Атаки на пароли к аккаунтам: угрозы и защиты

Среди всех имеющихся способов защиты информации и аутентификации пользователя парольная защита – самый доступный и популярный способ.

Пароль в различных информационных системах, как правило, используется как средство аутентификации (подтверждения подлинности) пользователя этой системы. Соответственно, самая распространённая угроза безопасности любой информационной системы, это «взлом» пароля на включение компьютера, входа пользователя в операционную систему, доступа к некоторому аккаунту какой-либо системы, доступа к электронным хранилищам, серверам, рабочему месту администратора системы и т.д.

«Взлом» пароля может проводится разными способами, начиная от мошеннических действий, предполагающих «социальную инженерию», таких как, «фишинг», то есть выуживание у наивного или доверчивого пользователя пароля, до последовательного перебора все возможных комбинаций символов пароля.

Примеры «выуживания» пароля: злоумышленник пишет письмо якобы от имени сервисной службы о взломе системы с просьбой сообщить свой пароль для восстановления данных, или подсовывает доверчивому пользователю фальшивое окно регистрации с предложением ввести логин и пароль и т.п.

В этом случае рекомендации по недопущению утечки пароля достаточно просты: не верьте сомнительным предложениям, перепроверяйте все сообщения администрации ресурса информационной системы и не бойтесь отказаться от предоставления своих идентификационных данных. Настоящая администрация серьезного ресурса никогда не будет спрашивать пароли.

Существуют и другие мошеннические способы выявления паролей пользователей. Рекомендации борьбы с ними те же самые: будьте бдительны, не позволяйте мошенникам себя обмануть.

Ещё один способ несанкционированного доступа к какому-либо ресурсу или информационной системе – подбор пароля с помощью перебора различных комбинаций символов (метод Brute Force – «грубой силы»). Как вы думаете, за сколько времени можно подобрать ваш пароль?

Например, пароль, содержащий 8 цифр даты рождения (только цифры), подбирается за 1 – 2 секунды. Имя в качестве пароля – чуть дольше. Если используются строчные и заглавные буквы – это на порядок усложняет подбор, но все-таки речь идет о минутах. Если пароль содержит строчные буквы и цифры, то на его подбор уйдет несколько дней. Пароль, содержащий цифры, заглавные и маленькие буквы, символы будет подбираться несколько лет. А пароль, в котором больше 10 символов разного типа, может потребовать для расшифровки нескольких миллионов лет.

Из этого вытекает простой вывод: пароль должен быть длинным и сложным.

Основные требования к паролям следующие.

Длина пароля должна быть как минимум 12 – 14 символов; пароль должен содержать не только цифры, но буквы по верхнему и нижнему регистру, а также различные символы. Немаловажное требование к паролю: он должен формироваться случайным образом, то есть, в нём не должно быть никакой информации, которую можно угадать: имена, дни рождения, номера телефонов, номер страховки, клички любимцев, паспортные данные, личные идентификаторы и пр. Не должно быть символов, идущих подряд на клавиатуре, например, «qwerty».

Несмотря на указанные меры предосторожности к паролям злоумышленники регулярно придумывают новые схемы атак на пароли к аккаунтам пользователей. Примером одной из таких схем может служить недавно апробированная хакерами атака, основанная на методе «распыления паролей». В отличие от классического перебора, где злоумышленники подбирают пароль к одному аккаунту прямым перебором разных символов, новый способ работает иначе: один и тот же пароль проверяется на множестве учетных записей, повышая шансы на успешный взлом.

По данным экспертов по кибербезопасности, в России и мире подобные атаки происходят регулярно, а их жертвами становятся как обычные пользователи, так и корпоративные клиенты. В зону риска попадают онлайн-банкинг, почтовые сервисы и платформы с хранилищами личных данных. Особенно уязвимы те, кто использует одинаковые пароли на нескольких сайтах.

Специалисты предупреждают, что даже простой пароль вроде Qwe12345 может оказаться в базе утечек и стать ключом для взлома нескольких аккаунтов сразу. Атаки становятся массовыми, поскольку хакеры используют автоматизированные ботнеты, способные в считанные секунды протестировать тысячи учетных записей.

Способы защиты от новой угрозы те же самые, что и для противодействия классической атаке «BruteForce»: использовать длинные, сложные и случайные пароли, плюс дополнительные рекомендации: подключать двухфакторную аутентификацию и регулярно менять комбинации доступа; использовать разные пароли в разных аккаунтах. Также важно отслеживать активность входов и отключать старые или неиспользуемые аккаунты, чтобы минимизировать риски взлома.

Кафедра информационной безопасности