Найти тему
ITShaman

Длинные пароли не защищены от подбора хакеров

По данным Specops Software, 88% организаций по-прежнему используют пароли в качестве основного метода аутентификации.

В отчете обнаружено, что 31,1 млн взломанных паролей содержат более 16 символов, что свидетельствует о том, что длинные пароли не защищены от взлома. Было обнаружено, что 40 000 учетных записей портала администратора используют в качестве пароля admin, и только 50% организаций проверяют взломанные пароли чаще одного раза в месяц.

123456 был самым распространенным взломанным паролем в новом списке взломанных учетных данных облачных приложений, составленном компанией KrakenLab. Также были распространены такие простые пароли, как Pass@123 и P@ssw0rd, которые прошли бы основные встроенные правила Active Directory, что подчеркивает повышенный риск повторного использования паролей для организаций, не внедривших строгий контроль паролей.

Значительная часть киберпреступлений по-прежнему сосредоточена на паролях: краже учетных данных, их продаже и использовании в качестве начальной точки доступа для взлома организаций. По оценкам Verizon, кража учетных данных происходит в 44,7% всех случаев утечки данных, и мы знаем, что существует процветающий подпольный рынок краденых данных и учетных данных.

Три способа использования хакерами слабых паролей

Атака по словарю

Хакеры используют предопределенные «словарные списки» вероятных вариантов для угадывания паролей или ключей дешифрования. Они могут варьироваться от часто используемых паролей и общих фраз до общепринятых терминов в определенных отраслях, используя человеческую тенденцию выбирать простоту и привычность при создании паролей.

Хакеры используют социальные сети для сбора информации о конкретных пользователях и их организациях, получая сведения о потенциальных именах пользователей и паролях, которые они могут выбрать. Конечно, многие конечные пользователи добавляют хотя бы небольшое количество вариаций в эти термины, поэтому на помощь приходят методы грубой силы (брутфорс).

Атака грубой силы (брутфорс)

Атаки грубой силы используют программное обеспечение для перебора всех возможных комбинаций символов, пока не будет найден правильный пароль или ключ дешифрования. Хотя это может показаться трудоемким, такой метод может быть очень эффективным против более коротких или менее сложных паролей, особенно если для начала использовать общие базовые термины из словарных списков. Такое сочетание методов известно как гибридная атака.

Например, password может быть базовым термином из словарного списка. При атаке методом грубой силы будут перепробованы все последующие вариации, такие как password, Password, Password1, Password! и т. д. Это позволяет использовать распространенные вариации слабых базовых терминов, чтобы удовлетворить требования организации по сложности.

Атака по маске

Атака по маске – это разновидность брутфорса, когда злоумышленники знают элементы распространенных конструкций паролей и могут сократить количество угадываний, необходимых для правильного подбора. Например, злоумышленник может знать, что многие пароли состоят из восьми символов, начинаются с заглавной буквы и заканчиваются несколькими знаками препинания, например Welcome1!. Поэтому он может пробовать только те комбинации, которые соответствуют этому шаблону, что сократит количество паролей, которые нужно угадать.

Кроме того, они могут знать, что определенная компания придерживается плохой политики, например, добавляет текущий месяц и год в конец пароля при его ротации. Наличие любой информации о составе пароля может значительно ускорить его перебор.

Угроза, которую представляют собой клавиатурные ходы в защите паролей

На первый взгляд может показаться, что asdfghjkl – это случайный базовый термин для пароля. Однако это известно как «хождение по клавиатуре», когда символы располагаются рядом друг с другом на клавиатуре. Люди выбирают такие «хождения пальцев» в качестве паролей, поскольку их быстро набирать и легко запомнить, глядя на клавиатуру.

Хотя вывод не является настоящим словом, хакеры знают, что нужно использовать эти распространенные шаблоны в своих словарях и атаках методом грубой силы.

Наиболее часто используемым шаблоном клавиатурной раскладки был Qwerty, который встречался в списке взломанных паролей Specops Software более 1 миллиона раз. За ним следовали такие вариации, как qwert и werty, а также шаблоны, характерные для различных раскладок клавиатуры например Azerty. Это служит напоминанием организациям о том, что необходимо блокировать все виды предсказуемого поведения паролей, а не только обычные слова.

Каждая учетная запись имеет значение

Опытные хакеры могут повысить привилегии обычной учетной записи пользователя, поэтому все учетные записи стоит защищать. Тем не менее, существующие учетные записи администраторов уже являются так называемыми «ключами от королевства» благодаря уровню доступа, который они имеют без необходимости повышения привилегий.

Скомпрометировать учетную запись администратора – мечта хакера, так как после получения первоначального доступа к организации у него будет больше возможностей.

Привилегированные пользователи – золотая мишень для хакеров. Надежные, уникальные пароли необходимы для каждой учетной записи, но особенно для тех, которые имеют доступ к важным ресурсам. Важно иметь политику паролей, которая не позволяет конечным пользователям создавать слабые пароли. Но даже надежные пароли могут быть скомпрометированы в результате утечки данных, фишинга и повторного использования пароля.

Рекомендуется использовать более длинные пароли, поскольку их сложнее угадать и взломать с помощью грубой силы и гибридных атак по словарю.

Пароль по-прежнему является проблемой для ИТ-команд и слабым местом в стратегии кибербезопасности многих организаций
- говорит Даррен Джеймс, старший менеджер по продукции Specops Software

Подробнее