Odbrana sigurnosti vaše organizacije je poput utvrđivanja zamki – morate razumjeti gdje će napadači napasti i kako će pokušati da probiju vaše zidove. A hakeri uvijek traže slabosti, bilo da se radi o opuštenoj politici lozinki ili zaboravljenim backdoorima. Da biste izgradili jaču odbranu, morate razmišljati kao haker i predvidjeti njihove poteze. Čitajte dalje kako biste saznali više o strategijama hakera za probijanje lozinki, ranjivosti koje iskorištavaju i kako možete ojačati svoju odbranu da ih držite podalje.
Analiza najgorih lozinki
Slabe, često korištene lozinke predstavljaju najlakše mete za hakere. Svake godine stručnjaci daju liste najčešće korišćenih lozinki , a klasici poput ” 123456 ” i ” lozinke ” pojavljuju se iz godine u godinu. Ove lozinke su plod strategije hakerskog napada. Uprkos godinama sigurnosnih upozorenja, korisnici i dalje koriste jednostavne lozinke koje se lako pamte – često zasnovane na predvidljivim obrascima ili ličnim detaljima koje hakeri mogu brzo da saznaju iz društvenih medija ili javnih zapisa.
Hakeri sastavljaju baze podataka ovih uobičajenih lozinki i koriste ih u napadima grubom silom, kružeći kroz vjerovatne kombinacije lozinki dok ne pronađu pravu. Za hakera, najgore lozinke pružaju najbolju priliku. Bilo da se radi o hodu po tastaturi poput ” qwerty ” ili uobičajenoj frazi kao što je ” iloveyou “, jednostavnost ovih lozinki nudi hakerima direktan put do naloga, posebno kada višefaktorska autentifikacija nije na mjestu.
Koliko vremena je potrebno za probijanje lozinke?
Dužina vremena potrebnog za probijanje lozinke u velikoj mjeri zavisi od tri stvari:
- Dužina i jačina lozinke
- Metode koje se koriste za njegovo razbijanje
- Alati koje haker koristi
Hakeri mogu da razbiju kratke, jednostavne lozinke – posebno one koje koriste samo mala slova ili brojeve – u samo nekoliko sekundi koristeći moderne alate za razbijanje lozinki. Ali složenije lozinke, poput onih koje sadrže različite tipove znakova (npr. velika i mala slova, simbole i brojeve) mnogo je teže razbiti i treba im mnogo duže.
Brute force i napadi rječnikom su dvije najpopularnije metode hakera za razbijanje lozinki.
- U napadu grube sile , hakeri koriste alate za metodično isprobavanje svake moguće kombinacije lozinki, što znači da se slaba lozinka od sedam znakova može razbiti za samo nekoliko minuta, dok složenija lozinka od 16 znakova koja uključuje simbole i brojeve mogu potrajati mjeseci, godine ili čak i duže da se pukne.
- U napadima na rječnike , hakeri koriste unaprijed definisanu listu uobičajenih riječi ili lozinki kako bi pogodili pravu kombinaciju, čineći ovu metodu posebno učinkovitom protiv često korištenih ili jednostavnih lozinki.
Zanima vas koliko vaših krajnjih korisnika koristi slabe ili ugrožene lozinke? Besplatno skenirajte svoj Active Directory uz Specops Password Auditor da biste identificirali duple, prazne, identične, ugrožene lozinke i druge ranjivosti lozinki.
Upravljanje rizikom od lozinke
Koji je najveći sigurnosni rizik za lozinku vaše organizacije? Ponašanje korisnika. Krajnji korisnici imaju tendenciju da ponovo koriste lozinke na svim računima ili da koriste slabe ili lako pamtljive lozinke što hakerima daje ogromnu prednost. Jednom kada haker provali lozinku za jedan nalog, često će isprobati istu lozinku na drugim servisima – taktika koja se zove krpanje akreditiva. A ako su korisnici ponovo koristili lozinku za više lokacija? Oni su zapravo dali hakerima ključeve njihovog digitalnog života.
Da biste upravljali ovim rizikom, vaša organizacija bi trebala promovisati dobru higijenu lozinki. Pozovite krajnje korisnike da izbjegavaju ponovnu upotrebu lozinki na različitim stranicama ili nalozima. Idite dalje od edukacije korisnika; implementirati sistemske zaštite kao što su pragovi zaključavanja koji ograničavaju broj neuspjelih pokušaja prijave. Dodatno, implementirajte višefaktorsku autentifikaciju za krajnje korisnike i implementirajte jake politike lozinki koje provode dužinu, složenost i intervale promjene.
Passphrases i identifikacijska provjera
Kako su hakeri i njihovi alati postali sofisticiraniji, organizacije su prisiljene da preispitaju sastav lozinki. Uđite u eru pristupnih fraza — kombinacije nepovezanih riječi koje je korisnicima lako zapamtiti, ali je hakerima teško pogoditi. Na primjer, pristupna fraza kao što je “svemirska letjelica od tvrdog drveta lame” mnogo je sigurnija od kratke lozinke koja se sastoji od nasumičnih brojeva i slova, ali je korisnicima takođe lakše da je zapamte.
Dužina pristupne fraze (često 16 znakova ili više) u kombinaciji s nepredvidljivošću kombinacije riječi, čini mnogo težim uspješnim napadima grubom silom ili rječnikom. Više savjeta o pomaganju krajnjim korisnicima da kreiraju pristupne fraze možete pronaći ovdje .
Takođe razmislite o implementaciji mjera zaštite identiteta kako biste dodali još jedan sloj sigurnosti. Zahtevanje od korisnika da potvrde svoj identitet putem e-pošte ili SMS potvrde dodaje dodatnu zaštitu čak i ako hakeri ugroze lozinku.
Razmišljajte kao haker da biste branili kao profesionalac
Razmišljajući kao haker, možete bolje razumjeti kako im otežati stvari. Hakeri napreduju na slabim, ponovo korišćenim lozinkama i predvidljivim obrascima, iskorištavajući korisnike koji ignorišu najbolje prakse za lozinke ili ne omogućavaju MFA.
Čvrste sigurnosne politike su temelj jake zaštite lozinkom — a Specops Password Policy je jednostavno rješenje koje vam pomaže da prilagodite svoje zahtjeve. Vaša organizacija može nametnuti zahtjeve usklađenosti i regulative, prilagoditi postavke pravila za lozinke, kreirati prilagođene rječnike, nametnuti pristupne fraze, pa čak i kontinuirano skenirati vaš Active Directory za preko 4 milijarde ugroženih lozinki.
Da bi se efikasno branila od ovih napada, vaša organizacija mora da zatvori praznine. Ohrabrite korisnike da implementiraju dugačke, jedinstvene pristupne fraze koje će hakerima biti teško pogoditi. Implementirajte metode provjere identiteta kako biste pružili dodatnu sigurnost. I iskoristite prednosti vodećih alata u industriji kako biste pomogli u primjeni najboljih praksi zaštite lozinki.
Izvor:The Hacker News