопасности ваших сетей и платформ. Они пытаются скомпрометировать учетную запись пользователя, создав соответствующий пароль. Узнайте, как они работают и как их победить.

Атаки по словарю

Учетные записи пользователей компьютерных систем, веб-сайтов и размещенных служб должны быть защищены от несанкционированного доступа. Аутентификация пользователя – наиболее распространенный способ сделать это. Пользователям дается уникальный идентификатор пользователя (для учетных записей в сети это обычно их адрес электронной почты) и пароль. Эти два бита информации должны быть предоставлены, проверены и подтверждены, прежде чем пользователь сможет получить доступ к учетной записи.

Атаки по словарю – это семейство кибератак, использующих общую технику атаки. Они используют длинные списки – иногда целые базы данных – слов и часть программного обеспечения. Программа по очереди считывает каждое слово из списка и пытается использовать его в качестве пароля для атакуемой учетной записи. Если одно из слов в списке совпадает с подлинным паролем, учетная запись скомпрометирована.

Эти атаки отличаются от более примитивных атак методом грубой силы. Атаки методом грубой силы пробуют случайные комбинации букв и символов в надежде, что они натолкнутся на пароль случайно и удачно. Эти атаки неэффективны. Они требуют много времени и вычислительных ресурсов.

Усилия, необходимые для взлома пароля, значительно возрастают с каждой дополнительной буквой, которую вы добавляете к своему паролю. В восьмизначном пароле комбинаций на порядки больше, чем в пятисимвольном. Нет никакой гарантии, что атака грубой силой когда-либо увенчается успехом. Но при атаках по словарю, если одна из записей в списке совпадает с вашим паролем, атака в конечном итоге будет успешной.

Конечно, в большинстве корпоративных сетей будет применяться автоматическая блокировка учетных записей после определенного количества неудачных попыток доступа. Однако очень часто злоумышленники начинают с корпоративных веб-сайтов, которые часто имеют менее строгий контроль попыток доступа. И если они получат доступ к веб-сайту, они могут попробовать эти учетные данные в корпоративной сети. Если пользователь повторно использовал тот же пароль, злоумышленники теперь находятся в вашей корпоративной сети. В большинстве случаев настоящая цель – не веб-сайт или портал. Это перевалочный пункт в пути к фактическому призу злоумышленника – корпоративной сети

Получение доступа к веб-сайту позволяет злоумышленникам внедрять вредоносный код, который будет отслеживать попытки входа в систему и записывать идентификаторы пользователей и пароли. Он либо отправит информацию злоумышленникам, либо сохранит ее до тех пор, пока они не вернутся на сайт для сбора.

Не только слова в файле

Таковы были самые ранние словарные атаки. Они использовали слова из словаря. Вот почему «никогда не используйте словарные слова» было частью руководства по выбору надежного пароля.

Пренебрегать этим советом и все равно выбирать слово из словаря, а затем добавлять к нему цифру, чтобы оно не соответствовало слову в словаре, так же плохо. Злоумышленники, которые пишут программу атаки по словарю, поступают мудро. Они разработали новую технику, которая многократно пробует каждое слово из списка. При каждой попытке в конец слова добавляются цифры. Это связано с тем, что люди часто используют слово и добавляют цифру, например 1, затем 2 и т. Д., Каждый раз, когда им нужно изменить свой пароль.

Иногда для обозначения года добавляют двух- или четырехзначное число. Это может быть день рождения, годовщина, год, когда ваша команда выиграла кубок, или какое-то другое знаменательное событие. Поскольку люди используют в качестве паролей имена своих детей или других значимых лиц, словарные списки были расширены за счет включения мужских и женских имен.

И программное обеспечение снова эволюционировало. Схемы, в которых буквы заменяются цифрами, например 1 вместо «i», 3 для «e», 5 для «s» и т. Д., Не добавляют существенной сложности вашему паролю. Программа знает условные обозначения и работает с этими комбинациями.

В настоящее время все эти методы все еще используются вместе с другими списками, в которых нет стандартных словарных слов. Они содержат актуальные пароли.

Откуда берутся списки паролей

Известный Меня уговорили? веб-сайт хранит доступную для поиска коллекцию из более чем 10 миллиардов взломанных учетных записей. Каждый раз, когда происходит утечка данных, разработчики сайта пытаются их получить. Если им удастся приобрести его, они добавят его в свои базы данных.

Вы можете свободно искать в их базе адресов электронной почты. Если ваш адрес электронной почты найден в базе данных, вам сообщат, при каком нарушении данных произошла утечка вашей информации. Например, я нашел один из своих старых адресов электронной почты в Меня уговорили? база данных. Его утечка произошла в результате взлома сайта LinkedIn в 2016 году. Это означает, что мой пароль для этого сайта также был бы взломан. Но поскольку все мои пароли уникальны, все, что мне нужно было сделать, это сменить пароль для этого единственного сайта.

Меня уговорили имеет отдельную базу паролей. Вы не можете сопоставить адреса электронной почты с паролями на Меня уговорили сайт по понятным причинам. Если вы ищете свой пароль и находите его в списке, это не обязательно означает, что пароль был получен от одной из ваших учетных записей. При 10 миллиардах взломанных аккаунтов будут дублироваться записи. Интересно то, что вам сказали, насколько популярен этот пароль. Вы думали, что ваши пароли уникальны? Возможно нет.

Но был ли пароль в базе данных от одной из ваших учетных записей или нет, если он находится на Меня уговорили? Это будут списки паролей, используемых злоумышленниками. Неважно, насколько загадочным или непонятным является ваш пароль. Если он есть в списках паролей, на него нельзя положиться, поэтому немедленно измените его.

Варианты атак по подбору пароля

Даже с относительно низкоуровневыми атаками, такими как атаки по словарю, злоумышленник может использовать некоторые простые исследования, чтобы попытаться упростить работу программного обеспечения.

Например, они могут зарегистрироваться или частично зарегистрироваться на сайте, который хотят атаковать. После этого они смогут увидеть правила сложности пароля для этого сайта. Если минимальная длина составляет восемь символов, программное обеспечение может быть настроено на запуск строк из восьми символов. Нет смысла тестировать все строки из четырех, пяти, шести и семи символов. Если есть запрещенные символы, их можно удалить из «алфавита», который может использовать программа.

Вот краткое описание различных типов атак на основе списков.

• Традиционная атака грубой силы: На самом деле, это не атака на основе списка. Специальный специализированный программный пакет генерирует все комбинации букв, цифр и других символов, таких как знаки препинания и символы, в постепенно более длинных строках. Он пробует каждый из них в качестве пароля к атакуемой учетной записи. Если это произойдет, чтобы сгенерировать комбинацию символов, которая соответствует паролю для атакуемой учетной записи, эта учетная запись будет скомпрометирована.
• Атака по словарю: специальный специализированный программный пакет берет одно слово за раз из списка слов словаря и пробует их в качестве пароля для атакуемой учетной записи. К словарным словам можно применять преобразования, например добавление к ним цифр и замену цифрами букв.
• Атака с поиском пароля: похожа на атаку по словарю, но списки слов содержат действительные пароли. Автоматизированное программное обеспечение считывает пароль за раз из огромного списка паролей, собранных в результате утечки данных.
• Атака с интеллектуальным поиском пароля: похожа на атаку по паролю, но проверяются преобразования каждого пароля, а также «голого» пароля. Преобразования имитируют часто используемые уловки с паролями, такие как замена цифр гласными.
• Атака API: вместо попытки взломать учетную запись пользователя в этих атаках используется программное обеспечение для генерации строк символов, которые, как они надеются, будут соответствовать ключу пользователя для интерфейса прикладного программирования. Если они смогут получить доступ к API, они могут использовать его для кражи конфиденциальной информации или интеллектуального авторского права.

Несколько слов о паролях

Пароли должны быть надежными, уникальными и не связанными ни с чем, что может быть обнаружено или выведено о вас, например с именами детей. Парольные фразы лучше паролей. Три не связанных между собой слова, соединенные некоторыми знаками препинания, – очень надежный шаблон для пароля. Как ни странно, в парольных фразах обычно используются словарные слова, и нас всегда предупреждали не использовать словарные слова в паролях. Но объединение их таким образом создает очень сложную проблему для решения атакующего программного обеспечения.

Мы можем использовать Насколько безопасен мой пароль веб-сайт, чтобы проверить надежность наших паролей.

• cloudsavvyit: Расчетное время взлома: три недели.
• cl0uds4vvy1t: Расчетное время взлома: три года.
• 30.feather.girder: Расчетное время взлома: 41 квадриллион лет!

И не забывайте золотое правило. Пароли должны использоваться только в одной системе или на одном веб-сайте. Их нельзя использовать более чем в одном месте. Если вы используете пароли более чем в одной системе и одна из этих систем взломана, все сайты и системы, на которых вы использовали этот пароль, окажутся под угрозой, потому что ваш пароль будет в руках злоумышленников – и в их списках паролей. . Независимо от того, требуется ли для взлома вашего пароля 41 квадриллион лет, если он есть в их списках паролей, время взлома совершенно не имеет значения.

Если вам нужно запомнить слишком много паролей, использовать менеджер паролей.

Как защититься от атак грубой силы

Многослойная оборонительная стратегия всегда лучше. Никакая единственная защитная мера не сделает вас невосприимчивым к атакам по словарю, но вы можете рассмотреть ряд мер, которые будут дополнять друг друга и значительно снижать риск того, что вы подвержены этим атакам.

• По возможности включите многофакторную аутентификацию. Это вносит в уравнение что-то физическое, которым владеет пользователь, например сотовый телефон, USB-ключ или брелок. Информация, которая отправляется в приложение на телефоне, или информация в брелке или USB-ключе, включается в процесс аутентификации. Сами по себе ID пользователя и пароль недостаточны для доступа к системе.
• Используйте надежные пароли и парольные фразы, которые уникальны и надежно хранятся в зашифрованном виде.
• Создайте и разверните политику паролей, которая регулирует использование, защиту и приемлемую формулировку паролей. Ознакомьте с ним весь персонал и сделайте его обязательным.
• Ограничьте попытки входа в систему небольшим числом. Либо заблокируйте учетную запись, когда будет достигнуто количество неудачных попыток, либо заблокируйте ее. а также принудительно изменить пароль.
• Включите капчу или другие дополнительные шаги аутентификации на основе изображений. Они предназначены для остановки ботов и программных паролей, потому что человек должен интерпретировать изображение.
• Рассмотрите возможность использования менеджера паролей. Менеджер паролей может сгенерировать для вас сложные пароли. Он запоминает, какой пароль подходит к какой учетной записи, поэтому вам не нужно. Менеджер паролей – это самый простой способ иметь чугунные уникальные пароли для каждой отдельной учетной записи, которую вам нужно отслеживать.