Współczesne organizacje są stale narażone na coraz częstsze ataki cyberprzestępców, w wyniku których mogą stracić poufne dane i ponieść ogromne straty finansowe i wizerunkowe. Nie od dziś wiadomo, że najsłabszym ogniwem w każdym systemie zabezpieczeń jest człowiek, a każde hasło może zostać złamane… Hasła są niezwykle cenne, ale też podatne na ataki i dlatego tak często stają się celem dla cyberprzestępców. Różne są też techniki wykorzystywane przez hakerów w celu zdobycia haseł.
Najczęściej spotykane techniki i metody ataków na hasła:
- Inżynieria społeczna (ang. social engineering)
Metody ataków wykorzystujące inżynierię społeczną (zwaną również socjotechniką) opierają się przede wszystkim na wykorzystywaniu mechanizmów psychologicznych do wyłudzenia poufnych informacji. Cyberprzestępcy starają się oszukać ofiarę, np. błędnie przekierowując użytkowników do złośliwych witryn i prosząc ich o podanie haseł, a także innych danych uwierzytelniających. Pozyskane w ten sposób hasła mogą następnie zostać użyte przez cyberprzestępców do logowania. Atak ten jest prawdopodobnie najłatwiejszy do wykonania dla hakerów i dlatego jest to obecnie najbardziej rozpowszechniona forma ataku. Istnieje wiele różnych technik inżynierii społecznej, w tym phishing, vishing (phishing głosowy), spear phishing i pharming, a także bardziej złożone manipulacje, które obejmują kombinację różnych technik. - Brute Force
Ataki Brute Force mają na celu złamanie hasła poprzez sprawdzenie wszystkich możliwych kombinacji hasła lub znalezienie aplikacji, która zaakceptuje skradzione hasło. Hakerzy wykorzystują do tego tzw. ataki słownikowe, które sprawdzają dopasowanie różnych wariantów haseł w oparciu o popularne i często używane w hasłach słowa i wyrażenia. Z kolei aby znaleźć aplikację, która zaakceptuje skradzione hasło, hakerzy używają technik password spraying lub credential stuffing (zapychanie poświadczeniami).
Password spraying ma miejsce, gdy hakerzy używają krótkiej listy często używanych haseł (np. „12345678”), aby uzyskać dostęp do wielu różnych kont. Celem jest znalezienie dopasowania, które pozwoli napastnikowi wejść na konto ofiary.
„Zapychanie poświadczeniami” (ang. credential stuffing) polega na wykorzystaniu przez hakerów tendencji użytkowników do ponownego używania tego samego hasła na wielu kontach. Dlatego próbują oni użyć wykradzionych danych z jednego konta (np. hasło do konta na Facebooku), aby uzyskać dostęp do innego konta (np. do konta Office 365). - Wydobywanie haseł z magazynów danych logowania (Credential Store)
Aplikacje i systemy operacyjne rutynowo zapisują hasła i inne dane uwierzytelniające w pamięci podręcznej, zmniejszając ilość haseł koniecznych do wprowadzania przez użytkowników. Atakujący mogą wykraść te hasła, naruszając magazyny danych logowania, które przechowują hasła (zwykle używane przez systemy operacyjne i przeglądarki), pliki poświadczeń (np. należące do aplikacji do zarządzania hasłami), hasła przechowywane w rejestrze komputera itp. - Przechwytywanie wejścia (Input Capture)
Przechwytywanie danych wejściowych ma miejsce, gdy atakujący przechwytują proces wprowadzania hasła za pomocą np. keyloggerów zainstalowanych na komputerach użytkowników lub poprzez przechwytywanie interfejsu API systemu operacyjnego, który obsługuje wprowadzanie haseł (Credential API Hooking). Atakujący mogą również manipulować graficznym interfejsem użytkownika systemu operacyjnego, aby renderować złośliwe żądania wprowadzenia hasła (GUI Input Capture). - Sniffing w sieci
Sniffing jest jedną z technik przechwytywania danych, a zarazem (działając w pełni pasywnie) trudną do wykrycia.Sniffowanie ma miejsce, gdy osoba atakująca obserwuje i analizuje ruch sieciowy, próbując wydobyć z niego poufne informacje, takie jak hasła. Atak ten jest podobny do podsłuchiwania komunikacji telefonicznej, tyle że zastosowany w sieci. - Man-in-the-Middle (MITM)
Ataki typu MITM pozwalają hakerom na przejęcie i „umieszczenie się” w kanale komunikacyjnym między użytkownikami a aplikacjami, z którymi się łączą. Gdy haker jest już „w środku”, może przechwycić ruch sieciowy i wydobyć z niego hasła i inne poufne informacje wymieniane między użytkownikiem a aplikacją. W przeciwieństwie do podsłuchiwania sieci (sniffing), które umożliwia atakującemu tylko bierne obserwowanie ruchu sieciowego, tutaj osoba atakująca może aktywnie manipulować komunikacją między użytkownikiem a aplikacją.
Metod ataków i technik stosowanych przez cybeberprzestępców jest znacznie więcej. Dlatego dotychczas stosowane technologie uwierzytelniania za pomocą haseł są przestarzałe i nie zapewniają wystarczającej ochrony przed współczesnymi zagrożeniami. Obecnie to hasło stało się najsłabszym elementem w zabezpieczeniach. Dlatego najskuteczniejszą metodą zapobiegania atakom na hasła jest zastosowanie technologii bezhasłowego uwierzytelniania, która zapewnia większe bezpieczeństwo, lepszy komfort użytkownika i jest tańsza w posiadaniu i obsłudze.
Jedną z najnowocześniejszych technologii uwierzytelniania bezhasłowego oferuje obecnie firma Secret Double Octopus, której produkty pozwalają całkowicie wyeliminować konieczność używania haseł w organizacji. Rozwiązania Secret Double Octopus zapewniają korzyści dla bezpieczeństwa organizacji (np. odporność na wycieki haseł czy ochrona przed większością technik stosowanych przez cyberprzestępców), wpływają na poprawę komfortu użytkownika (User Experience), a także uwalniają organizację od trudnego i kosztownego zarządzania hasłami i bezpieczeństwem danych uwierzytelniających.
Tekst źródłowy: https://doubleoctopus.com/blog/top-6-password-attacks/