Как предотвратить различные типы парольных атак?

Как предотвратить различные типы парольных атак?
Исследования показывают, что мнения пользователей о безопасности паролей не всегда соответствуют "реальной картине".

Многие из нас переоценивают преимущества включения цифр или специальных символов при создании пароля, а также недооценивают масштабные попытки взлома паролей методами перебора или последствия повторного использования пароля.

В данной статье я хочу разобрать самые распространенные парольные атаки, а также рекомендации, которые могут повысить безопасность паролей пользователей в компании.


Атаки с помощью социальной инженерии

Социальная инженерия (в контексте вектора атаки на пароли пользователей) - это целенаправленный метод, успех которого зависит от поведения человека, как злоумышленника, так и атакуемого.

Данная тактика основана на анализе общедоступной информации о пользователе (место проживания, учёбы, дата рождения, кличка любимого питомца и многое другое) и может нанести большой урон, т.к. обычно используются одни и те же учётные данные в разных сервисах. Получение общедоступной информации уменьшает трудозатраты злоумышленника.

Когда Вы забываете пароль, какие методы восстановления вы используете для идентификации личности?

Секретные вопросы (город рождения, девичья фамилия матери и т.д.) и номер мобильного телефона (если же Вы, конечно, его привязали). В большинстве случаев самым распространённым методом являются ответы на секретные вопросы.

В эпоху социальных сетей ответы на них найти легче лёгкого – с применением поиска. Социальная инженерия очень распространена в процессе сброса пароля и часто успешно справляется с вопросами безопасности.

Рекомендации по защите:

Применение средств двухфакторной аутентификации
  • привязка мобильного номера
  • использование приложения генерации одноразовых кодов
Атаки методом брутфорс (от англ. метод «грубой силы»)

Самый распространенный вид атаки, который очень часто используется злоумышленниками. Суть атаки – использование метода проб и ошибок, генерирующего большое количество предположений о пароле, пока не будет найден правильный.

При атаке методом «грубой силы» типы символов в пароле призваны угадать каждый возможный пароль в теоретическом пространстве паролей. Основные типы:
  • Строчная буква (а, б, в);
  • Верхний регистр (A, B, C);
  • Числовой (1, 2, 3);
  • Специальный (! @ ).
В дополнение к типам символов, для увеличения успешности процента атаки должны быть определены другие параметры, в том числе:
  • Тип хэша пароля (MD5, SHA, CRC8 и др.);
  • Минимальная длина пароля;
  • Максимальная длина пароля.
Технический инструмент для атаки (например, Cain and Abel или THC-Hydra) принимает все возможные варианты перестановки выбранных типов символов и генерирует различные комбинации, которые варьируются от минимальной до максимальной длины пароля. С помощью созданных комбинаций символов инструмент вычисляет хеш-сумму для каждого пароля и сравнивает его с хешем пароля, полученным с компьютера или с помощью инициализации процесса авторизации пользователя в том или ином сервисе (например, корпоративный веб-портал). Если появляется совпадение, значит пароль подобран и атака считается успешной.

Рекомендации по защите:

Чтобы противостоять данному методу, пароли пользователей не должны иметь стандартную структуру и быть нелогичны (например, используя механизм парольных фраз: VjqCegth1Gegth2Gfhjkm!@ - фраза «МойСупер1Пупер2Пароль! »). Корпоративные политики паролей должны поддерживать парольные фразы, которые не только сильнее защищают от атак методом брутфорс, но и легче для запоминания пользователями. С помощью какого технического инструмента можно автоматизировать данный процесс создания паролей на основе парольных фраз, читайте здесь


Атаки по словарю

Атака по словарю использует предварительно созданный список паролей, которые с более высокой вероятностью будут правильными при подборе паролей к целевой учётной записи или компьютеру. Такие словари могут состоять из множества различных имен, слов, цифр и т.д., но этим не ограничиваются. Злоумышленники ищут предсказуемые шаблоны в поведении пользователя, в том числе замены символов (например, a - @, s - $ и др.), популярные фразы и композиции. Также, они могут использовать различные словари с иностранными словами и списками, полученные в результате компрометации какого-либо публичного веб-сервиса (учётные данные соц. сетей, банки, новостные порталы).

Механизм атаки по словарю заключается в следующем – специальный программный инструмент циклически перебирает тысячи паролей одновременно, сравнивая хэш каждого потенциального пароля с хешем целевого пароля учётной записи пользователя. Эффективность атаки по словарю зависит от самого словаря – чем тщательнее он был подготовлен и использован в «боевых» условиях, тем выше процент успешности взлома.

Рекомендации по защите:

Как бы это парадоксально не звучало, лучшая защита от атаки по словарю - использование такого словаря в процессе создания пароля. Будущие пароли пользователей должны проверяться по словарю, чтобы исключить возможность выбора паролей, которые были скомпрометированы ранее. Без его применения ответственность ложится на пользователей, при этом с виду надежные пароли могли быть ранее скомпрометированы и использованы во вред. Имена учетных записей и пароли, фигурирующие в одной крупной утечки данных, как правило могут использоваться в других компаниях и различных системах, что создаёт большие риски взлома вашей корпоративной инфраструктуры. Поэтому для защиты от данного типа атак рекомендуем использовать механизм проверки паролей пользователей, как по собственным, так и актуальным словарям, которые обновляются с каждой крупной утечкой корпоративных учетных данных сотрудников различных компаний. Описание одного из вариантов, можете найти здесь .

Изучив основные типы парольных атак, которые могут быть направлены на Вас в рамках получения доступа к конфиденциальным данным компании, Вы сможете более правильно планировать защиту и использовать подход «предупрежден – значит вооружен и уже подготовил ров с крокодилами».

Хорошей обороны!

Автор: Дмитрий Мокреев, инженер по информационной безопасности ГК Axxtel


Наш блог на Яндекс.Дзен
пароли парольная политика администрирование информационная безопасность взлом паролей
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Квантовый кот Шрёдингера ищет хозяина!

Живой, мертвый или в суперпозиции? Узнайте в нашем канале

Откройте коробку любопытства — подпишитесь

ООО «Акстел-Безопасность»

Axxtel - команда экспертов в области информационной безопасности занимающая ведущие позиции в СФО. Мы следим за последними новинками и тенденциями в области информационной безопасности и создаем их. Всегда рады узнать новое и поделиться своим опытом.