Многие из нас переоценивают преимущества включения цифр или специальных символов при создании пароля, а также недооценивают масштабные попытки взлома паролей методами перебора или последствия повторного использования пароля.
В данной статье я хочу разобрать самые распространенные парольные атаки, а также рекомендации, которые могут повысить безопасность паролей пользователей в компании.
Атаки с помощью социальной инженерии
Социальная инженерия (в контексте вектора атаки на пароли пользователей) - это целенаправленный метод, успех которого зависит от поведения человека, как злоумышленника, так и атакуемого.
Данная тактика основана на анализе общедоступной информации о пользователе (место проживания, учёбы, дата рождения, кличка любимого питомца и многое другое) и может нанести большой урон, т.к. обычно используются одни и те же учётные данные в разных сервисах. Получение общедоступной информации уменьшает трудозатраты злоумышленника.
Когда Вы забываете пароль, какие методы восстановления вы используете для идентификации личности?
Секретные вопросы (город рождения, девичья фамилия матери и т.д.) и номер мобильного телефона (если же Вы, конечно, его привязали). В большинстве случаев самым распространённым методом являются ответы на секретные вопросы.
В эпоху социальных сетей ответы на них найти легче лёгкого – с применением поиска. Социальная инженерия очень распространена в процессе сброса пароля и часто успешно справляется с вопросами безопасности.
Рекомендации по защите:
Применение средств двухфакторной аутентификации
- привязка мобильного номера
- использование приложения генерации одноразовых кодов
Самый распространенный вид атаки, который очень часто используется злоумышленниками. Суть атаки – использование метода проб и ошибок, генерирующего большое количество предположений о пароле, пока не будет найден правильный.
При атаке методом «грубой силы» типы символов в пароле призваны угадать каждый возможный пароль в теоретическом пространстве паролей. Основные типы:
- Строчная буква (а, б, в);
- Верхний регистр (A, B, C);
- Числовой (1, 2, 3);
- Специальный (! @ ).
- Тип хэша пароля (MD5, SHA, CRC8 и др.);
- Минимальная длина пароля;
- Максимальная длина пароля.
Рекомендации по защите:
Чтобы противостоять данному методу, пароли пользователей не должны иметь стандартную структуру и быть нелогичны (например, используя механизм парольных фраз: VjqCegth1Gegth2Gfhjkm!@ - фраза «МойСупер1Пупер2Пароль! »). Корпоративные политики паролей должны поддерживать парольные фразы, которые не только сильнее защищают от атак методом брутфорс, но и легче для запоминания пользователями. С помощью какого технического инструмента можно автоматизировать данный процесс создания паролей на основе парольных фраз, читайте
Атаки по словарю
Атака по словарю использует предварительно созданный список паролей, которые с более высокой вероятностью будут правильными при подборе паролей к целевой учётной записи или компьютеру. Такие словари могут состоять из множества различных имен, слов, цифр и т.д., но этим не ограничиваются. Злоумышленники ищут предсказуемые шаблоны в поведении пользователя, в том числе замены символов (например, a - @, s - $ и др.), популярные фразы и композиции. Также, они могут использовать различные словари с иностранными словами и списками, полученные в результате компрометации какого-либо публичного веб-сервиса (учётные данные соц. сетей, банки, новостные порталы).
Механизм атаки по словарю заключается в следующем – специальный программный инструмент циклически перебирает тысячи паролей одновременно, сравнивая хэш каждого потенциального пароля с хешем целевого пароля учётной записи пользователя. Эффективность атаки по словарю зависит от самого словаря – чем тщательнее он был подготовлен и использован в «боевых» условиях, тем выше процент успешности взлома.
Рекомендации по защите:
Как бы это парадоксально не звучало, лучшая защита от атаки по словарю - использование такого словаря в процессе создания пароля. Будущие пароли пользователей должны проверяться по словарю, чтобы исключить возможность выбора паролей, которые были скомпрометированы ранее. Без его применения ответственность ложится на пользователей, при этом с виду надежные пароли могли быть ранее скомпрометированы и использованы во вред. Имена учетных записей и пароли, фигурирующие в одной крупной утечки данных, как правило могут использоваться в других компаниях и различных системах, что создаёт большие риски взлома вашей корпоративной инфраструктуры. Поэтому для защиты от данного типа атак рекомендуем использовать механизм проверки паролей пользователей, как по собственным, так и актуальным словарям, которые обновляются с каждой крупной утечкой корпоративных учетных данных сотрудников различных компаний. Описание одного из вариантов, можете найти .
Изучив основные типы парольных атак, которые могут быть направлены на Вас в рамках получения доступа к конфиденциальным данным компании, Вы сможете более правильно планировать защиту и использовать подход «предупрежден – значит вооружен и уже подготовил ров с крокодилами».
Хорошей обороны!
Автор: Дмитрий Мокреев, инженер по информационной безопасности
