O hasłach
Hasło
Hasło to klucz dostępu do prawie każdego urządzenia cyfrowego i konta online, z którego korzystają użytkownicy.
W dzisiejszym świecie online przeciętny użytkownik posiada od 70 do 130 różnych kont, do których potrzebuje haseł. W wyniku pandemii ta liczba mogła nawet wzrosnąć o 25%.
Warto dbać o to, aby każde hasło było unikalne, długie, trudne do odgadnięcia. Istotne jest, żeby nie zapisywać haseł w miejscach podatnych na dostęp osób niepowołanych, nie ujawniać ich nikomu oraz regularnie zmieniać, szczególnie gdy istnieje podejrzenie, że ktoś mógł się o nimi dowiedzieć.
Dlaczego hasło jest takie ważne?
Kradzież prywatnych danych, takich jak nazwy użytkowników i hasła, dane kont bankowych i numery kart kredytowych, jest dla przestępców niezwykle opłacalna. Mogą oni wysyłać fałszywe wiadomości e-mail z Twojego konta, dokonywać fałszywych zakupów za pomocą Twojej karty kredytowej, wykorzystywać Twoją tożsamość do zaciągania pożyczek i otwierania nowych kont oraz przeprowadzać inne ataki skierowane na Ciebie lub na inne osoby podszywając się pod Ciebie. Przestępcy czerpią również zyski z zakłócania działania stron internetowych lub przekierowywania ruchu na inny adres, nielegalnego śledzenia użytkowników i sprzedaży skradzionych danych uwierzytelniających innym przestępcom. Wraz ze wzrostem popularności kont internetowych przestępcy zdali sobie sprawę, że aby uzyskać dostęp do kont, muszą zdobyć hasła i stali się w tym bardzo biegli.
Głównym celem wielu cyberprzestępców jest odkrycie jak największej liczby haseł w jak najkrótszym czasie, a następnie wykorzystanie komputerów do próby dopasowania haseł i nazw użytkowników na jak największej liczbie kont w tym samym czasie. Według Breach Alarm, każdego tygodnia kradzionych jest 1 milion haseł.
Warto uczynić swoje hasło bardziej odpornym na cyberataki. Długość oraz złożoność hasła mają duże znaczenie. Warto przeanalizować, w jaki sposób potencjalni atakujący próbują pozyskać nasze hasła.
Jak napastnicy zdobywają twoje hasła?
Atak typu „credential stuffing”
Atakujący w darkweb kupuje listę danych uwierzytelniających, pochodzących z wycieków informacji z różnorodnych witryn internetowych. Następnie używa skradzionych kombinacji nazwa użytkownika-hasło do wypróbowania kont w wielu witrynach w nadziei na dopasowanie. Łatwo dostępne są narzędzia do przeprowadzania zautomatyzowanych ataków, co ułatwia działania na masową skalę.
Tę niezwykle prostą i powszechną metodę włamania na konta ułatwia fakt, że bardzo wiele osób ponownie używa tych samych haseł (66% użytkowników przyznaje się do ponownego użycia haseł), a wiele organizacji pozwala swoim pracownikom na dostęp do kont przy użyciu jedynie hasła. Czy w tym wypadku hasło ma znaczenie? Nie, ponieważ atakujący zdobył poprawne hasło.
Ważne!
Jeśli zostaniesz powiadomiony o tym, że w serwisie internetowym (sklepie, forum czy mediach społecznościowych) doszło do wycieku danych użytkowników, natychmiast zmień hasło. Nigdy nie używaj tego samego hasła do więcej niż jednego konta. Stosuj uwierzytelnianie wieloskładnikowe na każdym koncie dostępnym z Internetu. Polityka haseł Twojej firmy powinna odzwierciedlać te dobre praktyki.
Phishing / man in the middle / przechwytywanie danych uwierzytelniających
Atakujący wysyła fałszywe e-maile do ogromnej liczby osób w tym samym czasie. E-maile udają, że pochodzą z zaufanego źródła i kuszą użytkownika obietnicą lub groźbą w celu kliknięcia na link, który przeniesie go na fałszywą stronę internetową i zalogowania się na rzekomo prawdziwe konto. Gdy użytkownik wprowadza swoją nazwę użytkownika i hasło, dane te są przechwytywane przez atakującego za pomocą łatwo dostępnych narzędzi. Ten rodzaj ataku jest bardzo powszechny i bardzo łatwy. Ataki te są ułatwione przez ludzkie cechy pracowników. Należą do nich ciekawość, stres, naiwność czy brak szkoleń i świadomości.
Czy w tym wypadku hasło ma znaczenie? Nie, ponieważ użytkownik podaje hasło atakującemu.
Ważne!
- Zawsze upewnij się, że jesteś na stronie, na której chciałeś być, szczególnie jeżeli zamierzasz tam wpisać swoje dane do logowania. Pamiętaj, że może być fałszywa. Sprawdź nazwę domenową – znajduje się ona w pasku adresu przeglądarki. Należy ją porównać z poprawnym adresem, który zawsze widzisz przy logowaniu.
- Korzystaj z menedżera haseł – on nie podpowie ci hasła, jeżeli będziesz na innej niż zwykle stronie. Jako dodatkowe zabezpieczenie stosuj uwierzytelnienie dwuskładnikowe.
- Zmień hasło, jeśli podejrzewasz, że jedno z Twoich kont zostało zaatakowane lub nieumyślnie podałeś swoje hasło na podejrzanej stronie.
Rejestrowanie uderzeń klawiatury / sniffing
Atakujący inicjuje instalację złośliwego oprogramowania typu keylogger na komputerze ofiary. Zwykle przez nieuwagę użytkownika, który klika na link lub otwiera złośliwy załącznik będąc zalogowanym na koncie administratora. Złośliwe oprogramowanie tego typu rejestruje i przekazuje wszystkie naciśnięcia klawiszy, w tym nazwy użytkowników i hasła, ale zazwyczaj także wszystkie inne dane. Atakujący będzie musiał przeanalizować te dane, aby wydobyć z nich to, co jest dla niego cenne.
Ten atak nie jest tak powszechny jak dwa pozostałe i wymaga pewnej wprawy.
Czy w tym wypadku hasło ma znaczenie? Nie, ponieważ złośliwe oprogramowanie przechwytuje dokładnie to, co jest wpisywane.
Ważne!
- Zainstaluj i regularnie aktualizuj oprogramowanie antywirusowe, które wykryje i uniemożliwi złośliwemu oprogramowaniu dostanie się do Twojej sieci. Oprogramowanie chroniące przed złośliwym oprogramowaniem będzie automatycznie skanowało pliki pod kątem złośliwego oprogramowania przed zezwoleniem na ich pobranie, aby uniemożliwić cyberprzestępcom i programom typu keylogger przechwytywanie loginów i haseł. Blokuje również złośliwe lub zagrożone witryny internetowe, w tym te wyłudzające informacje.
- Używaj konta administratora tylko do wykonywania czynności administracyjnych (bez wysyłania wiadomości e-mail, przeglądania stron internetowych i innych standardowych czynności użytkownika, które mogą narazić uprawnienia administracyjne na ryzyko, którego można uniknąć). Jeśli przypadkowo klikniesz link podczas korzystania z konta użytkownika, złośliwe oprogramowanie nie będzie mogło zostać pobrane bez hasła administratora.
Przeszukanie na miejscu / dumpster diving (nurkowanie w śmieciach)
Atakujący będzie przeszukiwał biuro lub notes danej osoby w poszukiwaniu spisanych haseł.
Ten rodzaj ataku, choć z pewnością stanowi ryzyko, może być przeprowadzony tylko przy stosunkowo niewielkiej ilości osób naraz, nie jest więc przeprowadzany w masowej skali.
Ataki te są ułatwione przez ludzi zapisujących swoje hasła.
Czy hasło ma znaczenie? Nie, ponieważ cyberprzestępca znajduje zapis poprawnego hasła.
Ważne!
Unikaj zapisywania haseł w notatnikach na biurku lub wywieszania ich w widocznym miejscu w biurze. Jeśli zapisujesz hasła, trzymaj je dyskretnie pod kluczem lub przechowuj w menedżerze haseł.
Atak typu „password spraying”
Atakujący mogą łatwo zdobyć listy najczęstszych haseł i próbować dopasowywać je do nazw użytkowników. Próbują oni użyć małej liczby haseł jednocześnie na bardzo dużej liczbie nazw użytkowników. Ataki te są zaskakująco skuteczne, wielu użytkowników używa znanych haseł takich jak qwerty1234, password1 i lato2020. Taki atak jest stosunkowo łatwo wykrywalny jako nietypowe działanie, a po wykryciu serwer logowania może go przerwać. Im szybciej przestępca próbuje wpisywać takie kombinacje, tym szybciej zostanie wykryty, więc musi pracować powoli. Atakujący wiedzą, że muszą zmaksymalizować efekt swoich działań, zanim zostaną wykryci, więc mają tendencję do korzystania z około 10 najczęstszych haseł pozyskanych z istniejących przecieków, prowadzą wyszukiwania w wielu serwisach jednocześnie i korzystają z tanich i łatwo dostępnych narzędzi automatycznych.
Atak typu „password spraying” jest bardzo łatwy i powszechny. Microsoft szacuje, że ponad jedna trzecia udanego przejęcia kont to ataki typu password spraying. Każdego dnia można złamać setki tysięcy haseł, a codziennie sondowane są miliony kont.
Jeśli Twoje hasło znajduje się na dokładnej liście, której próbuje atakujący, to włamie się na Twoje konto. Oto przykład listy najczęstszych haseł:
123456
hasło
000000
1qaz2wsx
a123456
hasło
000000
1qaz2wsx
a123456
Ataki ułatwiają posiadacze kont stosujący powszechnie używane, łatwe do zapamiętania hasła.
Czy hasło ma znaczenie? Nie, jeżeli znajduje się na liście najczęściej używanych haseł.
Ważne!
- Upewnij się, że użytkownicy mają jasne wskazówki dotyczące tworzenia dobrych haseł. Jedną z trzech opcji zabezpieczenia haseł dla FCB, jest użycie haseł o minimalnej długości 8 znaków i bez długości maksymalnej, w połączeniu z *automatyczną listą odmowy włączoną w celu zablokowania najbardziej powszechnych haseł.
- Automatyczna lista odmów zablokuje użytkownikom możliwość używania haseł, które znajdują się na wstępnie skonfigurowanej liście najczęściej łamanych haseł. Firmy mogą korzystać z gotowych list tego typu, opracowanych przez renomowane instytucje, np. CERT Polska.
Ataki typu „brute force”
Ataki typu brute force wykorzystują metodę prób i błędów aż do znalezienia prawidłowej kombinacji, która pozwoli złamać hasło lub klucz szyfrowania. W zależności od długości i złożoności hasła, złamanie go może zająć od kilku sekund do wielu lat. Upraszczając, typowe ataki brute force mogą wykonywać kilkaset prób naraz, co oznacza, że proste hasła (np. wszystkie małe litery) mogą zostać złamane w ciągu kilku sekund. Superkomputer może zrobić do biliona prób na sekundę i ośmioznakowe alfanumeryczne hasło może być złamane w ciągu dwóch godzin. Wielu cyberprzestępców może odszyfrować (w ciągu kilku miesięcy) słabą funkcję skrótu (hash), stosując atak „brute force” z przeszukaniem wszystkich kombinacji kluczy. Z tego powodu zaleca się, aby konta, które nie mają również włączonego MFA, były chronione hasłami o długości 12 znaków lub więcej.
Atak typu „brute force” jest bardzo powszechny i może mieć różny stopień trudności w zależności od zabezpieczeń, które stosuje organizacja.
Czy hasło ma znaczenie? Nie, jeśli Twoje hasło ma mniej niż 8 znaków.
Będzie miało znaczenie, jeśli używasz długiego i skomplikowanego hasła (takiego jak utworzone przez menedżera haseł) lub pięciu losowych słów.
Ważne!
W firmowej polityce haseł podaj wskazówki, jak stworzyć silne hasło przy użyciu trzech losowych słów lub jak użyć losowo wygenerowanego hasła z menedżera haseł. Upewnij się, że hasła mają długość 12 znaków lub więcej albo 8 znaków lub więcej przy włączonej funkcji MFA lub włączonej automatycznej liście odmowy najczęściej używanych haseł. Więcej na temat haseł znajdziesz na stronie CERT Polska.
Podsumowanie
W kontekście cyberataków, jedynie w przypadku ataków typu „password spraying” lub „brute force”, Twoje hasło może wpłynąć na potencjalne naruszenie.
Propozycje działań, które pomogą chronić Cię przed tymi zagrożeniami:
Opracuj jasną politykę haseł, która dotyczy wszystkich osób w Twojej organizacji, w tym podwykonawców.
Polityka haseł powinna obejmować:
- tworzenie dobrego hasła przy użyciu trzech losowych słów lub losowo wygenerowanego hasła utworzonego przez menedżera haseł (Twoja polityka haseł określi, które z nich i jak używać);
- konta chronione tylko hasłem muszą wymagać hasła o długości co najmniej 12 znaków (bez maksymalnej długości);
- konta z dodatkową ochroną MFA mogą wymagać hasła o długości co najmniej 8 znaków (bez maksymalnej długości);
- konta, które nie mają włączonego MFA, również muszą korzystać z listy odmów, aby automatycznie blokować użytkowników przed wybieraniem najczęściej używanych haseł, które prawdopodobnie pojawią się na liście dla ataku typu password spraying;
- musi istnieć ustalony proces natychmiastowej zmiany hasła, jeśli użytkownik wie lub podejrzewa, że jego hasło lub konto zostało naruszone;
- włączenie MFA na wszystkich kontach administratorów i wszystkich kontach (użytkownika i administratora), które są dostępne z Internetu (usługi w chmurze).
Uwierzytelnianie wieloskładnikowe (MFA) wymaga od użytkownika posiadania jednego lub więcej rodzajów poświadczeń, oprócz hasła, zanim będzie mógł uzyskać dostęp do konta.
Firmy mają do wyboru kilka różnych metod, które mogą wykorzystać do uwierzytelniania wieloskładnikowego.
Zaufane urządzenie: techniki MFA wykorzystujące zaufane urządzenie mogą polegać na wiedzy, że użytkownik posiada określone urządzenie (np. komputer firmowy), aby potwierdzić swoją tożsamość. Organizacje mogą zatem skonfigurować usługi w chmurze tak, aby akceptowały próby uwierzytelniania tylko z ich zaufanych sieci korporacyjnych. Dzięki temu użytkownicy mogą uwierzytelniać się tylko wtedy, gdy są bezpośrednio podłączeni do tej zaufanej sieci lub mają do niej zdalny dostęp poprzez wirtualną sieć prywatną (VPN). Dodatkowo, lub jako alternatywa dla korzystania z VPN, pracownicy zdalni mogliby uzyskać dostęp do usług online tylko na zaufanych urządzeniach, które są zarządzane przez organizację.
Aplikacja: aplikacja uwierzytelniająca generuje hasło jednorazowe, które zmienia się co minutę. Alternatywnie, aplikacja może otrzymywać powiadomienia push, które skłaniają użytkownika do potwierdzenia lub zaprzeczenia, że obecnie próbuje zalogować się do konkretnej usługi.
Token sprzętowy: techniki te wykorzystują wiedzę, że użytkownik posiada fizyczny token (dodatkowe urządzenie) bezpieczeństwa, który potwierdza jego tożsamość. Niektóre typy będą wymagały od użytkownika odblokowania ich przed użyciem.
Znane zaufane konto: techniki te polegają na wysyłaniu kodów na zarejestrowany adres e-mail lub numer telefonu.
Usługa wysyła wiadomość SMS zawierającą kod jednorazowy lub wykonuje połączenie głosowe, w którym kod jednorazowy jest odczytywany na numer telefonu zarejestrowany dla danego użytkownika. Wiadomość SMS nie jest najbezpieczniejszym rodzajem MFA, ale nadal jest znacząco lepsza niż nieużywanie żadnego MFA. Alternatywnie usługa prześle pocztą elektroniczną jednorazowy kod na adres zarejestrowany dla danego użytkownika. W tym przypadku preferowany jest kod dla użytkownika do wpisania względem klikalnego linku, ponieważ trudno jest użytkownikowi odróżnić legalną wiadomość e-mail od wiadomości phishingowej.
Włącz uwierzytelnianie wieloczynnikowe
Niezależnie od tego, czy napastnik zdobędzie Twoje hasło poprzez atak phishingowy, skradzione dane uwierzytelniające z innego naruszenia lub zdoła je złamać za pomocą ataku brute force, jeśli masz włączone MFA, będzie to Twoje zabezpieczenie. Jak tylko konto poprosi o MFA, atak zostanie
udaremniony, a atakujący nie będzie mógł uzyskać dostępu. Sensowne jest włączenie MFA dla wszystkich kont, dla których możesz to zrobić, gdy jest to dostępne.
Na podstawie badań przeprowadzonych przez Microsoft, prawdopodobieństwo, że Twoje konto zostanie przejęte jest o ponad 99,9% mniejsze, jeśli używasz MFA.