Jak hakerzy odgadują hasła bez pomocy AI?
W erze cyberbezpieczeństwa większość organizacji kładzie nacisk na zasady złożoności haseł lub zaawansowane rozwiązania, takie jak sztuczna inteligencja, w celu ochrony kont. Jednak atakujący niekoniecznie potrzebują sztucznej inteligencji, aby odgadnąć hasła; klasyczne metody, dobrze zrozumiałe i dostosowane do kontekstu, pozostają niezwykle skuteczne.
Dlaczego ataki oparte na zgadywaniu haseł działają bez AI
Wbrew powszechnemu przekonaniu, większość ataków polegających na zgadywaniu haseł nie obejmuje modeli sztucznej inteligencji ani zaawansowanych technik uczenia maszynowego. Zamiast tego, atakujący używają list haseł generowanych na podstawie języka i publicznie dostępnych informacji o docelowej organizacji.
To podejście wykorzystuje prosty fakt: użytkownicy mają tendencję do tworzenia haseł, które są łatwe do zapamiętania. Zamiast używać całkowicie losowych kombinacji znaków, włączają do haseł znane terminy. Na przykład nazwy firm, produktów, lokalizacji lub inne szczegóły związane z organizacją.
Czym są spersonalizowane listy haseł (targeted wordlists)
Listy haseł dostosowane do kontekstu są generowane poprzez zbieranie słów i wyrażeń z publicznych źródeł docelowej organizacji. Obejmuje to strony internetowe, blogi, strony opisujące usługi itp. Zebrane informacje są następnie przekształcane w możliwe kombinacje haseł.
Bardzo popularnym narzędziem do tego zadania jest CeWL (Custom Word List Generator), open-source’owy crawler szeroko stosowany zarówno przez pentesterów, jak i atakujących. CeWL wyodrębnia terminy ze stron internetowych, a następnie tworzy listę słów, która odzwierciedla specyficzny język organizacji.
Te „kontekstowe” terminy zazwyczaj obejmują:
- Nazwa firmy lub organizacji
- Usługi, produkty lub wewnętrzne akronimy
- Nazwy lokalizacji lub projektów
- Terminy branżowe istotne dla danej dziedziny.
Uzyskana lista może wydawać się niezwykła dla „ogólnego” ataku informatycznego, ale w przypadku ataku ukierunkowanego jest szczególnie skuteczna, ponieważ dokładnie odzwierciedla język używany w organizacji.
Jak w praktyce odgaduje się hasła
Prosta lista słów wyodrębnionych ze strony nie wystarczy do skutecznego ataku. Ta „baza danych” jest następnie poddawana „obróbce” z permutacjami i kombinacjami w celu wygenerowania haseł. Przykłady transformacji obejmują:
- Dodawanie cyfr na końcu słów (np. Firma123)
- Zmiany wielkości liter (firma, Firma, FIRMA)
- Dodawanie symboli takich jak !, @, #
- Łączenie kilku terminów w jeden ciąg.
Narzędzia takie jak Hashcat pozwalają następnie na stosowanie tych zasad mutacji na dużą skalę, co umożliwia skuteczne testowanie milionów kombinacji na podstawie tej samej listy tematycznej.
Dlaczego klasyczne zasady złożoności nie są wystarczające
Większość zasad zatwierdzania haseł nadal wymaga:
- Minimum jednej wielkiej litery
- Co najmniej jednej cyfry
- Minimum jednego znaku specjalnego.
Problem polega na tym, że te zasady są łatwe do spełnienia, a nawet hasła zbudowane z wrażliwych terminów, ale powierzchownie zmodyfikowane, mogą spełniać wymagania złożoności. Na przykład hasło
NumeCompanie123! jest długie i spełnia wszystkie kryteria techniczne, ale pozostaje niezwykle przewidywalne, jeśli atakujący ma bazę informacji o danej organizacji.
Zgodnie z analizami przeprowadzonymi na miliardach naruszonych haseł, takie wybory są częste i łatwe do wykorzystania.
Jak skutecznie się bronić
1. Unikaj haseł opartych na języku kontekstowym
Zasady polityki powinny wykraczać poza podstawowe wymagania złożoności i uniemożliwiać użycie:
- Nazwy firmy lub systemu
- Nazw projektów wewnętrznych
- Terminów branżowych
- Wyraźnych zmiennych lub łatwych do skojarzenia z organizacją.
2. Blokuj już skompromitowane hasła
Nowoczesną praktyką jest blokowanie haseł znalezionych już w znanych naruszeniach danych. Zapobiega to ponownemu użyciu tych samych skompromitowanych haseł, nawet jeśli spełniają one wymagania złożoności.
3. Twórz długie i prawdziwe hasła (passphrase)
Hasła w postaci długiej frazy (15+ znaków), złożonej z niepowiązanych ze sobą słów, są znacznie trudniejsze do odgadnięcia nawet w przypadku ataków ukierunkowanych.
4. Aktywuj uwierzytelnianie wieloskładnikowe (MFA)
MFA nie zapobiega naruszeniu hasła, ale znacząco zmniejsza ryzyko, że atakujący użyje skompromitowanego hasła do uzyskania dostępu.
Wniosek
Ataki oparte na zgadywaniu haseł nie zawsze opierają się na zaawansowanych algorytmach AI; czasami najskuteczniejsze metody są proste, ale dobrze dostosowane do kontekstu. Generując listy słów specyficznych dla języka i terminologii danej organizacji, atakujący mogą odgadnąć hasła ze znacznie większą skutecznością niż w przypadku użycia jedynie ogólnych list haseł.
Aby skutecznie się chronić, kluczowe jest wdrożenie polityk bezpieczeństwa ukierunkowanych na zapobieganie używaniu przewidywalnych haseł, blokowanie skompromitowanych haseł i stosowanie uwierzytelniania wieloskładnikowego tam, gdzie jest to możliwe.
Źródło: bleepingcomputer.com
