A jelszavas védelem egy hatékony hozzáférés-szabályozási technika, amelyet mindannyian napi szinten használunk. Valószínűleg a következő években is a kiberbiztonság fontos pillére marad.
A kiberbűnözők viszont különböző módszereket alkalmaznak a jelszavak feltörésére és az illetéktelen hozzáférésre. Ez magában foglalja a szivárványasztalos támadásokat is. De mik is a szivárványasztalos támadások, és mennyire veszélyesek? Ennél is fontosabb, mit tehetsz, hogy megvédd magad ellenük?
Hogyan tárolódnak a jelszavak?
A biztonságot komolyan vevő platform vagy alkalmazás nem tárolja a jelszavakat egyszerű szövegben. Ez azt jelenti, hogy ha a jelszavad "password123" (és nyilvánvaló okokból semmiképpen nem szabad annak lennie), akkor a rendszer nem ilyenként tárolja, hanem betűk és számok kombinációjaként.
Ezt a sima szöveget véletlennek tűnő karakterkombinációvá alakító folyamatot jelszókivonatolásnak nevezik. És
jelszavak kivonatolva vannak algoritmusok, automatizált programok segítségével, amelyek matematikai képleteket használnak a sima szöveg véletlenszerűsítésére és kitakarására. A legismertebb kivonatolási algoritmusok közül néhány: MD5, SHA, Whirlpool, BCrypt és PBKDF2.Tehát, ha megadja a "password123" jelszót, és futtassa át a MD5 algoritmus, ezt kapod: 482c811da5d5b4bc6d497ffa98491e38. Ez a karakterlánc a "password123" kivonatolt változata, és az a formátum, amelyben a jelszava online tárolásra kerül.
Tegyük fel, hogy bejelentkezik az e-mail fiókjába. Be kell írnia felhasználónevét vagy e-mail címét, majd a jelszót. Az e-mail szolgáltató automatikusan átalakítja a beírt egyszerű szöveget kivonatolt értékévé, és összehasonlítja azt a kivonatolt értékkel, amelyet a jelszó első beállításakor tárolt. Ha az értékek megegyeznek, Ön hitelesítve van, és hozzáférést kap fiókjához.
Hogyan bontakozna ki egy tipikus szivárványasztalos támadás? A fenyegetés szereplőjének először jelszókivonatokat kell szereznie. Ennek érdekében valamilyen kibertámadást hajtanak végre, vagy megtalálják a módját a szervezet biztonsági struktúrájának megkerülésére. Vagy vásárolnának egy szemétlerakót lopott hash-ek a sötét weben.
Hogyan működnek a Rainbow Table Attacks
A következő lépés a hash-ek átalakítása egyszerű szöveggé. Nyilvánvaló, hogy egy szivárványasztalos támadásban a támadó ezt egy szivárványasztal segítségével tenné meg.
A szivárványtáblákat Philippe Oechslin informatikai szakértő találta fel, akinek munkája Martin Hellman kriptológus és matematikus kutatásain alapult. A táblázaton belüli különböző funkciókat képviselő színekről elnevezett szivárványtáblák csökkentik az időt szükséges a hash egyszerű szöveggé alakításához, így lehetővé téve a kiberbűnözők számára, hogy jobban végrehajtsák a támadást hatékonyan.
Egy hétköznapiban nyers erő támadásPéldául a fenyegetés szereplőjének minden kivonatolt jelszót külön kell dekódolnia, több ezer szókombinációt ki kell számítania, majd összehasonlítania kell őket. Ez a próba és hiba módszer továbbra is működik, és valószínűleg mindig is fog, de sok időt és hatalmas számítási teljesítményt igényel. De egy szivárványtáblás támadásban a támadónak csak egy megszerzett jelszó-kivonatot kell futtatnia egy hash-adatbázison, majd ismételten fel kell osztania és csökkentenie kell, amíg az egyszerű szöveg meg nem jelenik.
Dióhéjban így működnek a szivárványtáblás támadások. A jelszó feltörése után a fenyegetettség szereplőjének számtalan lehetősége van a továbblépésre. Bármilyen módon megcélozhatják áldozatukat, jogosulatlan hozzáférést szerezve mindenféle érzékeny adathoz, beleértve az online sütéshez kapcsolódó információkat és hasonlókat.
Hogyan védekezzünk a szivárványasztalos támadások ellen
A szivárványasztalos támadások nem olyan gyakoriak, mint korábban, de továbbra is jelentős veszélyt jelentenek minden méretű szervezetre és magánszemélyekre is. Szerencsére vannak védekezési módok ellenük. Íme öt dolog, amit megtehetsz, hogy megakadályozd a szivárványasztal támadásait.
1. Összetett jelszavak beállítása
A hosszú, összetett jelszavak használata feltétlenül szükséges. A jó jelszónak egyedinek kell lennie, és tartalmaznia kell kis- és nagybetűket, számokat és speciális karaktereket. Manapság a legtöbb platform és alkalmazás megköveteli a felhasználóktól, hogy ezt megtegyék, ezért győződjön meg róla hozzon létre egy feltörhetetlen jelszót hogy nem felejted el.
2. Használjon többtényezős hitelesítést
A többtényezős hitelesítés (MFA) egy egyszerű, de hatékony biztonsági mechanizmus, amely a legtöbb jelszótámadást értelmetlenné teszi. Ha az MFA be van állítva, nem férhet hozzá egy fiókhoz csupán felhasználónevével és jelszavával. Ehelyett további igazolnia kell személyazonosságát. Ez a telefonszám megerősítésétől és az ideiglenes PIN-kód megadásától az ujjlenyomat ellenőrzéséig és a személyes biztonsági kérdés megválaszolásáig terjedhet.
3. Változtassa meg jelszavait
Ha mindenhol ugyanazt a jelszót használja, egyetlen incidens is elegendő ahhoz, hogy az összes fiókot feltörje, bármilyen jó is legyen a jelszó. Ezért fontos, hogy minden fiókhoz más jelszót használjon. Ha a jelszó nélküli mód választható, gondold át ezt is: ha nem használsz jelszót, nem eshetsz szivárványtáblás támadás áldozatává, vagy bármilyen más jelszó alapú támadásnak.
4. Kerülje a gyenge kivonatolási algoritmusokat
Egyes kivonatolási algoritmusok, például az MD5, gyengék, ami könnyű célponttá teszi őket. A szervezeteknek ragaszkodniuk kell a legmodernebb algoritmusokhoz, például az SHA-256-hoz, amely annyira biztonságos, hogy az Egyesült Államokban, Ausztráliában és máshol is használják a kormányzati szervek. Hétköznapi emberként próbálja meg elkerülni az elavult technológiát használó platformokat és alkalmazásokat.
5. Használja a Password Salting funkciót
A jelszókivonat nagyszerű és szükséges biztonsági intézkedés, de mi van akkor, ha Ön és egy másik személy ugyanazt a jelszót használja? A kivonatolt verzióik is azonosak lennének. Itt jön be a sózásnak nevezett folyamat. A jelszó megadása lényegében abban áll, hogy minden kivonatolt jelszóhoz véletlenszerű karaktereket adunk, így az teljesen egyedivé válik. Ez a tipp egyaránt vonatkozik szervezetekre és magánszemélyekre.
Ismerje meg a jelszavas biztonságot a biztonság érdekében
A jelszavas biztonság önmagában kulcsfontosságú az illetéktelen hozzáférés és a különféle típusú kibertámadások megakadályozása során. De ez többet foglal magában, mint egy egyedi, könnyen megjegyezhető kifejezés kitalálása.
Az általános kiberbiztonság fokozása érdekében meg kell értenie, hogyan működik valójában a jelszavas védelem, majd lépéseket kell tennie fiókjai biztonsága érdekében. Ez egyesek számára kissé elsöprő lehet, de a megbízható hitelesítési módszerek és a jelszókezelő használata óriási változást hozhat.
