Jak kradzione są hasła (i 10 prostych kroków zapewniających ich bezpieczeństwo)
Opublikowany: 2022-03-15
„RockYou2021: największa kompilacja haseł wszechczasów wyciekła online z 8,4 miliarda wpisów”
„Policja znalazła 225 milionów skradzionych haseł ukrytych na zhakowanym serwerze w chmurze”
Te nagłówki nie są niestety niczym nowym. Niebezpieczeństwa związane z wyciekiem/kradzieżem hasła są teraz dobrze znane. Kreatorzy technologii opracowują i testują narzędzia, które ostatecznie zastąpią korzystanie z haseł, ale nie oczekuje się, że przejście to zostanie w pełni wdrożone w najbliższym czasie.
Większość stron internetowych i aplikacji nie pozwala na uwierzytelnianie za pomocą danych biometrycznych, co oznacza, że my użytkownicy nadal ograniczają się do używania skromnego hasła. W rzeczywistości wiele osób nadal nie używa menedżerów haseł i nie używa ponownie tego samego hasła w wielu witrynach i aplikacjach, w tym w kluczowych, takich jak bankowość internetowa.
Oznacza to, że podjęcie środków ostrożności w celu ochrony haseł (ponownie, chyba że używasz menedżera haseł) jest konieczne, jeśli chcesz chronić swoje zasoby.
Zanim jednak tam pójdziemy, być może najlepiej przyjrzeć się, jak dochodzi do wycieków/kradzieży danych, ponieważ zrozumienie tego procesu może odegrać dużą rolę w zapobieganiu temu.
Jak łamane i kradzione są hasła
Mogą twierdzić, że reprezentują firmy, z którymi ich cele prowadziły interesy. Często podszywają się pod urzędników państwowych, w tym funkcjonariuszy organów ścigania, agentów podatkowych i pracowników Social Security Administration. Czasami twierdzą, że dzwonią w imieniu członków rodziny lub przyjaciół swojego celu.
Przestępcy ci będą próbować przekazać poczucie pilności, być może nawet grozić swoim celom aresztowaniem lub utratą dostępu do świadczeń, jeśli nie podejmą natychmiastowych działań, dostarczając informacji, o które proszą.
Te dane uwierzytelniające są ładowane do aplikacji, które szybko testują je na ogromnej liczbie witryn, mając nadzieję na znalezienie dopasowań i uzyskanie dostępu. Rocznie rejestruje się setki milionów tego typu ataków.
Aplikacje i funkcje, które kradną dane uwierzytelniające, mogą w rzeczywistości być keyloggerami, pakietami złośliwego oprogramowania, które rejestrują nie tylko hasła, ale wszystkie naciśnięcia klawiszy, a następnie przesyłają je do złego aktora.
Złośliwe oprogramowanie kradnące dane uwierzytelniające może być również wbudowane w witryny zaprojektowane tak, aby wyglądały jak witryny renomowanych podmiotów. Na przykład, atakujący może wysłać wiadomość phishingową, twierdząc, że zaobserwowano podejrzaną aktywność na koncie bankowym celu i że cel musi zalogować się na swoje konto, aby natychmiast zmienić hasło.
Ofiara klika odsyłacz w wiadomości i zostaje przeniesiona do legalnie wyglądającej strony banku, gdzie jest proszona o wprowadzenie danych logowania w celu rozpoczęcia procesu resetowania hasła. W ten sposób atakujący uzyskuje dane uwierzytelniające konto bankowe ofiary.
Niektóre złośliwe, podobne do nich witryny są tworzone w nadziei, że przypadkowe osoby przypadkowo na nie wylądują i zostaną wyłudzone z ich nazw użytkowników i haseł.
Zaawansowana technologicznie wersja tego ataku to atak typu man-in-the-middle. Publiczne sieci Wi-Fi są często odwiedzane przez napastników, którzy używają łatwo dostępnych narzędzi do monitorowania ruchu sieciowego i kradzieży poufnych danych, w tym danych logowania do konta, od osób korzystających z sieci.
Czasami cyberprzestępcy tworzą własne publiczne sieci Wi-Fi zaprojektowane tak, aby wyglądały jak należące do legalnych firm, a jedynym celem jest kradzież danych użytkownika. Publiczne sieci Wi-Fi są z natury niebezpieczne.
W rzeczywistości liczba używanych haseł stale rośnie, podobnie jak liczba napastników, którzy aktywnie próbują je ukraść. Ochrona hasłem powinna być traktowana poważnie, więc śmiało zastosuj jak najwięcej z tych wskazówek.
„Policja znalazła 225 milionów skradzionych haseł ukrytych na zhakowanym serwerze w chmurze”
Te nagłówki nie są niestety niczym nowym. Niebezpieczeństwa związane z wyciekiem/kradzieżem hasła są teraz dobrze znane. Kreatorzy technologii opracowują i testują narzędzia, które ostatecznie zastąpią korzystanie z haseł, ale nie oczekuje się, że przejście to zostanie w pełni wdrożone w najbliższym czasie.
Większość stron internetowych i aplikacji nie pozwala na uwierzytelnianie za pomocą danych biometrycznych, co oznacza, że my użytkownicy nadal ograniczają się do używania skromnego hasła. W rzeczywistości wiele osób nadal nie używa menedżerów haseł i nie używa ponownie tego samego hasła w wielu witrynach i aplikacjach, w tym w kluczowych, takich jak bankowość internetowa.
Oznacza to, że podjęcie środków ostrożności w celu ochrony haseł (ponownie, chyba że używasz menedżera haseł) jest konieczne, jeśli chcesz chronić swoje zasoby.
Zanim jednak tam pójdziemy, być może najlepiej przyjrzeć się, jak dochodzi do wycieków/kradzieży danych, ponieważ zrozumienie tego procesu może odegrać dużą rolę w zapobieganiu temu.
Jak łamane i kradzione są hasła 
Zgadywanie - najprostsza metoda
W 2020 roku trzy najczęściej używane hasła to „123456”, „123456789” i „hasło”. Podczas wyszukiwania za pomocą narzędzi dostępnych w HaveIBeenPwned (zdecydowanie warte odwiedzenia), okazało się, że hasła te pojawiały się dziesiątki milionów razy podczas skanowania naruszonych danych. Oto wyniki raportowania według stanu na styczeń 2022 r.:- 123456 - 37 359 195 występów
- 123456789 - 16 629 796 wystąpień
- hasło - 9 545 824 wystąpień
Phishing i inne warianty ataków socjotechnicznych
Cyberprzestępcy często kontaktują się bezpośrednio ze swoimi celami przez telefon (vishing), e-mail (phishing), wiadomości tekstowe (smishing) lub za pośrednictwem kont w mediach społecznościowych. W przypadku tych ataków oszuści zazwyczaj podszywają się pod inne osoby, aby przekonać swoje ofiary do podania poufnych informacji, takich jak dane logowania.Mogą twierdzić, że reprezentują firmy, z którymi ich cele prowadziły interesy. Często podszywają się pod urzędników państwowych, w tym funkcjonariuszy organów ścigania, agentów podatkowych i pracowników Social Security Administration. Czasami twierdzą, że dzwonią w imieniu członków rodziny lub przyjaciół swojego celu.
Przestępcy ci będą próbować przekazać poczucie pilności, być może nawet grozić swoim celom aresztowaniem lub utratą dostępu do świadczeń, jeśli nie podejmą natychmiastowych działań, dostarczając informacji, o które proszą.
Ataki brutalnej siły i wypchania
Jak wspomniano, hakerzy mają dostępne narzędzia, które mogą szybko generować losowe hasła i testować je w celu ustalenia, czy zapewnią dostęp do docelowych kont. Stuffing, będący odmianą brutalnego wymuszania, polega na wykorzystaniu wcześniej skradzionych danych uwierzytelniających ujawnionych podczas włamań i dostępnych dla przestępców za pośrednictwem ciemnej sieci.Te dane uwierzytelniające są ładowane do aplikacji, które szybko testują je na ogromnej liczbie witryn, mając nadzieję na znalezienie dopasowań i uzyskanie dostępu. Rocznie rejestruje się setki milionów tego typu ataków.
Malware kradnące dane uwierzytelniające
Twoje urządzenia mogą zostać zainfekowane złośliwym oprogramowaniem kradnącym dane uwierzytelniające, gdy klikniesz złośliwe łącza w wiadomościach phishingowych, otworzysz zainfekowane załączniki do wiadomości e-mail, przypadkowo odwiedzisz witrynę osoby atakującej lub zainstalujesz aplikację, która nie pochodzi z renomowanego źródła.Aplikacje i funkcje, które kradną dane uwierzytelniające, mogą w rzeczywistości być keyloggerami, pakietami złośliwego oprogramowania, które rejestrują nie tylko hasła, ale wszystkie naciśnięcia klawiszy, a następnie przesyłają je do złego aktora.
Złośliwe oprogramowanie kradnące dane uwierzytelniające może być również wbudowane w witryny zaprojektowane tak, aby wyglądały jak witryny renomowanych podmiotów. Na przykład, atakujący może wysłać wiadomość phishingową, twierdząc, że zaobserwowano podejrzaną aktywność na koncie bankowym celu i że cel musi zalogować się na swoje konto, aby natychmiast zmienić hasło.
Ofiara klika odsyłacz w wiadomości i zostaje przeniesiona do legalnie wyglądającej strony banku, gdzie jest proszona o wprowadzenie danych logowania w celu rozpoczęcia procesu resetowania hasła. W ten sposób atakujący uzyskuje dane uwierzytelniające konto bankowe ofiary.
Niektóre złośliwe, podobne do nich witryny są tworzone w nadziei, że przypadkowe osoby przypadkowo na nie wylądują i zostaną wyłudzone z ich nazw użytkowników i haseł.
Surfowanie po ramieniu i ataki typu man-in-the-middle
Termin „surfowanie przez ramię” opisuje taktykę polegającą na zaglądaniu komuś przez ramię w celu obserwowania zawartości jego komputera lub urządzenia i próbie odnalezienia haseł lub innych poufnych informacji.Zaawansowana technologicznie wersja tego ataku to atak typu man-in-the-middle. Publiczne sieci Wi-Fi są często odwiedzane przez napastników, którzy używają łatwo dostępnych narzędzi do monitorowania ruchu sieciowego i kradzieży poufnych danych, w tym danych logowania do konta, od osób korzystających z sieci.
Czasami cyberprzestępcy tworzą własne publiczne sieci Wi-Fi zaprojektowane tak, aby wyglądały jak należące do legalnych firm, a jedynym celem jest kradzież danych użytkownika. Publiczne sieci Wi-Fi są z natury niebezpieczne.
Jak chronić moje hasła przed włamaniem w 10 prostych krokach?
Poniżej przedstawiono strategie, które możesz łatwo wdrożyć, aby chronić swoje hasła, konta i poufne informacje:- Podstawowa zasada: Zdobądź menedżera haseł/skarbiec. Są to aplikacje specjalnie zaprojektowane, aby chronić Twoje hasło. Dzięki nim wszystko, co musisz zrobić, to zapamiętać jedno hasło główne (wciąż przestrzegając poniższych zasad!)
- Nie używaj prawdziwych słów. Jeśli to możliwe, wymyśl własne słowa, które prawdopodobnie nie zostaną „odgadnięte” (np. „Radamabla”)
- Nie używaj daty urodzin i innych łatwych do zidentyfikowania danych o sobie (np. nazwisko)
- Nie używaj słabych (uproszczonych) haseł. Twoje hasła powinny być długie, złożone i zawierać duże i małe litery, cyfry oraz znaki specjalne.
- Użyj innego hasła dla każdego konta. Jeśli jedno konto zostanie naruszone, inne konta nie będą zagrożone ze względu na użycie tych samych danych uwierzytelniających (zwłaszcza nie powtarzaj haseł na kontach e-mail i kontach finansowych)
- Używaj 2FA (uwierzytelniania dwuskładnikowego) wszędzie tam, gdzie jest to możliwe. Dodaje to kolejny składnik do procesu logowania. W większości przypadków jest to kod PIN wysyłany na Twoje urządzenie SMS-em lub e-mailem. Jeśli atakujący jest w stanie ukraść twoje dane logowania, nadal nie będzie mógł dokończyć logowania bez tego dodatkowego czynnika.
- O ile nie masz pewności, że możesz zaufać źródłu wiadomości e-mail, tekstu lub wiadomości z mediów społecznościowych, a zwłaszcza jeśli jest coś nietypowego lub podejrzanego w wiadomości, powinieneś unikać otwierania załączników lub klikania zawartych w nich linków.
- Kiedy odwiedzasz strony internetowe, upewnij się, że korzystają z protokołu HTTPS. Zablokowana kłódka powinna wyświetlać się po lewej stronie adresu URL witryny w górnej części przeglądarki, wskazując na użycie tego protokołu bezpieczeństwa. Niektórzy przestępcy zaczęli teraz używać HTTPS na swoich witrynach, więc ta metoda nie jest w 100% skuteczna w ochronie Twoich informacji przed oszustami, ale przestrzeganie tego zalecenia pomoże Ci uniknąć złośliwych witryn.
- Upewnij się, że systemy operacyjne na Twoich urządzeniach są aktualne i są ustawione na automatyczne pobieranie i instalowanie aktualizacji. Upewnij się również, że na wszystkich Twoich urządzeniach działają aplikacje antywirusowe/antywirusowe.
- Unikaj korzystania z publicznej sieci Wi-Fi, chyba że Twoje urządzenie jest również wyposażone w aplikację wirtualnej sieci prywatnej (VPN) i ta aplikacja jest używana. Sieci VPN szyfrują dane przesyłane do iz urządzenia. Nawet jeśli zostanie przechwycony przez złego aktora, dane nie mogą zostać zdekodowane i odczytane. Jeśli nie masz VPN i musisz korzystać z publicznej sieci Wi-Fi, unikaj logowania się na jakiekolwiek konta lub wysyłania poufnych informacji za pośrednictwem usług przesyłania wiadomości.
Końcowe przemyślenia
Od ponad dziesięciu lat publikacje techniczne zapowiadają koniec hasła, ale wciąż tu jest.W rzeczywistości liczba używanych haseł stale rośnie, podobnie jak liczba napastników, którzy aktywnie próbują je ukraść. Ochrona hasłem powinna być traktowana poważnie, więc śmiało zastosuj jak najwięcej z tych wskazówek.