Проблема зламаних паролів. Як запобігти злому пароля?

Cracked Passwords

 

Паролі поширені як найефективніший спосіб захисту цінних даних від несанкціонованого доступу. Вони прості та легкі у використанні, але достатньо надійні, щоб стримати більшість спроб злому.

Однак, оскільки технологія прогресувала протягом багатьох років, традиційна система безпеки впровадження паролів, здається, повільно відстає. Слабкі паролі або паролі, які легко вгадати, можна легко зламати, і навіть надійні, здається, не є повністю несприйнятливими до хакерських атак.

Отже, що ви можете зробити, щоб ваші паролі не зламали? На цій сторінці ми торкнемося все більш важливої ​​теми злому паролів у сфері кібербезпеки та поділимося з вами цінними порадами щодо запобігання злому паролів. Читайте далі, щоб дізнатися, як зробити так, щоб зламані паролі залишилися в минулому.

Зміст

Зламані паролі: як хакери отримують ваші паролі?

Типи злому паролів

Атаки з підбором пароля

Атаки соціальної інженерії

Атаки на основі хешування

Як запобігти злому пароля?

Найкращий інструмент для запобігання злому паролів

Зламані паролі: як хакери їх отримують?

Коли справа доходить до злому паролів, більшість зловмисників дотримуються тієї самої мантри: чим простіше, тим краще. Вони завжди намагатимуться використати найпростіший, найефективніший і найприхованіший спосіб зламати ваш пароль.

На жаль, зловмисники можуть скористатися одним із багатьох доступних інструментів, щоб отримати доступ до ваших облікових записів. Незважаючи на те, що інструменти злому паролів в першу чергу призначені для того, щоб допомогти користувачам відновити втрачені паролі та перевірити безпеку їхніх паролів, деякі люди, на жаль, вирішують використовувати ці інструменти для підлих цілей. Ось короткий огляд деяких найпоширеніших типів програмних засобів для злому паролів:

  1. Hashcat − Hashcat, який широко вважається одним із найшвидших інструментів для злому паролів, також підтримує кілька методологій злому паролів. Він не зберігає жодних зламаних паролів на своїх серверах і доступний повністю безкоштовно.
  2. THC Hydra − Цей інструмент підтримує понад 50 протоколів. Його мобільна система підтримує всі основні програмні платформи, що робить його чудовим інструментом, якщо вам потрібне програмне забезпечення для злому паролів iOS або Android.
  3. Medusa  це дуже зручна програма для злому паролів, яка підтримує довгий список протоколів. Він підтримує декілька комп’ютерних операційних систем, окрім Windows.
  4. John the Ripper − це мультиплатформенний, повністю безкоштовний інструмент для злому паролів із відкритим кодом. Він підтримує сотні типів хешів і шифрів і є одним із найгнучкіших інструментів для злому паролів.
  5. CrackStation  На відміну від вищезгаданого програмного забезпечення, CrackStation є веб-зломщиком і не має окремої програми. Він підтримує багато протоколів, але можна використовувати лише незасолені хеші без доданих випадкових рядків.

Типи злому паролів

У цьому відношенні можна сказати, що зловмисники мають перевагу, оскільки типів злому паролів забагато. Через це більшість людей не знають, звідки може виходити загроза.

Більшість атак злому паролів можуть мати три різні форми. Це атаки на підбір пароля, атаки соціальної інженерії та атаки на основі хешування. Давайте обговоримо кожну з цих атак докладніше.

1. Атаки з підбором пароля

Хоча більшість із нас схильні уявляти, що кібератаки походять від наддосконалих хакерів, які використовують дороге обладнання, реальність часто не така вражаюча. Насправді більшість випадків злому паролів виникає через те, що зловмисники просто вгадують пароль жертви. У зв'язку з цим існує кілька типів атак підбору пароля:

  • Випадкове вгадування пароля (Password Guessing Attacks) − Основна форма вгадування пароля, однак також найменш ефективний метод. Він працює, якщо жертва використовує дуже поширений пароль або зловмисник знає багато про жертву.
  • Атаки за словником (Dictionary Attacks) – більш просунута форма атаки підбору пароля, під час якої зловмисники використовують автоматизований словник слів. Складність словникових атак залежить від того, чи використовують зловмисники цифри та символи та чи вони націлені на конкретні словосполучення.
  • Атаки грубої сили (Brute Force Attacks)  Атаки грубої сили передбачають систематичний підбір всіх можливих літер, цифр і комбінацій слів. Головна перевага цих атак полягає в тому, що хакер обов’язково в якийсь момент встановлює правильний пароль. Однак зворотною стороною є те, що йому може знадобитися багато часу, щоб створити всі можливі перестановки.

2. Атаки соціальної інженерії

Соціальна інженерія – це широкий термін, що стосується різноманітних зловмисних дій, які здійснюються шляхом використання взаємодії людей за допомогою психологічної маніпуляції. За допомогою атак соціальної інженерії хакери намагаються змусити нічого не підозрюючих жертв надати їм цінну конфіденційну інформацію.

Атаки соціальної інженерії часто ретельно продумані, оскільки зловмисники зазвичай досліджують своїх жертв, щоб отримати інформацію, яка допоможе їм здійснити атаку. Ось найпоширеніші форми атак соціальної інженерії:

  • Фішинг (Phishing) – Мабуть, найвідоміша та найпопулярніша техніка. Фішинг передбачає спонукання об’єкта натиснути посилання або відкрити вкладення, яке містить зловмисне програмне забезпечення або фейковий сайт. Існує багато форм фішингових атак, адаптованих до конкретних ситуацій, у тому числі spear phishing, whaling, smishing і vishing.
  • Атаки зі скиданням пароля (Password Reset Attacks)− Інша поширена форма атак соціальної інженерії включає ініціювання примусової зміни пароля кимось, крім кінцевого користувача. Зловмисники маніпулюють посиланням для скидання пароля, яке вказує на контрольований ними домен.
  • Підглядання (Shoulder Surfing)  Це дуже груба та застаріла форма злому паролів, але, на жаль, вона все ще працює на деяких жертвах. Основа атаки проста. Зловмисник фізично спостерігає, як жертва вводить пароль, а потім використовує отримані ідентифікаційні дані для здійснення атаки.

3. Атаки на основі хешування

Нарешті, особливо небезпечними можуть бути атаки на основі хешування. Це пояснюється тим, що хакери можуть атакувати базу даних користувачів/паролів навіть у автономному режимі. Два найпоширеніші типи хеш-атак:

  • Атака Rainbow Table – хакери спочатку отримують доступ до витоку хешів і використовують rainbow table для розшифровки хешів паролів. Поки хеші не мають додаткового унікального кодування для кожного пароля, хакери можуть просто перевести зашифровані паролі у відкритий текст.
  • Атака Pass-the-Hash  Скорочено PtH. Такі атаки використовують слабкі місця в протоколі автентифікації. Ці типи атак часто використовуються для злому паролів Windows, хоча вони також можуть відбуватися на інших платформах.

Як запобігти злому пароля?

Злом паролів, безсумнівно, викликає занепокоєння, і кожен з нас може стати його жертвою. Проте це не означає, що ви не можете нічого зробити, щоб мінімізувати ймовірність злому ваших паролів. Ось кілька порад з приводу того, як запобігти злому пароля:

Порада №1. Створюйте надійні паролі

Першим кроком до запобігання злому вашого пароля є встановлення надійного пароля. Оскільки ваш пароль є першою лінією захисту, він має бути якомога більш захищеним.

Є багато аспектів, про які слід пам’ятати, намагаючись створити надійний пароль. Наприклад, він повинен бути достатньої довжини і поєднувати в собі як малі, так і великі літери, а також цифри. Крім того, підказки мають бути унікальними та такими, що їх важко вгадати.

Якщо іи коли-небудь цікавилися, «наскільки важко зламати мій пароль?» і бажаєте переконатися, що він достатньо сильний, рекомендуємо прочитати нашу спеціальну сторінку про рекомендації NIST щодо паролів.

Порада №2. Використовуйте надійний менеджер паролів

Крім надійних паролів, ви також повинні використовувати гарний менеджер паролів. Для новачків, менеджер паролів служить дуже практичним цілям, оскільки він звільняє вас від необхідності запам’ятовувати паролі.

Що важливіше в контексті цієї статті, менеджер паролів також забезпечує додаткові переваги безпеки. Ви можете генерувати надійні випадкові паролі, використовувати функцію автозаповнення та безпечно ділитися паролями, коли це потрібно.

Порада №3. Використовуйте двофакторну верифікацію та "безпарольний" вхід усюди, де можливо

За останні кілька років двофакторна автентифікація (2FA) набирає все більшої популярності. І на це є об'єктивні причини. 2FA забезпечує додатковий рівень захисту та зберігає ваші облікові записи в безпеці, навіть якщо ваш пароль буде зламано. Якщо зловмисник заволодіє вашими обліковими даними для входу, він все одно не зможн увійти в акаунт, оскільки не пройде перевірку другим фактором.

Зважаючи на це, рекомендується увімкнути двофакторну автентифікацію у всіх сервісах, де це можливо. Це не займе багато часу та зусиль, але це може позбавити вас від багатьох головних болів, якщо зловмисник націлиться на вас.

Крім того, якщо ви хочете ще більше зменшити шанси успішної атаки, подумайте про те, щоб повністю перейти на безпарольну автентифікацію. Незважаючи на те, що цей крок потребує більш ретельного підходу, повністю безпарольний режим остаточно усуває усі ризики, пов’язані з безпекою на основі пароля.

Найкращий інструмент для запобігання злому паролів

Враховуючи все вищесказане, щоб забезпечити безкомпромісний захист від злому паролів, вам доведеться використовувати кілька інструментів захисту. Якщо ви хочете одночасно керувати своїми паролями від застарілих веб-служб і використовувати переваги сучасної безпарольної автентифікації, вам знадобляться принаймні два пристрої: менеджер паролів і ключ безпеки з підтрикою стандарту FIDO для безпарольного входу. Однак, відверто кажучи, це не дуже зручно.

З цієї точки зору, найефективнішим способом запобігання злому пароля є використання єдиного у своєму роді апаратного ключа, який поєднує функціональність і безпеку. Наш Hideez Key 4 − це кишеньковий пристрій, який має всі функції високоякісного менеджера паролів у поєднанні з підтримкою "безпарольного" стандарту FIDO2.

Більше того, цей крихітний пристрій також може служити смарт-ключем для вашого комп’ютера Windows, дозволяючи вам блокувати або розблоковувати свій пристрій, коли ви підходите чи відходите від нього. Зрештою, ви можете застосувати ключ як основний інструмент безпеки і вдома, і в бізнес-середовищі. Зв’яжіться з нами, щоб дізнатися більше або скористатися нашою 30-денною пробною версією для бізнесу!