Злом паролів – одна з найпоширеніших кіберзагроз, яка загрожує як окремим користувачам, так і великим організаціям. Зловмисники використовують різні методи, щоб отримати доступ до конфіденційної інформації, зокрема brute force, атаки за словником, розпилення паролів та використання викрадених облікових даних. У цій статті ми розглянемо основні техніки злому паролів, їхню ефективність та заходи захисту, які допоможуть мінімізувати ризики.
У атаках злому паролів (password-cracking) зловмисники використовують програмне забезпечення для підбору або відновлення паролів, а потім застосовують їх для отримання доступу до захищених ресурсів. Такі атаки значно поширилися останніми роками, створюючи загрозу для організацій і окремих осіб у всьому світі.
У статті ми розглянемо різні типів атак злому паролів і причин їхньої поширеності.
Злом паролів виконується двома основними способами:
Злам паорля онлайн
Злам пароля офлайн
Online атака
Онлайн-злам паролів означає атаку на онлайн-сервіси, такі як системи входу на вебсайти, електронну пошту, сервіси віддаленого керування (SSH, RDP), файлові сервери (SMB, FTP) та інші.
Цей метод передбачає атаку через інтерфейси входу, призначені для легітимних користувачів, шляхом підбору облікових даних.
Це стосується будь-якого сервісу з автентифікацією:
Вебсайти
FTP сервіси
Email сервіси
VPN
SMB сервіси
Domain сервіси
SSH сервіси
RDP сервіси
Будь-які інші системи з автентифікацією
Основний спосіб виконання онлайн-злому паролів — використання списків паролів і імен користувачів для спроб входу. Наприклад, атакуючий може намагатися увійти під ім'ям "admin" і використовувати паролі "123123", "123456712345678". Якщо один із паролів виявиться правильним, спроба зламу буде успішною.
Offline атака
Offline злам паролів — це спроба зламу криптографічних хешів паролів. Такі хеші використовуються в операційних системах (Linux, Windows), базах даних (MySQL, MongoDB) та у файлах із паролем (PDF, архіви).
У той час як будь-хто може виконати атаку, ефективність офлайн-злому паролів сильно залежить від потужності процесора (CPU) і відеокарти (GPU) атакуючого. Чим вони потужніші, тим швидше відбувається підбір.
Офлайн-злам паролів базується на відновленні пароля з хешу, отриманого заздалегідь. Сучасні системи зберігають паролі у вигляді хешів, створених за допомогою алгоритму хешування.
Як це впливає на злом паролів?
Функція хешування є односторонньою і взаємно однозначною. Це означає, що отримати вихідні дані з хешу математично неможливо, але одні й ті ж вихідні дані завжди дадуть однакові дані на виході – тобто одинаковий хеш. Будь-яка мінімальна зміна вихідних даних змінює хеш повністю.
Як атакуючі можуть зламати його?
Атакуючі визначають алгоритм хешування, який використовується у системі (зазвичай за певними ознаками у рядку хешу), а потім створюють таблицю (rainbow table) з попередньо згенерованими хешами від великої кількості паролів. Порівнюючи хеші, атакуючі можуть знайти відповідний пароль.
Типи атак злому пароля
Brute Force - перебір всіх можливих комбінацій символів
Атака за словником (Dictionary Attack) – підбір паролів зі списку
Botnet атака - використання великої кількості пристроїв для підвищення ефективності атак
Розпилення паролів (Password Spraying) - атака на багато акаунтів одночасно
Атака з обліковими даними (Credential Stuffing) - використання викрадених облікових даних з попередніх витоків.
Brute Force
Brute Force атака здійснюється шляхом перебору всіх можливих комбінацій символів будь-якої довжини, поки не буде отримано позитивний результат. Хоча brute force є найвідомішою технікою злому паролів, на практиці вона найменш ефективна у повсякденному використанні.
Для проведення brute force атаки атакуючий визначає можливі паролі за допомогою певних параметрів. Найчастіше паролі не мають обмежень. Наприклад, якщо паролі обмежені чотиризначним числом, можливі варіанти будуть: 0000, 0001, 0002 ... 0999.
Кількість можливих паролів експоненційно зростає зі збільшенням їхньої довжини. Наприклад, стандартний восьмисимвольний пароль без обмежень на типи символів може містити 10 цифр, 26 малих літер, 26 великих літер і 33 спеціальні символи. Це дає загальну кількість комбінацій 95^8, що перевищує 6,63 квадрильйона можливих паролів.
Через таку велику кількість комбінацій brute force атаки практично неможливо застосовувати до онлайн-сервісів, оскільки більшість з них блокують користувачів після певної кількості спроб авторизації. З урахуванням мережевої пропускної здатності та затримки середня швидкість онлайн-злому паролів зазвичай обмежується кількома сотнями спроб на секунду.
Через ці обмеження brute force атаки майже виключно використовуються для офлайн-злому паролів, де єдиним обмежувальним фактором є обчислювальна потужність. Потужні комп'ютери можуть підбирати сотні мільйонів паролів за хвилину. Середній розрахунковий час злому восьмисимвольного пароля методом brute force в офлайн-середовищі становить приблизно вісім годин.
Атака за словнком (Dictionary Attack)
Атака за допомогою словника часто плутається з атакою методом повного перебору через їхню схожість. В обох атаках зловмисник "вгадує" паролі, поки не отримає позитивну відповідь. Однак, на відміну від методу повного перебору, коли охоплюються всі можливі варіанти, атаки за допомогою словника використовують спеціально підібрані списки паролів. Це значно обмежує кількість можливих варіантів і часто підвищує ймовірність успіху в короткостроковій перспективі.
Для цієї атаки зловмисник має створити або вибрати список паролів. Існує два основні типи списків, які використовуються:
Популярні паролі – Існує багато публічно доступних списків найбільш популярних паролів. Один з таких списків – "rockyou.txt", що містить понад 14 мільйонів паролів, які були витічені з онлайн-бази даних багато років тому. Ці списки мають високу ймовірність успіху через схильність користувачів повторно використовувати старі та прості паролі.
Персоналізовані списки – Коли зловмисник має доступ до особистої інформації цільового користувача, він може використовувати інструменти, такі як CUPP py, для генерації списку паролів на основі таких деталей, як дата народження, ім'я, домашні тварини, домашня адреса тощо. Це створює персоналізований список паролів із хорошим рівнем успіху, оскільки люди часто використовують особисту інформацію в паролях. Наприклад, користувач на ім'я "Борис Кац" з датою народження 11.10.1992 може використовувати пароль, як-от "BK111092!".
Після вибору списку паролів зловмисник продовжує дію в аналогічний спосіб, як при методі повного перебору, але через значно меншу кількість паролів ця атака є ефективною як при онлайн, так і при офлайн зламі паролів.
Botnet атака
Використання ботнету для зламу паролів означає використання великої кількості мережевих хостів, зазвичай контрольованих за допомогою шкідливого програмного забезпечення та експлуатації вразливостей, для посилення інших методів зламу паролів, додаючи додаткову обчислювальну потужність до атак.
Хоча злам паролів за допомогою ботнету не є окремим типом атаки від інших методів зламу паролів, це важливий термін, з яким слід бути ознайомленим. Використання ботнетів дозволяє збільшити швидкість зламу, забезпечує кращу варіацію IP-адрес і ускладнює виявлення атаки.
Розпилення паролів (Password Spraying)
Атака «password spraying» — це тип атаки, який використовує схильність людей до використання загальних паролів (наприклад, "123456"). Ідея цієї атаки полягає в тому, щоб атакувати багато акаунтів одночасно з надією отримати доступ хоча б до деяких з них.
Для цієї атаки зловмисник потребує список імен користувачів, часто це просто популярний список або список електронних адрес, а також короткий список загальновживаних паролів. Зловмисник використовує програмне забезпечення для спроби входу в акаунти за допомогою цього списку паролів. Це часто обходить захист, такі як максимальна кількість спроб.
Атака з обліковими даними (Credential Stuffing)
Атака з обліковими даними (credential stuffing attack) — це тип атаки, який використовує існуючі витоки даних з інших сервісів. Це експлуатує схильність людей використовувати однакові паролі та часто однакові імена користувачів/електронні адреси для всіх своїх акаунтів.
Зловмисник спочатку отримує набір логін/пароль з витоку даних; ці набори часто продаються у Gray та Dark Web (частина мережі яка не індексується загальновживаними пошуковими системами). Після цього зловмисник отримує список популярних сервісів, таких як Facebook, Gmail тощо, і намагається увійти в акаунти, використовуючи ці облікові дані з витоку.
Заходи захисту
Є кілька практик, які повинні бути впроваджені для кращого захисту від загрозливих атак на паролі, як онлайн, так і офлайн. Існує два основних типи методів, які слід застосовувати:
Особисті заходи захисту
Методи на рівні інфраструктури
Особисті методи включають використання надійних, унікальних паролів для кожного облікового запису, застосування двофакторної автентифікації та регулярну зміну паролів. Інфраструктурні методи зосереджуються на впровадженні відповідних політик безпеки, таких як обмеження кількості спроб введення пароля, використання засобів моніторингу та захисту від ботнетів, а також впровадження шифрування паролів на серверному рівні.
Особисті заходи захисту
Особисті заходи захисту повинні бути впроваджені користувачами для кращого захисту своїх облікових записів. Ці заходи можуть бути також зобов'язуючими з боку організації.
Довжина пароля – Чим довший пароль, тим менш імовірно, що його, оскільки це експоненційно збільшує кількість комбінацій пароля.
Складність пароля – Часто встановлюються різноманітні обмеження на кількість символів, типи символів тощо, що може бути небезпечним, якщо ці вимоги не виконуються продумано. Чим більше умов накладається на пароль, тим більше ймовірно, що користувачі виберуть простий пароль, який ледве відповідає усім вимогам. Саме так стають популярними паролі на кшталт "Aal 23123!", оскільки вони містять велику і малу літери, цифри, але лише з послідовністю з трьох цифр та спеціальним символом. Тому пасфрази є кращим вибором.
Пасфрази (Passphrases) – Ефективність використання пасфраз замість паролів. Пасфраза — це рядок слів, який використовується для доступу до ресурсу, захищеного паролем. Найбільші переваги пасфраз полягають у простоті збільшення довжини пароля та легкості запам'ятовування в порівнянні з паролями, зберігаючи при цьому їх складність та витонченість.
Інфраструктурні заходи захисту
Інфраструктурні заходи захисту зазвичай вбудовуються в системи захисту та забезпечуються на рівні політик безпеки.
Блокування спроб – Цей метод є ефективним лише при атаках на паролі онлайн. Він полягає в блокуванні облікових записів або IP-адрес користувачів, які перевищують певну кількість спроб входу. У разі блокування IP-адрес, хоча це і уповільнює атаки, зловмисники все одно можуть змінювати свої IP-адреси, використовуючи безліч можливостей маскування після кожного блокування. У разі блокування користувачів, це робить сервіс вразливим до атаки типу «відмова в обслуговуванні» (DoS), яка спричить блокування користувачів сервісу.
Двофакторна автентифікація (MFA) – Цей метод ефективний лише при онлайн-атаках на паролі. MFA вимагає від користувача ввести ще один параметр даних, який зазвичай генерується через мобільний телефон. Це значно ускладнює вгадування пароля, оскільки кожна спроба входу потребує також введення MFA-коду, який теж треба вгадати. Це не тільки збільшує час для зламу, але й підвищує ймовірність помилки, адже під час кожної спроби виникає питання, чи неправильний сам пароль, чи код MFA.
Висновок
Злом паролів залишається однією з найбільших загроз для безпеки в інтернеті. Використання різноманітних методів, таких як brute force, атаки за словником, botnet-атаки, розпилення паролів та атак з викраденими обліковими даними, робить паролі вразливими навіть за наявності базових засобів захисту. Для зменшення ризиків і підвищення безпеки необхідно використовувати як особисті, так і інфраструктурні заходи захисту. Рекомендується створювати складні та унікальні паролі, застосовувати двофакторну автентифікацію, а також впроваджувати заходи для захисту на рівні організаційної інфраструктури, включаючи обмеження спроб входу та використання шифрування паролів. Індивідуальні заходи захисту, такі як використання пасфраз замість звичайних паролів, можуть значно знизити ймовірність успішного злому. Враховуючи зростаючу кількість атак, кожен користувач та організація повинні серйозно поставитися до заходів захисту своїх облікових записів.
Comments