Заштита лозинком је ефикасна техника контроле приступа коју сви користимо на дневној бази. Вероватно ће остати важан стуб сајбер безбедности у годинама које долазе.
Сајбер криминалци, с друге стране, користе различите методе за пробијање лозинки и добијање неовлашћеног приступа. Ово укључује нападе дугиних столова. Али шта су напади дугиних столова и колико су опасни? Још важније, шта можете учинити да се заштитите од њих?
Како се лозинке чувају?
Ниједна платформа или апликација која озбиљно схвата безбедност не чува лозинке у обичном тексту. То значи да ако је ваша лозинка „пассворд123“ (а апсолутно не би требало да буде, из очигледних разлога), она неће бити сачувана као таква, већ као комбинација слова и бројева.
Овај процес претварања обичног текста у наизглед случајну комбинацију знакова назива се хеширање лозинке. И лозинке су хеширане уз помоћ алгоритама, аутоматизованих програма који користе математичке формуле за насумично и затамњење обичног текста. Неки од најпознатијих алгоритама за хеширање су: МД5, СХА, Вхирлпоол, БЦрипт и ПБКДФ2.
Дакле, ако узмете лозинку "пассворд123" и прођете је кроз МД5 алгоритам, ево шта добијате: 482ц811да5д5б4бц6д497ффа98491е38. Овај низ знакова је хеширана верзија „пассворд123“ и формат у којем би ваша лозинка била ускладиштена на мрежи.
Дакле, рецимо да се пријављујете на свој налог е-поште. Унесите своје корисничко име или адресу е-поште, а затим лозинку. Добављач е-поште аутоматски претвара обичан текст који сте унели у његову хеширану вредност и упоређује га са хешираном вредношћу коју је првобитно сачувао када сте први пут поставили лозинку. Ако се вредности подударају, потврђени сте и добијате приступ свом налогу.
Како би се онда одвијао типичан напад на дугиним столом? Актер претње би прво морао да добије хешове лозинке. Да би то урадили, извршили би неку врсту сајбер напада или би пронашли начин да заобиђу безбедносну структуру организације. Или би купили депонију украдене хешове на мрачном вебу.
Како функционишу напади на Раинбов Табле
Следећи корак би био претварање хешева у обичан текст. Очигледно, у нападу дугиног стола, нападач би то урадио користећи табелу дуге.
Раинбов табеле је изумео ИТ стручњак Филип Окслин, чији је рад био заснован на истраживању криптолога и математичара Мартина Хелмана. Назване по бојама које представљају различите функције унутар табеле, дугине табеле смањују време потребно да се хеш претвори у обичан текст, чиме се омогућава сајбер криминалцу да изврши напад више ефикасно.
У обичном напад грубом силом, на пример, актер претње би морао да декодира сваку хеширану лозинку посебно, израчуна хиљаде комбинација речи, а затим их упореди. Овај метод покушаја и грешке и даље функционише и вероватно ће увек радити, али захтева много времена и огромну рачунарску снагу. Али у нападу на табелу дуге, нападач би само требао да покрене добијени хеш лозинке кроз базу података хешова, а затим је више пута подели и смањи, док се не открије обичан текст.
Овако, укратко, функционишу напади дугиних столова. Након пробијања лозинке, актер претње има безброј опција како да настави. Они могу да циљају своју жртву на било који начин, добијајући неовлашћени приступ свим врстама осетљивих података, укључујући информације везане за онлајн печење и слично.
Како се заштитити од напада на Раинбов Табле
Напади на Раинбов табле нису тако чести као што су некада били, али и даље представљају значајну претњу организацијама свих величина, али и појединцима. На срећу, постоје начини да се заштитите од њих. Ево пет ствари које можете да урадите да спречите напад дугиног стола.
1. Подесите сложене лозинке
Коришћење дугих, сложених лозинки је апсолутно неопходно. Добра лозинка треба да буде јединствена и да садржи мала и велика слова, бројеве и специјалне знакове. Већина платформи и апликација ових дана захтевају од корисника да то ипак ураде, па се уверите креирајте нераскидиву лозинку да нећете заборавити.
2. Користите вишефакторску аутентификацију
Вишефакторска аутентификација (МФА) је једноставан, али моћан сигурносни механизам који већину напада лозинком чини бесмисленим. Када је МФА подешен, не можете да приступите налогу користећи само своје корисничко име и лозинку. Уместо тога, потребно је да доставите додатни доказ свог идентитета. Ово може да се креће од потврде вашег броја телефона и уношења привременог ПИН-а, до верификације отиска прста и одговора на лично безбедносно питање.
3. Диверзификујте своје лозинке
Ако свуда користите исту лозинку, само једно пробијање је довољно да компромитује све ваше налоге, без обзира колико добра та лозинка може бити. Због тога је важно да користите другу лозинку за сваки налог. Ако је опција без лозинке, узмите у обзир и то: ако не користите лозинку, не можете постати жртва напада дугиних табела или било ког другог напада заснованог на лозинки.
4. Избегавајте слабе алгоритме хеширања
Неки алгоритми хеширања, попут МД5, су слаби, што их чини лаком метом. Организације треба да се придржавају најсавременијих алгоритама као што је СХА-256, који је толико сигуран да га користе владине агенције у Сједињеним Државама, Аустралији и другде. Као обична особа, требало би да покушате да избегавате платформе и апликације које користе застарелу технологију.
5. Користите сољење лозинком
Хеширање лозинке је одлична и неопходна безбедносна мера, али шта ако ви и друга особа користите исту лозинку? Њихове хеширане верзије би такође биле идентичне. Овде долази до процеса који се зове сољење. Слање лозинки се у суштини своди на додавање насумичних знакова свакој хешираној лозинки, тако да је чини потпуно јединственом. Овај савет се такође односи и на организације и на појединце.
Схватите безбедност лозинком да бисте остали безбедни
Сигурност лозинке као таква је кључна када је у питању спречавање неовлашћеног приступа и различитих врста сајбер напада. Али то укључује више од самог смишљања јединствене фразе која се лако памти.
Да бисте побољшали своју општу сајбер безбедност, морате да разумете како заштита лозинком заиста функционише, а затим да предузмете кораке да заштитите своје налоге. Ово може бити помало неодољиво за неке, али коришћење поузданих метода аутентификације и менаџера лозинки може направити огромну разлику.