То, что пароли могут быть украдены — известно многим,но какими же именно методами происходит воровство паролей.
Воровство или «взлом» паролей — это не единственный способ, которым злоумышленники могут получить несанкционированный доступ к конфиденциальным данным. Они также могут перехватывать слабо зашифрованные данные по сети, например, или найти способы полностью обойти пароли, чтобы получить доступ к защищенным данным.
Однако украденные пароли являются одним из самых распространенных средств, которые злоумышленники используют для захвата учетных записей электронной почты, кражи идентификационных данных и т. д.
Ниже приведены наиболее распространенные стратегии, используемые злоумышленниками для кражи паролей, а также объяснение того, что вы можете сделать, чтобы предотвратить каждый тип атаки.
1. Уязвимости протокола
Иногда в коде есть недостатки, которые используются для обмена или шифрования паролей.
Атакующие могут использовать эти уязвимости для взлома паролей.
Например, это метод взлома паролей WEP — технически ключей шифрования, а не паролей, которые когда-то обычно использовались для защиты беспроводных сетей.
Чтобы свести к минимуму риск получения паролей через это направление, вы должны убедиться, что ваше программное обеспечение обновлено.
Сохранение текущего программного обеспечения гарантирует, что у вас есть последние исправления, которые затрагивают известные уязвимости безопасности.
В настоящее время WEP технология является устаревшей, так как её взлом может быть осуществлен всего за несколько минут. Тем не менее, она продолжает широко использоваться, некоторые производители маршрутизаторов по-прежнему предоставляют WEP в качестве опции шифрования. Вместо WEP необходимо использовать WPA, который в целом безопасен.
К сожалению, злоумышленники обнаруживают и используют уязвимости, до того как этот факт станет известным.
По этой причине вы никогда не можете быть уверены, что уязвимость вашего ПО не подверглась атаке.
2. Полный перебор (или метод «грубой силы», англ. brute force)
Полный перебор относится к практике попытки подбора всех возможных комбинаций букв и цифр, пока не подберется тот, который соответствует паролю.
Лучший способ смягчить атаки с использованием грубой силы — это сделать так, чтобы ваши пароли были длинными (восемь символов часто предлагаются как минимум, но лучше всего сделать пароль до возможной допустимой длины) и не использовались слова или фразы.
Чем длиннее ваш пароль, тем больше количество возможных комбинаций, которые атакующий должен будет попробовать, чтобы подобрать ваш пароль.
И, избегая часто используемых слов и фраз, вы гарантируете, что ваш пароль не может быть подобран, запуском списка общих паролей. Атакующие часто используют эти списки во время атак грубой силы. Однако, вычислительная мощность растет все больше, так же как и способность атакующих развертывать подобные атаки. То, что считается достаточно длинным паролем сегодня, может быть небезопасным в будущем, потому что завтрашние компьютеры смогут проверять возможные пароли быстрее, чем сегодня.
Подмена — спуфинг (spoofing)
Например, злоумышленник может «обманывать» веб-сайт, маскируясь под страницу входа на сайт, которую обычно посещает пользователь, а затем направляет свою жертву на страницу.
Если пользователь вводит свою регистрационную информацию на поддельную страницу, злоумышленик получет данные пользователя.
Атаки с помощью спуфинга проще выполнить, чем может показаться на первый взгляд.
Любой, кто контролирует настройки конфигурации сети, может легко перенаправить посетителей на поддельную версию любого сайта, который он пожелает, изменив конфигурации DNS.
Иногда также возможно «отравлять» кэши DNS в сетях, чтобы выполнять атаки спуфинга, даже без прямого управления сетевыми настройками.
Лучший способ избежать атаки с помощью спуфинга — это подключение только к сетям, которым вы доверяете. Например, атаки спуфинга — это одна из причин, почему вы не должны подключаться к случайным сетям в аэропортах.
Любой пользователь может настроить точку доступа с таким сетевым именем, как «Free Wifi», а затем использовать spoofing для кражи паролей.
Вы также можете помочь устранить «отравление» DNS и другие уязвимости, постоянно обновляя свои маршрутизаторы и другое сетевое ПО, а также запуская программное обеспечение для обнаружения вторжений в сети.
Наконец, вы должны серьезно отнестись к предупреждениям в своем веб-браузере о недействительных сертификатах при посещении сайтов с профессиональным обслуживанием, сертификаты которых должны быть правильно настроены.
Обычно проблемы с сертификатами встречаются на многих плохо обслуживаемых веб-сайтах, просто потому, что администраторы не создают правильные сертификаты, а не из-за фактическойподмены.
По этой причине пользователи, к сожалению, привыкли игнорировать предупреждения о проблемах с сертификатами, которые часто являются признаком атаки-подмены.
Фишинг
Иногда фишинг и спуфинг используются вместе.
В фишинговой атаке злоумышленник использует социальную инженерию, чтобы убедить пользователя щелкнуть ссылку или загрузить программное обеспечение, которое затем крадет пароли, или может привести к хаосу другими способами.
К сожалению, нет никаких отказоустойчивых технических инструментов, которые можно использовать для предотвращения фишинга. Лучшая защита состоит в том, чтобы обучать себя и своих пользователей, чтобы они очень сильно думали, прежде чем нажимать ссылку или принимать загрузку, даже если она, кажется, из легального источника.