Как предотвратить различные типы парольных атак?

Как предотвратить различные типы парольных атак?
Исследования показывают, что мнения пользователей о безопасности паролей не всегда соответствуют "реальной картине".

Многие из нас переоценивают преимущества включения цифр или специальных символов при создании пароля, а также недооценивают масштабные попытки взлома паролей методами перебора или последствия повторного использования пароля.

В данной статье я хочу разобрать самые распространенные парольные атаки, а также рекомендации, которые могут повысить безопасность паролей пользователей в компании.


Атаки с помощью социальной инженерии

Социальная инженерия (в контексте вектора атаки на пароли пользователей) - это целенаправленный метод, успех которого зависит от поведения человека, как злоумышленника, так и атакуемого.

Данная тактика основана на анализе общедоступной информации о пользователе (место проживания, учёбы, дата рождения, кличка любимого питомца и многое другое) и может нанести большой урон, т.к. обычно используются одни и те же учётные данные в разных сервисах. Получение общедоступной информации уменьшает трудозатраты злоумышленника.

Когда Вы забываете пароль, какие методы восстановления вы используете для идентификации личности?

Секретные вопросы (город рождения, девичья фамилия матери и т.д.) и номер мобильного телефона (если же Вы, конечно, его привязали). В большинстве случаев самым распространённым методом являются ответы на секретные вопросы.

В эпоху социальных сетей ответы на них найти легче лёгкого – с применением поиска. Социальная инженерия очень распространена в процессе сброса пароля и часто успешно справляется с вопросами безопасности.

Рекомендации по защите:

Применение средств двухфакторной аутентификации
  • привязка мобильного номера
  • использование приложения генерации одноразовых кодов
Атаки методом брутфорс (от англ. метод «грубой силы»)

Самый распространенный вид атаки, который очень часто используется злоумышленниками. Суть атаки – использование метода проб и ошибок, генерирующего большое количество предположений о пароле, пока не будет найден правильный.

При атаке методом «грубой силы» типы символов в пароле призваны угадать каждый возможный пароль в теоретическом пространстве паролей. Основные типы:
  • Строчная буква (а, б, в);
  • Верхний регистр (A, B, C);
  • Числовой (1, 2, 3);
  • Специальный (! @ ).
В дополнение к типам символов, для увеличения успешности процента атаки должны быть определены другие параметры, в том числе:
  • Тип хэша пароля (MD5, SHA, CRC8 и др.);
  • Минимальная длина пароля;
  • Максимальная длина пароля.
Технический инструмент для атаки (например, Cain and Abel или THC-Hydra) принимает все возможные варианты перестановки выбранных типов символов и генерирует различные комбинации, которые варьируются от минимальной до максимальной длины пароля. С помощью созданных комбинаций символов инструмент вычисляет хеш-сумму для каждого пароля и сравнивает его с хешем пароля, полученным с компьютера или с помощью инициализации процесса авторизации пользователя в том или ином сервисе (например, корпоративный веб-портал). Если появляется совпадение, значит пароль подобран и атака считается успешной.

Рекомендации по защите:

Чтобы противостоять данному методу, пароли пользователей не должны иметь стандартную структуру и быть нелогичны (например, используя механизм парольных фраз: VjqCegth1Gegth2Gfhjkm!@ - фраза «МойСупер1Пупер2Пароль! »). Корпоративные политики паролей должны поддерживать парольные фразы, которые не только сильнее защищают от атак методом брутфорс, но и легче для запоминания пользователями. С помощью какого технического инструмента можно автоматизировать данный процесс создания паролей на основе парольных фраз, читайте здесь


Атаки по словарю

Атака по словарю использует предварительно созданный список паролей, которые с более высокой вероятностью будут правильными при подборе паролей к целевой учётной записи или компьютеру. Такие словари могут состоять из множества различных имен, слов, цифр и т.д., но этим не ограничиваются. Злоумышленники ищут предсказуемые шаблоны в поведении пользователя, в том числе замены символов (например, a - @, s - $ и др.), популярные фразы и композиции. Также, они могут использовать различные словари с иностранными словами и списками, полученные в результате компрометации какого-либо публичного веб-сервиса (учётные данные соц. сетей, банки, новостные порталы).

Механизм атаки по словарю заключается в следующем – специальный программный инструмент циклически перебирает тысячи паролей одновременно, сравнивая хэш каждого потенциального пароля с хешем целевого пароля учётной записи пользователя. Эффективность атаки по словарю зависит от самого словаря – чем тщательнее он был подготовлен и использован в «боевых» условиях, тем выше процент успешности взлома.

Рекомендации по защите:

Как бы это парадоксально не звучало, лучшая защита от атаки по словарю - использование такого словаря в процессе создания пароля. Будущие пароли пользователей должны проверяться по словарю, чтобы исключить возможность выбора паролей, которые были скомпрометированы ранее. Без его применения ответственность ложится на пользователей, при этом с виду надежные пароли могли быть ранее скомпрометированы и использованы во вред. Имена учетных записей и пароли, фигурирующие в одной крупной утечки данных, как правило могут использоваться в других компаниях и различных системах, что создаёт большие риски взлома вашей корпоративной инфраструктуры. Поэтому для защиты от данного типа атак рекомендуем использовать механизм проверки паролей пользователей, как по собственным, так и актуальным словарям, которые обновляются с каждой крупной утечкой корпоративных учетных данных сотрудников различных компаний. Описание одного из вариантов, можете найти здесь .

Изучив основные типы парольных атак, которые могут быть направлены на Вас в рамках получения доступа к конфиденциальным данным компании, Вы сможете более правильно планировать защиту и использовать подход «предупрежден – значит вооружен и уже подготовил ров с крокодилами».

Хорошей обороны!

Автор: Дмитрий Мокреев, инженер по информационной безопасности ГК Axxtel


Наш блог на Яндекс.Дзен
пароли парольная политика администрирование информационная безопасность взлом паролей
Alt text
«Опасное будущее» наступает очень быстро, поэтому мы решили еженедельно мониторить поток новостей. Cмотрите обзор на нашем Youtube канале.  

ООО «Акстел-Безопасность»

Axxtel - команда экспертов в области информационной безопасности занимающая ведущие позиции в СФО. Мы следим за последними новинками и тенденциями в области информационной безопасности и создаем их. Всегда рады узнать новое и поделиться своим опытом.