Sposoby łamania i zdobywania haseł

Wachlarz ataków, których dopuszczają się cyberprzestępcy, stale się poszerza. Aby skutecznie chronić dane, trzeba wiedzieć, w jaki sposób hasła użytkowników mogą wpaść w niepowołane ręce. Oto najczęściej stosowane metody.

Phishing

Fałszywe wiadomości e-mail i SMS, które są rozsyłane do użytkowników popularnych usług i aplikacji w celu zdobycia ich danych logowania. Nakłania się w nich do kliknięcia w link przenoszący do spreparowanej, łudząco podobnej do autentycznej strony www lub otwarcie załącznika i wpisania tam loginu i hasła, a czasem też podania innych wrażliwych danych. 

Atak słownikowy

Atakujący tworzą listę popularnych, krótkich słów, które mogą być używane jako hasła. Następnie próbują uzyskać dostęp do kont użytkowników korzystając z automatu, który wpisuje kolejne pozycje z utworzonego wcześniej „słownika”. Hakerzy do poszczególnych słów dodają także cyfry. Warto pamiętać, że „1” na początku lub końcu hasła wcale nie czyni go silniejszym i tym samym trudniejszym do złamania.

Atak typu brute force

Hakerzy losowo, ale w dużych ilościach, generują krótkie ciągi różnych znaków i próbują wykorzystać je w charakterze hasła umożliwiającego dostęp do pojedynczego konta.

Password spraying

Atakujący stosujący tę technikę wypróbowują tylko kilka najczęściej występujących haseł na kontach wielu użytkowników, próbując w ten sposób zidentyfikować ofiarę, która używa domyślnego lub łatwego do odgadnięcia hasła.

Atak z użyciem keyloggera

Przestępcy instalują na urządzeniu potencjalnej ofiary oprogramowanie rejestrujące sekwencje naciskanych klawiszy. Instalator keyloggera najczęściej ukryty jest w wiadomościach phishingowych. Zdobyte w ten sposób ciągi znaków przesyłane są do hakerów, którzy wyłuskują z nich interesujące ich loginy i hasła.

Przechwytywanie ruchu

Cyberprzestępcy stosują specjalne oprogramowanie do monitorowania i przechwytywania ruchu sieciowego zawierającego informacje o hasłach. Im słabsze algorytmy szyfrowania ruchu, tym łatwiej jest pozyskać dane służące do logowania.

Jak utworzyć silne hasło?

Eksperci z firmy Fortinet przypominają, że dobre hasło to takie, które łatwo zapamiętać użytkownikowi, ale jednocześnie trudne do odgadnięcia przez osoby, które znają wiele szczegółów z jego życia. Użycie imienia swojego pierwszego zwierzęcia lub ulicy, na której się wychowało, nie jest najlepszym pomysłem. Dodanie do hasła cyfr i znaków specjalnych również nie sprawi, że stanie się ono niemożliwe do złamania. Hakerzy, niestety, mają na to swoje sprawdzone sposoby.

Czego zatem unikać przy tworzeniu haseł?

• Dat urodzin
• Numerów telefonów
• Informacji o firmie
• Nazw filmów i drużyn sportowych
• Prostych słów, w których zamieniamy litery na znaki specjalne („H4sl0” zamiast „Hasło”, „P@$$w0rd” zamiast Password)

Tworząc hasło należy wykorzystać mało prawdopodobne lub pozornie przypadkowe kombinacje wielkich i małych liter, cyfr oraz symboli. Silne hasło to też takie, które liczy przynajmniej 10 znaków.

Co polecają specjaliści Fortinet?

Najlepsze praktyki dotyczące zarządzania hasłami

• Nigdy nie dziel się z nikim swoim hasłem.
• Nie używaj tego samego hasła do różnych kont. Jeśli zostanie ono złamane, cyberprzestępcy zyskają dostęp do większej ilości twoich prywatnych danych.
• Zmieniaj hasło co trzy miesiące. To znacząco zmniejsza szanse przestępców na pozyskanie dostępu do twojego konta.

Użytkownikom zaleca się również korzystanie z managerów haseł, by w automatyczny sposób tworzyć długie, skomplikowane hasła do usług sieciowych. To sposób na to, by używać wyłącznie silnych, trudnych do złamania kombinacji. Co więcej, dzięki temu rozwiązaniu wystarczy zapamiętać wyłącznie jeden „klucz” do wirtualnego sejfu na swoje hasła.

Jak zapobiec złamaniu hasła przez cyberprzestępców?

Istnieje szereg technik, które pozwalają ochronić dane przed zakusami hakerów. Ważne jest też, aby nie ograniczać się tylko do jednej. 

Uwierzytelnianie wieloskładnikowe

Potwierdzenie tożsamości użytkownika przez system, do którego się loguje, wymaga dodatkowej weryfikacji za pomocą tokenu fizycznego lub  w aplikacji mobilnej. Nawet jeśli hakerom uda się złamać hasło, to i tak nie będą mogli oni ukończyć procesu logowania, a co za tym idzie –  uzyskać dostępu do danych.

Jednokrotne logowanie (SSO)

Umożliwia użytkownikom korzystanie z jednej, bezpiecznej nazwy użytkownika i hasła w kilku aplikacjach w firmie.

Szkolenia i edukacja w zakresie cyberbezpieczeństwa

Cyberzagrożenia stale ewoluują, więc każdy użytkownik sieci powinien być świadomy czyhających na niego niebezpieczeństw. Dlatego warto skorzystać z darmowych kursów, których są dostępne online. Jest to kluczowy rodzaj aktywności, który pomoże skutecznie chronić w sieci dane swoje, rodziny lub firmy.