Lozinke se rijetko cijene sve dok ne dođe do sigurnosnog proboja; tek tada postaje jasno koliko je jaka lozinka važna. Međutim, većina korisnika nije svjesna koliko su njihove lozinke ranjive na najčešće metode probijanja lozinki. U nastavku su opisane tri uobičajene tehnike probijanja lozinki i načini zaštite od njih.
Brute force napad
Brute force napadi su jednostavne, ali vrlo efikasne tehnike probijanja lozinki. Ovi napadi uključuju korištenje automatiziranih alata koji sistematski pokušavaju svaku moguću kombinaciju lozinke putem ponovljenih pokušaja prijave. Iako ovakvi alati postoje godinama, napredak u računarstvu i skladištenju podataka učinio ih je još efikasnijima, posebno kada se koriste slabe lozinke.
Kako funkcioniše
Napadači koriste različite taktike—od osnovnih brute force napada koji testiraju sve moguće kombinacije lozinki do naprednijih metoda poput hibridnih i obrnutih brute force napada. Cilj svih ovih napada je isti: neovlašteni pristup zaštićenim podacima ili resursima.
Popularni alati za brute force napade uključuju:
- John the Ripper – višeplatformski alat za probijanje lozinki sa podrškom za 15 operativnih sistema i stotine algoritama za šifriranje
- L0phtCrack – alat koji koristi rainbow tablice, rječnike i multiprocesorske algoritme za probijanje Windows lozinki
- Hashcat – alat za probijanje i oporavak lozinki koji podržava pet različitih modova napada i preko 300 optizovanih algoritama za heširanje
Primjeri
U avgustu 2021. godine, američki mobilni operater T-Mobile pretrpio je sigurnosni proboj koji je započeo brute force napadom. Ovaj napad rezultovao je kompromitacijom preko 37 miliona korisničkih zapisa koji su sadržavali osjetljive podatke, uključujući brojeve socijalnog osiguranja i podatke s vozačkih dozvola.
Mjere zaštite
Korisnici bi trebali koristiti jake, složene lozinke i višefaktorsku autentifikaciju (MFA) kako bi se zaštitili od brute force napada. Administratori bi trebali implementirati politike zaključavanja naloga i redovno provjeravati lozinke u Windows okruženjima na slabosti i sigurnosne propuste. Alati poput Specops Password Auditor mogu automatizirati ove procese u velikim IT sistemima.
Napad rječnikom (Dictionary attack)
Kod napada rječnikom, hakeri pokušavaju dobiti pristup koristeći listu uobičajenih lozinki ili riječi iz rječnika. Ove unaprijed definisane liste obično uključuju najčešće korištene riječi, fraze i jednostavne kombinacije (npr. “admin123”). Ovi napadi su posebno opasni protiv slabih ili lako pogađanih lozinki.
Kako funkcioniše
Napad počinje prikupljanjem liste potencijalnih lozinki iz sigurnosnih proboja, javno dostupnih baza podataka ili često korištenih lozinki. Zatim se koristi automatizirani alat koji sistematski testira svaku lozinku iz liste na ciljani sistem ili nalog. Ako se pronađe podudaranje, napadač dobija pristup i može dalje eksploatisati sistem.
Primjeri
Hakeri su koristili napade rječnikom za probijanje šifriranih lozinki u nekoliko poznatih sigurnosnih incidenata, uključujući:
- Yahoo proboj iz 2013. godine, kada su kompromitovani podaci 3 milijarde korisnika
- LinkedIn proboj iz 2012. godine, kada su ukradeni podaci 167 miliona korisnika
Mjere zaštite
Korisnici bi trebali kreirati lozinke koje sadrže kombinaciju slova, brojeva i specijalnih znakova, te izbjegavati uobičajene riječi i fraze. Administratori mogu primijeniti pravila složenosti lozinki kako bi osigurali da svi korisnici koriste sigurne lozinke.
Napad rainbow tablicom (Rainbow table attack)
Napad rainbow tablicom koristi unaprijed izračunate nizove lozinki i njihove heširane vrijednosti kako bi probio lozinke pohranjene u bazi podataka.
Kako funkcioniše
Rainbow tablica se kreira tako što se moguće lozinke prvo heširaju i zatim uparuju s originalnim tekstom. Nakon toga se obrađuju pomoću funkcije redukcije koja ih mapira u nove vrijednosti, stvarajući lanac heširanih vrijednosti. Kada napadači dođu do liste heširanih lozinki, oni mogu izvršiti pretragu unutar rainbow tablice—ako pronađu podudaranje, odgovarajuća lozinka je kompromitovana.
Primjeri
Iako je tehnika soljenja (dodavanje nasumičnih znakova prije heširanja lozinke) smanjila efikasnost napada rainbow tablicom, mnoge lozinke i dalje ostaju nezaštićene. Dodatno, napredak u GPU tehnologiji i jeftinom hardveru uklonio je nekadašnje prepreke vezane za pohranu podataka, što ove napade i dalje čini realnom prijetnjom.
Mjere zaštite
Kao što je ranije spomenuto, soljene lozinke su značajno umanjile efikasnost ovih napada. Organizacije bi trebale koristiti snažne algoritme za heširanje poput bcrypt ili scrypt. Administratori bi trebali redovno ažurirati i rotirati lozinke kako bi umanjili vjerovatnoću podudaranja u rainbow tablicama.
Iako lozinke nisu savršene, složene i dovoljno duge lozinke ostaju prva linija odbrane protiv naprednih tehnika probijanja lozinki. Alati poput Specops Policy mogu pružiti dodatni sloj zaštite tako što kontinuirano skeniraju Active Directory baze podataka i upoređuju ih s bazom od preko 4 milijarde kompromitovanih lozinki.
Izvor:The Hacker News