Использование паролей в аутентификации анахронизм, который мешает пользователям больше, чем злоумышленникам
К сожалению, пароли постоянно подвергаются атакам, поскольку они являются одним из самых простых способов проникновения хакеров в вашу среду. Чтобы лучше понять, как защитить пароли в вашей среде от атак, нужно знать тактику и стратегию злоумышленников, осуществляющих атаки.
Ниже приведены 10 наиболее распространенных атак на пароли и способы их предотвращения, которые могут быть использованы для предотвращения взлома сети и потери важных для человека или бизнеса данных.
- Атака грубой силы
- Атака по словарю
- Распыление паролей
- Вброс учетных данных
- Фишинг
- Атака с использованием кейлоггера
- Социальная инженерия
- Сброс пароля
- Старая добрая кража
- Повторное использование пароля
1. "Брутфорс" или Атака грубой силы
Атака методом "грубой силы" (brut force) - это базовая атака на пароль, осуществляемая хакерами, когда они предпринимают большое количество попыток получить доступ к сети, используя большие списки обычных или скомпрометированных паролей. Даже домашний компьютер "игрового" класса может "угадывать" миллиарды паролей каждую секунду, используя современные мощные процессоры. Он активно пытается угадать пароль для легитимных учетных записей пользователей "методом перебора".
Предотвращение атак методом перебора включает блокировку учетных записей, длину пароля и парольной фразы более 20 символов, блокировку инкрементных паролей и общих шаблонов, а также защиту паролей, пользовательские словари и MFA.
Пример реальной атаки методом перебора - Злоумышленники использовали метод перебора, чтобы получить несанкционированный доступ к учетным записям 19715 пользователей в течение пяти дней и украсть деньги.
2. Атака по словарю
Атака по словарю - это описанный выше метод взлома методом "грубой силы", использующий в качестве источника большие базы данных распространенных паролей, подобно словарю. Она используется для взлома защищенных паролем активов путем ввода каждого слова из словаря и производных от этих слов, известных как leetspeak, а также ранее просочившихся паролей или ключевых фраз. Например, хакеры знают, что пользователи часто заменяют написание слов, используя в качестве замены цифры и символы. Примером может служить пароль P@$$w0rd.
Меры профилактики - длина пароля/пассфразы более 20 символов, блокирование инкрементальных/обычных шаблонов, защита паролей от взлома, пользовательский словарь, MFA.
Атака по словарю была использована 4 января 2009 года хакером, известным только как GMZ, для взлома учетной записи администратора и последующего изменения паролей известных учетных записей, включая избранного президента Барака Обаму, Бритни Спирс и других.
3. "Распыление" паролей
Атака с распылением паролей позволяет избежать обнаружения или блокировки отдельной учетной записи путем подбора одного или двух общих паролей для множества различных учетных записей, сервисов и организаций. Злоумышленники используют этот метод, чтобы избежать порога блокировки учетной записи, который может быть установлен от трех до пяти неправильных попыток, обычно встречающихся во многих организациях.
Предпринимая на одну попытку меньше, чем порог блокировки, злоумышленник может успешно опробовать множество паролей в организации, не будучи остановленным стандартными защитными механизмами Active Directory. Атакующий подбирает пароли, обычно используемые конечными пользователями, математические формулы для угадывания паролей или использует взломанные пароли, которые уже были раскрыты в дампах паролей в Интернете.
Меры профилактики - длина пароля/пассфразы более 20 символов, блокирование инкрементных/обычных шаблонов, защита от взлома пароля, пользовательский словарь, MFA.
Компания Microsoft недавно предупредила о росте числа атак с использованием паролей, проводимых киберпреступниками.
4. Вброс учетных данных
Credential Stuffing - это автоматизированный взлом, когда украденные имена пользователей и комбинации паролей вбрасываются в процесс входа в систему для взлома. Учетные данные могут быть взяты из больших баз данных реальных взломанных учетных записей и паролей, которые (к сожалению) можно легко приобрести в Интернете. С коэффициентом успешности до 2%, на набивателей учетных данных приходится более 90% всего трафика входа в систему на многих крупнейших веб-сайтах мира, а также утечка подержанных данных.
Шаги по предотвращению - блокирование инкрементных/обычных шаблонов, защита паролем/настраиваемый словарь, MFA, блокировка учетных записей.
В ходе расследования, проведенного прокуратурой Нью-Йорка, было обнаружено 1,1 миллиона взломанных учетных записей, использовавшихся для подбора учетных данных в 17 интернет-компаниях.
5. Фишинг
Фишинг - это старая атака, которая используется уже несколько десятилетий. Однако, несмотря на свой возраст, она, на удивление, по-прежнему очень эффективна. Фишинговые атаки направлены на манипулирование людьми с целью заставить их совершить какие-либо действия или разгласить конфиденциальную информацию и обычно осуществляются через электронную почту. Например, злоумышленники маскируются под легитимные организации или службы, чтобы заманить пользователей и заставить их предоставить информацию о счетах.
В других фишинговых письмах используется "тактика запугивания и срочности", чтобы побудить пользователей быстро выдать информацию. В письме может содержаться такая формулировка, как "срочно, ваш аккаунт взломан". Играя на эмоциях конечного пользователя, злоумышленники заставляют пользователей разглашать информацию, когда они думают, что защищают ее. В организациях, где используются личные устройства, киберпреступники могут использовать эту тактику фишинга, чтобы обманом заставить конечных пользователей передать свои корпоративные учетные данные.
Шаги по предотвращению - обучение по вопросам кибербезопасности, MFA, настройка баннеров электронной почты, настройка почтового сервера (DKIM, SPF и т.д.).
Серия фишинговых писем, разосланных сотрудникам Sony, привела к краже более 100 терабайт данных компании, включая недавно выпущенные файлы, финансовые записи и данные клиентов.
6. Атака с использованием кейлоггера
Атака с помощью кейлоггера используется для записи конфиденциальной информации, например, вводимых данных учетной записи. Она может включать как программное, так и аппаратное обеспечение. Например, шпионские программы могут записывать нажатия клавиш, чтобы украсть различные конфиденциальные данные, от паролей до номеров кредитных карт. Если злоумышленник имеет физический доступ к компьютеру конечного пользователя, физическое аппаратное устройство может быть размещено на одной линии с клавиатурой для записи нажатий клавиш.
Шаги по предотвращению - обучение по повышению осведомленности, современная защита от вредоносных программ, защита от вредоносных URL, MFA, блокировка неизвестных USB-устройств, менеджеры паролей, безопасный физический доступ к критически важным средам.
Check Point Research недавно сообщила, что Snake Keylogger впервые вошел в индекс, заняв второе место.
7. Социальная инженерия
Социальная инженерия включает в себя ряд вредоносных действий, направленных на манипулирование людьми с целью заставить их совершить действия или разгласить конфиденциальную информацию, в том числе фишинг, вишинг, социальные сети, приманки и "подсиживание". Например, фишинговые атаки - это форма социальной инженерии, когда злоумышленники обманом заставляют вас предоставить им конфиденциальную информацию, такую как пароли, банковские данные или контроль над вашим компьютером или мобильным устройством.
Социальная инженерия обычно пытается использовать естественные склонности человеческой натуры. Как правило, злоумышленнику гораздо проще обманом заставить вас сообщить свой пароль, чем взломать его другими способами.
Меры профилактики - обучение по повышению осведомленности, безопасные методы MFA, например, не секретные вопросы.
Известная атака с использованием социальной инженерии RSA SecurID в 2011 году состояла из двух разных фишинговых писем, которые убеждали сотрудников открыть документ Excel для установки "бэкдора". Это привело к компрометации токенов RSA SecurID.
8. Сброс пароля
Атака на сброс пароля - это классический метод социальной инженерии для получения доступа к сети, который заключается в звонке в службу поддержки, выдаче себя за другого человека и просьбе ввести новый пароль. Хакеру нужно только убедить сотрудников службы поддержки предоставить ему новый пароль, а не пытаться угадать или взломать его. Это особенно опасно для крупных организаций, где сотрудники службы технической поддержки могут не знать лично всех сотрудников. Это также становится все более распространенным явлением, когда сотрудники переходят к гибридной или полностью удаленной модели - ведь верификация конечного пользователя не так проста, как просто поздороваться лично.
Профилактика - верификация / MFA в справочной службе, обучение по повышению осведомленности, самостоятельный сброс пароля (SSPR) с MFA
MitM-атака со сбросом пароля очень проста и эффективна, как показали результаты нескольких исследований.
9. Старая добрая кража
Списывание паролей - распространенное и очень опасное занятие. Классическая "записка с главным паролем", приклеенная к монитору, может легко превратиться в тотальное нарушение кибербезопасности. Принуждение к усложнению паролей может заставить пользователей записывать их. Использование парольных фраз - лучший вариант для запоминающихся паролей, которые не нужно документировать и оставлять открытыми для посторонних глаз. Если ваши конечные пользователи жонглируют несколькими паролями для критически важных систем, используйте менеджер паролей. Записки на мониторе или столе - это большой минус.
Шаги по предотвращению - обучение, парольные фразы и использование менеджеров паролей
Очень плохая идея: записывать пароли в местах, где их легко могут найти другие.
10. Повторное использование паролей
Повторное использование паролей часто приводит к взлому систем. Исследования показали, что более 70% сотрудников повторно используют пароли на работе. Совместное использование паролей в личных и корпоративных учетных записях делает вашу сеть уязвимой. Если форум любителей, на котором вы зарегистрировались, будет взломан, а вы будете использовать тот же пароль в корпоративном аккаунте, ваш пароль попадет в темную паутину, и корпоративные системы быстро станут уязвимыми.
Шаги по предотвращению - обучение по повышению осведомленности, парольные фразы, менеджеры паролей, защита от взлома паролей, пользовательский словарь, блокирование инкрементальных, повседневных шаблонов.
Повторное использование паролей является одной из основных причин утечки данных.
Бонусный совет: Проверьте свои данные на предмет компрометации
Зарегистрируйтесь в Firefox Monitor. Этот сервис проверки емэйлов на утечку предупредит вас, если ваши данные "засветятся" в случае компрометации, в том числе на веб-сайтах, которым вы и не предоставляли свою персональную информацию, а пользовались быстрым входом с использованием аккаунта соцсети.