Mi az a szótári támadás?

A webhely hitelesítéséhez meg kell adnia egy felhasználónevet és jelszót. A webhely ezután ellenőrzi az Ön által megadott hitelesítési adatokat, összehasonlítva azokat az adatbázisában tárolt adatokkal. Ha az adatok egyeznek, a hozzáférés biztosított. Ha az adatok nem egyeznek, a hozzáférés megtagadva.

Sajnos az adatszivárgás viszonylag gyakori jelenség. Az adatszivárgás nagy problémát jelenthet, mivel az egyik leggyakrabban megcélzott adat a felhasználói adatok, különösen a felhasználónevek és jelszavak listája. Ha a jelszavak csak úgy vannak tárolva, egyszerű szövegben, akkor bárki, aki hozzáfér az adatbázishoz, hozzáférhet bármely más felhasználó fiókjához. Mintha egy bérház minden ajtajához kulcstartót adtak volna át nekik.

Bár sok erőfeszítést kell tenni az adatszivárgás megelőzésére, a mélyreható védekezési stratégia javasolt. Konkrétan a biztonsági tanácsok kimondják, hogy a jelszavakat kivonatolni kell, és csak a jelszó kivonatát kell tárolni. A hash függvény egy egyirányú függvény, amely mindig ugyanazt a bemenetet alakítja ugyanabba a kimenetté. Azonban még a bemenet kisebb változtatása is teljesen más kimenetet eredményez. Kritikus módon nincs mód a funkció megfordítására és a kiadott hash visszafordítására az eredeti bemenetre. Amit azonban megtehet, az az, hogy kivonatolja az új bemenetet, és megnézi, hogy a kimenet megegyezik-e az adatbázisban tárolt kivonattal. Ha tudja, hogy a jelszó megegyezett, anélkül, hogy tudná a tényleges jelszót.

Ez hasznosan azt is jelenti, hogy ha egy támadó megsérti az adatbázist, akkor nem az azonnal hasznos jelszavak listáját kapja, hanem kivonatokat kap. Ahhoz, hogy ezeket a hash-eket használni lehessen, fel kell törni őket.

Jelszókivonatok feltörése okossággal

A jelszókivonat feltörése annak kidolgozása, hogy mi az eredeti jelszó, amelyet a hash képvisel. Mert nincs mód a hash-függvény megfordítására és a hash-ből jelszóvá alakítására. A hash feltörésének egyetlen módja a jelszó kitalálása. Az egyik módszer a brute force támadás alkalmazása. Ez szó szerint magában foglalja az összes lehetséges jelszó kipróbálását. Ez azt jelenti, hogy „a”-tól kezdjük, minden betűt mindkét esetben, minden számot és szimbólumot kipróbálunk. Ezután a támadónak ki kell próbálnia minden két karakter kombinációt, három karakter kombinációt stb. A karakterek lehetséges kombinációinak számának növekedése exponenciális minden alkalommal, amikor karaktert ad hozzá. Ez megnehezíti a hosszú jelszavak hatékony kitalálását, még akkor is, ha gyors kivonatolási algoritmusokat használnak erős GPU-feltörő berendezésekkel.

Némi erőfeszítést megspórolhat, ha megnézi a webhely jelszókövetelményeit, és nem próbálkozik olyan jelszavakkal, amelyek túl rövidek lennének az engedélyezéshez, vagy például nem tartalmaznak számot. Ez időt takarít meg, és még mindig belefér a brute force támadások osztályába, amelyek minden engedélyezett jelszót kipróbálnak. A lassú erőszakos támadások – ha elég sokáig hagyják sok feldolgozási teljesítménnyel – végül feltörnek minden jelszót, mivel minden lehetséges kombinációt kipróbálnak.

A brute force támadásokkal az a probléma, hogy nem túl okosak. A szótári támadás sokkal célzottabb változat. Ahelyett, hogy bármilyen lehetséges jelszót megpróbálna, megpróbálja a megadott jelszavak listáját. Az ilyen típusú támadások sikere a jelszavak listájától és a szóban forgó szótártól függ.

Okos találgatások megfogalmazása

A jelszószótárak általában más adatvédelmi incidensekből származó, korábban feltört jelszavakból épülnek fel. Ezek a szótárak több ezer vagy millió bejegyzést tartalmazhatnak. Ez arra az elgondolásra épül, hogy az emberek nem tudnak egyedi jelszavakat létrehozni. Sajnos az adatvédelmi incidensekből származó bizonyítékok is ezt mutatják. Az emberek még mindig a „jelszó” szó variációit használják. További gyakori témák a sportcsapatok, a házi kedvencek nevei, a helynevek, a cégnevek, a munka gyűlölete és a dátumon alapuló jelszavak. Ez utóbbi különösen akkor fordul elő, ha az embereket arra kényszerítik, hogy rendszeresen módosítsák jelszavaikat.

A jelszószótár használata nagymértékben csökkenti a találgatások számát a nyers erejű támadásokhoz képest. A jelszószótárak általában rövid és hosszabb jelszavakat is tartalmaznak, ami azt jelenti, hogy előfordulhat, hogy olyan jelszavakat próbálnak ki, amelyeket még évek vagy nyers erőszakos találgatások sem érnek el. A megközelítés is sikeresnek bizonyul. A statisztikák az adatszivárgástól, valamint a használt szótár méretétől és minőségétől függően változnak, de a sikerességi arány meghaladhatja a 70%-ot.

A sikerarányok még tovább növelhetők szókeverő algoritmusokkal. Ezek az algoritmusok a jelszószótár minden egyes szavát veszik, majd egy kicsit módosítják. Ezek a módosítások általában szabványos karaktercserék és záró számok vagy szimbólumok hozzáadása. Például gyakran előfordul, hogy az „e” betűt „3”-ra, az „s” betűt „$”-ra cserélik, vagy felkiáltójelet adnak a végére. A szókeverő algoritmusok másolatokat készítenek a jelszószótár minden egyes bejegyzéséről. Minden duplikációnak más-más változata van ezeknek a karaktercseréknek. Ez jelentősen megnöveli a kitalálható jelszavak számát, és növeli a sikerességi arányt is, bizonyos esetekben 90% fölé.

Következtetés

A szótári támadás a brute force támadás célzott változata. Az összes lehetséges karakterkombináció kipróbálása helyett a karakterkombinációk egy részhalmazát tesztelik. Ez a részhalmaz azoknak a jelszavaknak a listája, amelyeket korábban találtak, és szükség esetén feltörtek a múltbeli adatvédelmi incidensek során. Ez jelentősen csökkenti a találgatások számát, miközben lefedi a korábban használt, és bizonyos esetekben gyakran látott jelszavakat. A szótári támadások sikeraránya nem olyan magas, mint a brute force támadás. Ez azonban azt feltételezi, hogy korlátlan idővel és feldolgozási kapacitással rendelkezik. A szótári támadások általában sokkal gyorsabban érnek el tisztességesen magas sikerarányt, mint egy brute force támadás. Ez azért van így, mert nem vesztegeti az időt a rendkívül valószínűtlen karakterkombinációkra.

Az egyik legfontosabb dolog, amit meg kell tennie a jelszó kitalálásakor, hogy megbizonyosodjon arról, hogy az nem jelenik meg a szólistán. Ennek egyik módja az összetett jelszó, a másik pedig a hosszú jelszó elkészítése. Általában a legjobb megoldás egy hosszú, néhány szóból álló jelszó elkészítése. Csak az a fontos, hogy ezek a szavak ne képezzenek valódi kifejezést, ahogy azt sejteni lehetne. Teljesen függetlennek kell lenniük. Javasoljuk, hogy 10 karakternél hosszabb jelszót válasszon, és a 8 karakter legyen az abszolút minimum.