Hur man skyddar mot lösenordsattacker för lösenord

0
147
Contimis Works/Shutterstock.com < /figure>

Ordboksangrepp hotar säkerheten för dina nätverk och plattformar. De försöker kompromissa med ett användarkonto genom att skapa ett matchande lösenord. Lär dig hur de fungerar och hur du slår dem.

Dictionary Attacks

Användarkonton på datorsystem, webbplatser och värdtjänster måste skyddas från obehörig åtkomst. Användarautentisering är det vanligaste sättet att göra detta. Användare ges ett unikt användar -ID — för onlinekonton, detta är vanligtvis deras e -postadress — och ett lösenord. Dessa två bitar av information måste tillhandahållas, kontrolleras och verifieras innan användaren kan komma åt kontot.

RELATERAD Problemet med lösenord är människor

Ordboksattacker är en familj av cyberattacker som delar en gemensam attackteknik. De använder långa listor — ibland hela databaser – med ord och en bit programvara. Programvaran läser varje ord från listan i tur och ordning och försöker använda det som lösenord för det konto som attackeras. Om ett av orden i listan matchar det äkta lösenordet äventyras kontot.

Dessa attacker skiljer sig från den mer primitiva attacken med brutal kraft. Brute-force-attacker provar slumpmässiga kombinationer av bokstäver och tecken i hopp om att de snubblar över lösenordet av en slump och lycka till. Dessa attacker är ineffektiva. De är tidskrävande och beräkningskrävande.

Ansträngningen som krävs för att knäcka ett lösenord stiger kraftigt för varje extra bokstav du lägger till i ditt lösenord. Det finns storleksordningar fler kombinationer i ett lösenord med åtta tecken än i ett lösenord med fem tecken. Det finns ingen garanti för att en brutal kraftattack någonsin kommer att lyckas. Men med ordboksattacker, om en av posterna i listan matchar ditt lösenord, kommer attacken så småningom att lyckas.

Annonsering

Naturligtvis kommer de flesta företagsnätverk att tillämpa automatiska spärrar efter ett visst antal misslyckade åtkomstförsök. Mycket ofta trots att hotaktörerna börjar med företagets webbplatser, som ofta har mindre strikta kontroller på åtkomstförsök. Och om de får tillgång till webbplatsen kan de prova dessa uppgifter i företagsnätverket. Om användaren har återanvänt samma lösenord finns hotaktörerna nu i ditt företagsnätverk. I de flesta fall är inte webbplatsen eller portalen det riktiga målet. Det är ett iscensättande inlägg på väg till hotaktörens faktiska pris, företagsnätverket

Genom att få tillgång till webbplatsen kan hotaktörer injicera skadlig kod som övervakar inloggningsförsök och registrerar användar -ID och lösenord. Den kommer antingen att skicka informationen till hotaktörerna eller logga in den tills de återvänder till webbplatsen för att samla in den.

RELATED: How to Use Pass, a Command- Line Password Manager för Linux-system

Inte bara ord i en fil

De tidigaste ordboken attacker var just det. De använde ord från ordboken. Det är därför “ aldrig använda ett ordbok ” var en del av vägledningen för att välja ett starkt lösenord.

RELATED < /strong> Varför obligatoriska lösenordsutgångar inte gör mening längre

Att ignorera detta råd och välja ett ord i alla fall och sedan lägga till en siffra i det så att det inte matchade ett ord i ordboken är lika dåligt. Hotaktörerna som skriver ordboken attackprogramvara är kloka på detta. De utvecklade en ny teknik som försöker varje ord från listan, många gånger. För varje försök läggs några siffror till i slutet av ordet. Detta beror på att människor ofta använder ett ord och lägger till en siffra som 1, sedan 2 och så vidare, varje gång de måste byta lösenord.

Ibland lägger de till ett två- eller fyrsiffrigt tal för att representera ett år. Det kan representera en födelsedag, årsdag, året ditt lag vann cupen eller någon annan viktig händelse. Eftersom människor använder sina barns namn eller andra betydelsefulla som lösenord har ordlistorna utökats till att inkludera manliga och kvinnliga namn.

Och mjukvaran utvecklades igen. Scheman som ersätter siffror med bokstäver, till exempel 1 för “ i &#8221 ;, 3 för “ e &#8221 ;, 5 för “ s &#8221 ;, och så vidare lägger ingen betydande komplexitet till ditt lösenord. Programvaran känner till konventionerna och fungerar också genom dessa kombinationer.

Annonsering

Numera används alla dessa tekniker fortfarande, tillsammans med andra listor som inte innehåller vanliga ordlistor. De innehåller faktiska lösenord.

Var listorna över lösenord kommer ifrån

Den välkända Have I Been Pwned-webbplatsen lagrar en sökbar samling med över 10 miljarder komprometterade konton. Varje gång det inträffar ett dataintrång, försöker webbplatsens underhållare att få informationen. Om de lyckas skaffa det lägger de till det i sina databaser.

RELATERAD Så här kontrollerar du om personalens e -postmeddelanden finns i dataintrång

Du kan fritt söka i deras e -postadressdatabas. Om din e -postadress finns i databasen får du veta vilket dataintrång läckte ut din information. Till exempel hittade jag en av mina gamla e -postadresser i Have I Been Pwned -databasen. Det läckte ut vid ett 2016 -brott mot LinkedIn -webbplatsen. Det betyder att mitt lösenord för den webbplatsen också skulle ha brutits. Men eftersom alla mina lösenord är unika var det bara att byta lösenord för den här webbplatsen.

Have I Been Pwned har en separat databas för lösenord. Av uppenbara skäl kan du inte matcha e -postadresser med lösenord på Have I Been Pwned -webbplatsen. Om du söker efter ditt lösenord och hittar det i listan betyder det inte nödvändigtvis att lösenordet kom från ett av dina konton. Med 10 miljarder kränkta konton kommer det att dupliceras poster. Den intressanta punkten är att du får veta hur populärt det lösenordet är. Trodde du att dina lösenord var unika? Förmodligen inte.

Men om lösenordet i databasen kom från ett av dina konton eller inte, om det finns på Have I Been Pwned -webbplatsen kommer det att vara lösenordslistor som används av hotaktörerna ’ attackprogramvara. Det spelar ingen roll hur dumt eller dunkelt ditt lösenord är. Om det finns i lösenordslistan kan det inte förlita sig på det, så ändra det omedelbart.

RELATERAT: Har du blivit hackad? 10 indikatorer som säger ja

Varianter av lösenord-gissningsattacker

Även med relativt lågpanna attacker som ordbokattacker kan angriparen använda några enkla undersökningar för att försöka göra programvarans jobb enklare.

Annonsering

Till exempel kan de registrera sig eller delvis registrera sig på webbplatsen de vill attackera. De kommer då att kunna se reglerna för lösenordskomplexitet för den webbplatsen. Om minsta längd är åtta tecken kan programvaran ställas in så att den börjar med strängar om åtta tecken. Det är ingen idé att testa alla strängarna med fyra, fem, sex och sju tecken. Om det finns otillåtna tecken kan de tas bort från “ alfabetet ” som programvaran kan använda.

Här är en kort beskrivning av olika typer av listbaserade attacker.

  • Traditionell brutal kraftattack : Egentligen är detta inte en listbaserad attack. Ett dedikerat, specialskrivet programpaket genererar alla kombinationer av bokstäver, siffror och andra tecken som skiljetecken och symboler, i successivt längre strängar. Det försöker var och en som lösenordet på kontot som attackeras. Om det råkar generera en kombination av tecken som matchar lösenordet för kontot som attackeras, äventyras det kontot.
  • Dictionary Attack : Ett dedikerat, specialskrivet programpaket tar ett ord i taget från en lista med ordlistor och försöker dem som lösenord mot kontot som attackeras. Transformationer kan tillämpas på ordboken, till exempel att lägga till siffror i dem och ersätta siffror med bokstäver.
  • Lösenordsuppslagattack : Liknar en ordbokattack, men ordlistorna innehåller faktiska lösenord. Automatiserad programvara läser ett lösenord åt gången från en enorm lista med lösenord som samlats in från dataintrång.
  • Intelligent Password Look-Up Attack : Som en lösenordsattack, men transformationer av varje lösenord försöks såväl som “ naken ” Lösenord. Transformationerna efterliknar vanliga lösenordstrick, till exempel att byta vokaler mot siffror.
  • API Attack : Istället för att försöka knäcka ett användares konto använder dessa attacker programvara för att generera teckensträngar som de hoppas kommer att matcha en användares nyckel för ett programprogrammeringsgränssnitt. Om de kan få åtkomst till API: et kan de kanske utnyttja det för att exfiltrera känslig information eller intellektuell upphovsrätt.

Ett ord om lösenord < /h2> RELATERAD Hur man skapar ett starkt lösenord (och kom ihåg Det)

Lösenord ska vara robusta, unika och inte relaterade till något som kan upptäckas eller härledas om dig, till exempel barns namn. Lösenord är bättre än lösenord. Tre orelaterade ord som sammanfogas med vissa skiljetecken är en mycket stark mall för ett lösenord. Kontraintuitivt använder lösenord ofta ordlistor och vi har alltid blivit varnade för att inte använda ord i lösenord. Men att kombinera dem på detta sätt skapar ett mycket svårt problem för attackprogramvaran att lösa.

Vi kan använda webbplatsen How Secure Is my Password för att testa styrkan i våra lösenord.

  • cloudsavvyit : Beräknad tid att spricka: tre veckor.

    • < li> cl0uds4vvy1t : Beräknad tid för sprickbildning: tre år.

  • trettio.feather.girder : Beräknad tid för sprickbildning: 41 kvadriljoner år!

Och glöm inte den gyllene regeln. Lösenord får bara användas på ett system eller en webbplats. De får aldrig användas på mer än ett ställe. Om du använder lösenord i mer än ett system och ett av dessa system bryts, riskerar alla webbplatser och system som du har använt det lösenordet på eftersom ditt lösenord kommer att finnas i hotaktörerna ’ händer — och i deras lösenordslistor. Huruvida ditt lösenord tar 41 kvadrilljoner år att knäcka eller inte, om det finns i deras lösenordslistor är spricktiden helt irrelevant.

Om du har för många lösenord att komma ihåg, använd en lösenordshanterare .

RELATERAD: Varför du bör använda en lösenordshanterare och hur du kommer igång

Så skyddar du mot brutal kraftattack < /h2>

En skiktad defensiv strategi är alltid bäst. Ingen enda defensiv åtgärd kommer att göra dig immun mot ordbokattacker, men det finns ett antal åtgärder som du kan överväga som kommer att komplettera varandra och kraftigt minska risken för att du är mottagliga för dessa attacker.

  • Aktivera multifaktorautentisering där det är möjligt. Detta tar med sig något fysiskt som användaren äger — som en mobiltelefon eller en USB -nyckel eller fob — in i ekvationen. Information som skickas till en app på telefonen eller information i fob eller USB -nyckel ingår i autentiseringsprocessen. Användar -ID och lösenord i sig är inte tillräckligt för att få åtkomst till systemet.
  • Använd robusta lösenord och lösenfraser som är unika och lagras säkert i en krypterad form.
  • Skapa och rulla ut en lösenordspolicy som styr användning, skydd av och acceptabel formulering av lösenord. Presentera det för all personal och gör det obligatoriskt.
  • Begränsa inloggningsförsök till ett lågt antal. Antingen låser du kontot när antalet misslyckade försök har uppnåtts, eller låser det och tvingar fram ett lösenord.
  • Aktivera captchas eller andra sekundära, bildbaserade autentiseringssteg. Dessa är avsedda att stoppa bots och lösenordsprogramvara eftersom en människa måste tolka bilden.
  • Överväg att använda en lösenordshanterare . En lösenordshanterare kan generera komplexa lösenord åt dig. Det kommer ihåg vilket lösenord som följer med vilket konto så du behöver inte. En lösenordshanterare är det enklaste sättet att ha gjutjärn, unika lösenord för varje konto du behöver hålla reda på.

RELATED: Använda 2FA? Bra. Men det är inte ofelbart