A webhely hitelesítéséhez meg kell adnia egy felhasználónevet és jelszót. A webhely ezután ellenőrzi az Ön által megadott hitelesítési adatokat, összehasonlítva azokat az adatbázisában tárolt adatokkal. Ha az adatok egyeznek, a hozzáférés biztosított. Ha az adatok nem egyeznek, a hozzáférés megtagadva.
Sajnos az adatszivárgás viszonylag gyakori jelenség. Az adatszivárgás nagy problémát jelenthet, mivel az egyik leggyakrabban megcélzott adat a felhasználói adatok, különösen a felhasználónevek és jelszavak listája. Ha a jelszavak csak úgy vannak tárolva, egyszerű szövegben, akkor bárki, aki hozzáfér az adatbázishoz, hozzáférhet bármely más felhasználó fiókjához. Mintha egy bérház minden ajtajához kulcstartót adtak volna át nekik.
Bár sok erőfeszítést kell tenni az adatszivárgás megelőzésére, a mélyreható védekezési stratégia javasolt. Konkrétan a biztonsági tanácsok kimondják, hogy a jelszavakat kivonatolni kell, és csak a jelszó kivonatát kell tárolni. A hash függvény egy egyirányú függvény, amely mindig ugyanazt a bemenetet alakítja ugyanabba a kimenetté. Azonban még a bemenet kisebb változtatása is teljesen más kimenetet eredményez. Kritikus módon nincs mód a funkció megfordítására és a kiadott hash visszafordítására az eredeti bemenetre. Amit azonban megtehet, az az, hogy kivonatolja az új bemenetet, és megnézi, hogy a kimenet megegyezik-e az adatbázisban tárolt kivonattal. Ha tudja, hogy a jelszó megegyezett, anélkül, hogy tudná a tényleges jelszót.
Ez hasznosan azt is jelenti, hogy ha a támadó feltöri az adatbázist, akkor nem az azonnal hasznos jelszavak listáját kapja, hanem kivonatokat kap. Ahhoz, hogy ezeket a hash-eket használni lehessen, fel kell törni őket.
Jelszókivonatok feltörése okossággal
A jelszókivonat feltörése annak kidolgozása, hogy mi az eredeti jelszó, amelyet a hash képvisel. Mert nincs mód a hash funkció megfordítására és a hash-ből jelszóvá alakítására. A hash feltörésének egyetlen módja a jelszó kitalálása. Az egyik módszer a brute force támadás alkalmazása. Ez szó szerint magában foglalja az összes lehetséges jelszó kipróbálását. Ez azt jelenti, hogy „a”-tól kezdjük, minden betűt mindkét esetben, minden számot és szimbólumot kipróbálunk. Ezután a támadónak ki kell próbálnia minden két karakter kombinációt, három karakter kombinációt stb. A karakterek lehetséges kombinációinak számának növekedése exponenciális minden alkalommal, amikor karaktert ad hozzá. Ez megnehezíti a hosszú jelszavak hatékony kitalálását, még akkor is, ha gyors kivonatolási algoritmusokat használnak erős GPU-feltörő berendezésekkel.
Némi erőfeszítést megspórolhat, ha megnézi a webhely jelszókövetelményeit, és nem próbál olyan jelszavakat használni, amelyek túl rövidek lennének ahhoz, hogy engedélyezzék, vagy amelyek például nem tartalmaznak számot. Ez időt takarít meg, és még mindig belefér a brute force támadások osztályába, amelyek minden engedélyezett jelszót kipróbálnak. A lassú erőszakos támadások – ha elég sokáig hagyják sok feldolgozási teljesítménnyel – végül feltörnek minden jelszót, mivel minden lehetséges kombinációt kipróbálnak.
A brute force támadásokkal az a probléma, hogy nem túl okosak. A szótári támadás sokkal célzottabb változat. Ahelyett, hogy bármilyen lehetséges jelszót megpróbálna, megpróbálja a megadott jelszavak listáját. Az ilyen típusú támadások sikere a jelszavak listájától és a szóban forgó szótártól függ.
Okos találgatások megfogalmazása
A jelszószótárak általában más adatvédelmi incidensekből származó, korábban feltört jelszavakból épülnek fel. Ezek a szótárak több ezer vagy millió bejegyzést tartalmazhatnak. Ez arra az elgondolásra épül, hogy az emberek nem tudnak egyedi jelszavakat létrehozni. Sajnos az adatvédelmi incidensekből származó bizonyítékok is ezt mutatják. Az emberek még mindig használják a „jelszó” szó variációit. További gyakori témák a sportcsapatok, a házi kedvencek nevei, a helynevek, a cégnevek, a munka gyűlölete és a dátumon alapuló jelszavak. Ez utóbbi különösen akkor fordul elő, ha az embereket arra kényszerítik, hogy rendszeresen módosítsák jelszavaikat.
A jelszószótár használata nagymértékben csökkenti a találgatások számát a nyers erejű támadásokhoz képest. A jelszószótárak általában rövid és hosszabb jelszavakat is tartalmaznak, ami azt jelenti, hogy előfordulhat, hogy olyan jelszavakat próbálnak ki, amelyeket még évek vagy nyers erőszakos találgatások sem érnek el. A megközelítés is sikeresnek bizonyul. A statisztikák az adatszivárgástól, valamint a használt szótár méretétől és minőségétől függően változnak, de a sikerességi arány meghaladhatja a 70%-ot.
A sikerarányok még tovább növelhetők szókeverő algoritmusokkal. Ezek az algoritmusok a jelszószótár minden egyes szavát veszik, majd egy kicsit módosítják. Ezek a módosítások általában szabványos karaktercserék és záró számok vagy szimbólumok hozzáadása. Például gyakran előfordul, hogy az „e” betűt „3”-ra, az „s” betűt „$”-ra cserélik, vagy felkiáltójelet adnak a végére. A szókeverő algoritmusok másolatokat készítenek a jelszószótár minden egyes bejegyzéséről. Minden duplikációnak más-más változata van ezeknek a karaktercseréknek. Ez jelentősen megnöveli a kitalálható jelszavak számát, és növeli a sikerességi arányt is, bizonyos esetekben 90% fölé.
Következtetés
A szótári támadás a brute force támadás célzott változata. Az összes lehetséges karakterkombináció kipróbálása helyett a karakterkombinációk egy részhalmazát tesztelik. Ez a részhalmaz azoknak a jelszavaknak a listája, amelyeket korábban találtak, és szükség esetén feltörtek a múltbeli adatvédelmi incidensek során. Ez jelentősen csökkenti a találgatások számát, miközben lefedi a korábban használt, és bizonyos esetekben gyakran látott jelszavakat. A szótári támadások sikeraránya nem olyan magas, mint a brute force támadás. Ez azonban azt feltételezi, hogy korlátlan idővel és feldolgozási kapacitással rendelkezik. A szótári támadások általában sokkal gyorsabban érnek el tisztességesen magas sikerarányt, mint egy brute force támadás. Ez azért van, mert nem vesztegeti az időt a rendkívül valószínűtlen karakterkombinációkra.
Az egyik legfontosabb dolog, amit meg kell tennie a jelszó kitalálásakor, hogy megbizonyosodjon arról, hogy az nem jelenik meg a szólistán. Ennek egyik módja az összetett jelszó, a másik pedig a hosszú jelszó elkészítése. Általában a legjobb megoldás egy hosszú, néhány szóból álló jelszó elkészítése. Csak az a fontos, hogy ezek a szavak ne képezzenek valódi kifejezést, ahogyan azt sejteni lehetne. Teljesen függetlennek kell lenniük. Javasoljuk, hogy 10 karakternél hosszabb jelszót válasszon, és a 8 karakter legyen az abszolút minimum.