Hasło jest naruszone, gdy wycieknie w wyniku naruszenia danych i zostanie udostępnione w dark webie, umożliwiając innym uzyskanie nieautoryzowanego dostępu do kont online. Ryzyko to wynika
Zaktualizowano 14 listopada 2022 r.
Łamanie haseł polega na używaniu programów i narzędzi do pobierania haseł przechowywanych w systemie komputerowym lub przesyłanych przez sieć. Złamanie hasła może wydawać się prawie niemożliwe, ale możesz się zdziwić, jak proste może to być. Czytaj dalej, aby dowiedzieć się, jak działa łamanie haseł, jakie techniki są stosowane i jak się przed tym zabezpieczyć.
Jak działa łamanie haseł
Na rynku dostępne są dziesiątki programów do łamania haseł, z których każdy ma swój własny sposób działania, ale wszystkie robią w zasadzie jedną z dwóch rzeczy: tworzą wariacje ze słownika powszechnie znanych haseł lub próbują każdej możliwej kombinacji przy użyciu metody zwanej atakiem siłowym.
Ważne jest, aby na początku zrozumieć, że profesjonalni łamacze haseł nie chcą zalogować się na Twoje konto PayPal. Proces ten jest powolny, a większość usług i tak blokuje powtarzające się próby logowania. Profesjonaliści pracują raczej nad plikami haseł, które pobierają z naruszonych serwerów. Pliki haseł przechowują istotne informacje potrzebne podczas logowania, takie jak informacje o koncie. Pliki te są zwykle łatwo dostępne z głównego poziomu większości serwerowych systemów operacyjnych lub są utrzymywane przez poszczególne aplikacje. Pliki mogą być chronione słabymi algorytmami szyfrowania, które nie są zbyt dużą przeszkodą dla zdeterminowanego cyberprzestępcy.
Gdy przestępcy uzyskają listę haseł, mogą do woli próbować ich łamania. Ich celem zazwyczaj nie jest złamanie pojedynczego hasła, ale przetestowanie całego pliku i łamanie hasła jednego po drugim. Nowoczesny sprzęt graficzny sprawia, że odbywa się to niezwykle szybko. Na przykład niektóre komercyjne produkty mogą testować biliony haseł na sekundę na standardowym komputerze stacjonarnym przy użyciu wysokiej klasy procesora graficznego.
Techniki łamania haseł
Oto dwie najpopularniejsze techniki łamania haseł.
Łamanie słownikowe
Łamanie słownikowe to technika wykorzystująca listy znanych haseł, zastępowanie list słów i sprawdzanie wzorców w celu znalezienia powszechnie używanych haseł. Znalezienie list naruszonych haseł jest proste. Publikują je niektóre strony internetowe i są one dostępne za niewielką opłatą w Dark Webie.
Po odszyfrowaniu pliku hasła atak słownikowy wykorzystuje ciągi tekstowe i wariacje do testowania różnych kombinacji. Na przykład wiele osób dodaje do swoich imion lub nazw użytkowników cyfry, które mogą być przechowywane w postaci zwykłego tekstu. Jeśli użytkownik o imieniu Robert ma hasło „Robert123”, atak słownikowy odgadnie je w ciągu kilku sekund. Oprogramowanie testuje wszystkie możliwe kombinacje, aby zidentyfikować te, które działają.
Jeśli w bazie danych dostępne są jakiekolwiek informacje osobowe, zadanie jest jeszcze łatwiejsze. Na przykład ludzie często używają jako haseł imion dzieci, adresów, numerów telefonów, nazw drużyn sportowych i urodzin – samodzielnie lub w połączeniu z innymi znakami. Ponieważ większość ludzi dodaje znaki na końcu hasła, atak słownikowy ma ułatwione zadanie, aby przetestować wszystkie prawdopodobne kombinacje.
Media społecznościowe to marzenie atakującego. Ludzie na swoich profilach swobodnie publikują osobiste informacje lub tweetują wielokrotnie o swoich ulubionych drużynach sportowych, lub celebrytach. Są to naturalne ścieżki, którymi podąża łamanie słownikowe.
Atak siłowy
Atak siłowy jest dokładnie tym, czym się wydaje – techniką ujawniania trudnych haseł, których nie można odblokować za pomocą słownika. Dzisiejsze wielordzeniowe procesory i procesory graficzne sprawiły, że taktyka ataku siłowego stała się bardziej praktyczna niż kiedyś.
Maszyny, które można kupić za mniej niż 1000 USD, są w stanie testować miliardy haseł na sekundę. Krótkie hasła są najłatwiejsze do odgadnięcia, więc przestępcy zazwyczaj używają ataku siłowego, aby rozszyfrować pięcio- i sześcioznakowe hasła, których nie udało się złamać przy podejściu słownikowym. Proces ten może zająć tylko kilka godzin.
W przypadku dłuższych haseł można połączyć technikę siłową i słownikową, aby zawęzić zakres możliwych kombinacji. Niektóre oprogramowania do ataku siłowego wykorzystują również tęczowe tablice, które są listami znanych kodów, które czasami mogą być pomocne w inżynierii wstecznej zaszyfrowanego tekstu.
Czy łamanie haseł jest nielegalne?
Łamanie haseł w celu uzyskania własnego hasła nie jest nielegalne, jeśli działasz z lokalnymi danymi, które są w Twoim posiadaniu, masz pozwolenie od prawowitego właściciela, działasz jako przedstawiciel prawa i przestrzegasz lokalnych przepisów. Z drugiej strony łamanie hasła należącego do innej osoby może być nielegalne, ale jest to szara strefa.
Programy do łamania haseł również nie są nielegalne, ponieważ istnieją całkowicie uzasadnione i prawne powody, aby z nich korzystać. Specjaliści ds. bezpieczeństwa wykorzystują te narzędzia do testowania siły własnych haseł, a programy do łamania haseł są szeroko stosowane przez organy ścigania do zwalczania przestępczości. Jak w przypadku każdej technologii, narzędzia te mogą być wykorzystywane zarówno do czynienia zła, jak i dobra.
Chroń się przed łamaniem haseł
Największym problemem związanym z ochroną haseł jest to, że wiele osób nie używa silnych haseł. W przypadku tworzenia haseł dłuższe hasła są trudniejsze do złamania niż krótkie, a hasła zawierające losowe kombinacje znaków są bezpieczniejsze niż te, które są zgodne ze znanym wzorcem. Hasło składające się z 13 znaków, które zawiera znaki alfanumeryczne i symbole interpunkcyjne, jest uważane za niemożliwe do złamania przy użyciu dzisiejszej technologii.
Niestety niewiele osób jest w stanie zapamiętać losowy ciąg 13 znaków, a tym bardziej wiele ciągów dla różnych loginów. Również niefortunne – z punktu widzenia bezpieczeństwa – jest to, że komputery stają się coraz szybsze, a łamanie haseł jeszcze łatwiejsze. Pięć lat temu hasło składające się z ośmiu znaków było uważane za wystarczająco silne. Za pięć lat hasło składające się z 18 znaków może być za słabe.
Dlatego rozwiązanie do zarządzania hasłami jest pomocne. Aplikacje menedżerów haseł, takie jak Keeper, umożliwiają przechowywanie haseł, plików i nie tylko. Keeper może również generować nowe, silne, unikalne hasła i przechowywać je w Magazynie. Hasła przechowywane w Magazynie są zabezpieczone, a jedynym sposobem na uzyskanie do nich dostępu jest hasło główne. Menedżery haseł mogą być również chronione za pomocą uwierzytelniania dwuskładnikowego (2FA), które jest uważane za prawie nie do złamania w każdym kontekście i zdecydowanie zaleca się jego wdrożenie.
Chroń się przed łamaniem haseł – rozpocznij korzystanie z bezpłatnej wersji próbnej Keeper już dziś.