Így védekezhetsz az 5 leggyakoribb jelszó elleni támadás ellen

 

Kiberbűnözői körökben továbbra is a jelszavak megszerzésére, ellopására irányuló támadási módszerek a legnépszerűbbek és sokszor sajnos a legegyszerűbbek is. Ahhoz, hogy megvédhessük jelszavainkat a következőkben ismertetjük az 5 leggyakoribb jelszavak elleni támadási módszert, illetve hogyan védekezhetünk ellenük.

  1. Kimerítő próbálgatáson alapuló támadás (brute force)

A támadók a lehetséges karakterek kombinációiból próbálják a jelszót összeállítani, ám ez jellemzően csak rövid, egyszerű jelszavak esetén célravezető.

Példa: Tegyük fel, hogy van egy kizárólag az angol ABC betűiből álló négy karakter hosszúságú jelszavunk. Az angol ABC 26 karakterből áll, ami azt jelenti, hogy a jelszavunk minden egyes karakterének helyére 26 betű illeszthető, vagyis 26 x 26 x 26 x 26 = 456.976, így maximum ennyi lehetőséget kell kipróbálnia a támadónak, hogy hozzáférjen a jelszavunkhoz. Bár ez elsőre soknak tűnhet, egy mai számítógéppel 11 mikroszekundum alatt végig lehet próbálni az összes kombinációt.

Érdekesség: A security.org oldalon megnézhetjük mennyi időbe telik a különböző hosszúságú jelszavak feltörése. Láthatjuk, hogy egy 12 karakterből álló jelszót 6 millió évbe telik egy mai, átlagos képességű számítógéppel feltörni. FONTOS: Ne gépeljük be saját, használatban lévő jelszavainkat!

Védekezés: Amellett, hogy minél hosszabb (minimum 12 karakter hosszú) jelszavakat használunk, állítsunk be kétfaktoros azonosítást (2FA) minden olyan fiókunknál, ahol csak módunkban áll, így ha meg is szerzik a jelszavunkat, sem fognak hozzáférni a fiókunkhoz.

 

  1. Szótár alapú támadás

A brute force támadás egyik fajtája, itt ugyanis nem karaktereket próbálgatnak a támadók, hanem értelmes szavak és gyakran használt jelszavakat. Ehhez a támadásokhoz olyan adatbázisokat használnak, amelyekben egyszerű kulcsszavak, korábban kiszivárgott jelszavak és mindezek ún. „leetspeak” kombinációi szerepelnek.

Érdekesség: Leetspeaknek nevezzük azt, amikor a szavak egyes betűkaraktereit számokra vagy speciális karakterekre cseréljük, ez felhasználói körökben gyakori eljárás a jelszóalkotási folyamatban. A genr8rs.com oldalon magunk is generálhatunk leetspeak-et az általunk beírt szavakból.

Például: Tegyük fel, hogy a jelszavunk a Password szó (nem biztonságos jelszó!), de az oldal, ahol ezt használni szeretnénk, megköveteli, hogy jelszavunkban számok és/vagy speciális karakterek is szerepeljenek. Ilyenkor több verziót is létrehozhatunk, mint például a p455w0rd, P@$$w0rd stb.

Védekezés: Az ilyen jellegű támadások hatékonyságát is úgy előzhetjük meg, ha minél hosszabb, egyedi jelszavakat használunk, és beállítjuk a kétfaktoros azonosítást, ahol csak lehet!

 

  1. Jelszóspray

Szintén egyre gyakoribb módszer a jelszavak feltörésére a „password spraying”, amely során a támadó igyekszik több fióknál is ugyanazzal a jelszóval belépni. A módszer lényege, hogy a felhasználónevekhez gyakran használt jelszavakat párosítanak, hogy megtalálják a megfelelő felhasználónév + jelszó párost. A brute force technikához képest sokkal nagyobb felhasználói bázist céloznak a támadással, viszont kevesebb próbálgatással, aminek köszönhetően a támadók képesek elkerülni a brute force elleni fiókvédelmi megoldásokat, mint például, hogy bizonyos bejelentkezési kísérlet után letiltja, vagy egy ideig korlátozza az újbóli bejelentkezési lehetőséget.

Védekezés: Használjunk egyedi, minél hosszabb jelszavakat és alkalmazzunk kétfaktoros azonosítást, ahol csak módunkban áll! Amennyiben korábban kompromittálódott egy jelszavunk, azt semmi esetre se használjuk újra!

 

  1. Credential Stuffing

Ez egy olyan automatizált jelszavak elleni támadási módszer, amely során a korábban kiszivárgott vagy ellopott felhasználónév és jelszó párosokat tartalmazó adatbázisokat „eresztik rá” a rendszerekre. Az ilyen támadások sajnos 2%-os sikeraránnyal működnek.

Érdekesség: A Have I Been Pwned oldalon lehetőségünk van ellenőrizni, hogy e-mail címünk, vagy más online fiókunk, illetve az általunk használt jelszavak, kompromittálódtak-e már korábban. FONTOS: ne próbáljuk ki aktuálisan használt jelszavak esetén!

Védekezés: Használjunk minden fiókunknál egyedi, erős jelszavakat, és alkalmazzunk kétfaktoros azonosítást, ahol csak módunkban áll! Ha bármely fiókunknál fenn áll a kompromittálódás kockázata, változtassuk meg mihamarabb jelszavunkat!

 

 

  1. Adathalászat (Phishing)

A többi módszerrel ellentétben, az adathalászat során a támadók nem feltörik jelszavainkat, hanem valamilyen megtévesztéssel rávesznek minket, hogy mi magunk adjuk át nekik azokat. Ezt általában úgy érik el, hogy a megkeresések során valakit, vagy valamilyen szervezetet megszemélyesítenek, így másnak kiadva magukat igyekeznek érzékeny adatokat, jellemzően jelszavakat, személyes és/vagy pénzügyi adatokat megszerezni. Mindezt leggyakrabban e-mail, SMS, vagy közösségi média hálózaton keresztül küldött üzenet formájában teszik, de előfordulhat az is, hogy telefonon keresik fel az áldozatokat.

Bővebb információk olvashatók az adathalászatról és azok típusairól korábbi kiadványunkban.

Az adathalászat egy tipikus példája, mikor a támadók az egyik szolgáltató nevében keresik fel az áldozatokat, mondjuk egy befizetetlen számla, vagy a bejelentkezési adatok megerősítése miatt. E-mail esetén a levél általában tartalmaz egy linket, ami átirányítja a felhasználókat egy, a szolgáltató weboldalára nagyon hasonlító, vagy szinte megegyező adathalász weboldalra, ahol, ha megadja az adatait, azok a támadó birtokába kerülnek. Manapság az sem ritka megoldás, hogy az elkövetők telefonon keresik fel áldozataikat, így a gyors kommunikáció során, hirtelen döntésektől vezérelve nagyobb valószínűséggel osztanak meg bizalmas adatokat az áldozatok, mielőtt megbizonyosodnának arról, hogy a hívó valójában jogosult-e az információk elkérésére és megismerésére. A szolgáltatók nevében kezdeményezett telefonhívásokkal kapcsolatos csalásokról itt írtunk bővebben.

Védekezés: Legyünk gyanakvóak az interakciót kiváltó megkeresésekkel, ne kattinsunk az üzenetekben kapott linkekre, és ne adjunk ki gondolkodás nélkül bizalmas információkat telefonon! Használjunk egyedi, minél hosszabb jelszavakat, és alkalmazzunk kétfaktoros azonosítást, ahol csak módunkban áll!