Hasło jest naruszone, gdy wycieknie w wyniku naruszenia danych i zostanie udostępnione w dark webie, umożliwiając innym uzyskanie nieautoryzowanego dostępu do kont online. Ryzyko to wynika
Niektóre z najczęstszych rodzajów ataków na hasła to łamanie haseł, rozpylanie haseł, ataki słownikowe, wypychanie danych uwierzytelniających, ataki siłowe i ataki z wykorzystaniem tęczowych tablic. Im lepsze masz nawyki dotyczące haseł, tym Twoje hasła są mniej podatne na ataki. Raport Keeper dotyczący zarządzania hasłami wykazał, że tylko 25% respondentów używa silnych, niepowtarzalnych haseł do każdego konta, co oznacza, że 75% respondentów naraża swoje konta na ryzyko naruszenia z powodu słabych haseł.
Czytaj dalej, aby dowiedzieć się więcej o sześciu najczęstszych rodzajach ataków na hasła, dlaczego są one niebezpieczne i co można zrobić, aby chronić się przed atakami związanymi z hasłami.
Łamanie haseł
Łamanie haseł ma miejsce, gdy cyberprzestępcy wykorzystują programy i narzędzia do uzyskania nieautoryzowanego dostępu do kont internetowych. Chociaż istnieje kilka rodzajów technik łamania haseł, wszystkie mają wspólny cel, czyli naruszenie kont użytkowników w złośliwych celach. Sztuczna inteligencja (AI) stale się rozwija, a cyberprzestępcy stosują ją do swoich celów, ponieważ narzędzia, które ją wykorzystują, ułatwiają łamanie haseł. Dzięki sztucznej inteligencji znacznie wzrosła szybkość, z jaką cyberprzestępcy są w stanie łamać hasła.
Atak siłowy
Atak siłowy ma miejsce, gdy cyberprzestępcy wykorzystują oprogramowanie do odgadnięcia danych uwierzytelniających metodą prób i błędów. Oprogramowanie do ataków siłowych działa poprzez wprowadzanie kilku różnych kombinacji danych uwierzytelniających, aż do momentu ich dopasowania. Chociaż próba odgadnięcia haseł metodą prób i błędów może wydawać się nieefektywna, oprogramowanie, z którego korzystają cyberprzestępcy, może przetwarzać biliony kombinacji haseł w krótkim czasie.
Rozpylanie haseł (ang. password spraying)
Rozpylanie haseł, zwane również atakiem rozpylającym hasła, ma miejsce, gdy cyberprzestępcy wykorzystują listę powszechnie używanych haseł do próby uzyskania dostępu do kilku kont w jednej domenie. Listy te zawierają słabe hasła, których używa wiele osób, takie jak 123456 lub słowo „hasło”. Dzięki narzędziu do rozpylania haseł cyberprzestępcy mogą wprowadzać te listy i wykorzystywać je do złamania kilku haseł jednocześnie.
Atak słownikowy
Atak słownikowy to atak na hasła, w którym do naruszenia kont wykorzystuje się popularne terminy i zwroty ze słownika. Podczas ataku słownikowego cyberprzestępcy wykorzystują listę słów zawierającą terminy i zwroty powszechnie wykorzystywane w hasłach. Następnie wykorzystują program do łamania haseł do wprowadzania kombinacji słów na różne konta użytkowników w celu złamania haseł.
Wypychanie danych uwierzytelniających
Wypychanie danych uwierzytelniających to atak na hasła, który wykorzystuje fakt, że wiele osób wielokrotnie używa tych samych haseł na wielu kontach. Podczas ataku z użyciem wypychania danych uwierzytelniających cyberprzestępcy wykorzystują zestaw danych uwierzytelniających do próby naruszenia wielu kont jednocześnie. Często cyberprzestępcy wykorzystują dane uwierzytelniające, które wyciekły podczas naruszeń danych publicznych.
Atak z wykorzystaniem tęczowych tablic
Atak z wykorzystaniem tęczowej tablicy ma miejsce, gdy cyberprzestępcy wykorzystują specjalną tabelę do próby złamania haseł. Haszowanie haseł to proces zamiany haseł na ciąg nieczytelnych znaków. Jeśli firma, w której masz konto, szyfruje hasła użytkowników, oznacza to, że przechowuje tylko te shaszowane hasła. Dzięki temu cyberprzestępcy nie są w stanie dowiedzieć się, jakie jest hasło do konta, jeśli firma doświadczy naruszenia danych.
Jednak haszowane hasła są nadal podatne na ataki z wykorzystaniem tęczowych tabel. Podczas ataku z użyciem tęczowej tabeli cyberprzestępcy zbierają listę potencjalnych haseł, które zazwyczaj składają się z kombinacji wyrażeń powszechnie używanych w hasłach. Następnie wykorzystują funkcję haszowania do przekształcania każdego z tych haseł w shaszowane. Oba hasła, w postaci zwykłego tekstu i shaszowane są następnie umieszczane w tęczowej tabeli. Na kolejnym etapie shaszowane hasła są redukowane, aby utworzyć łańcuch symboli wykorzystywany do znalezienia dopasowania. Po znalezieniu odpowiadającej im wartości cyberprzestępca wie, którego hasła użyć do naruszenia konta internetowego użytkownika.
Dlaczego ataki na hasła są niebezpieczne?
Ataki na hasła są niebezpieczne, ponieważ mogą prowadzić do naruszenia lub przejęcia konta, co może skutkować kradzieżą tożsamości użytkownika i stratami finansowymi. Przejęcie konta ma miejsce, gdy nieautoryzowana osoba uzyskuje dostęp do jednego lub więcej kont internetowych i blokuje użytkownika poprzez zmianę hasła. Ponieważ hasło zostało zmienione, odzyskanie dostępu do konta może chwilę potrwać, lub w niektórych przypadkach może stać się niemożliwe.
W czasie, gdy nieautoryzowana osoba ma dostęp do konta, może gromadzić poufne informacje na temat użytkownika i wykorzystywać je do kradzieży tożsamości. Kradzież tożsamości może powodować poważne straty finansowe, a zwalczenie jej skutków bywa trudne.
Jak mogę chronić się przed atakami na hasła?
Oto kilka sposobów na ochronę przed atakami na hasła.
Używaj kluczy dostępu, jeśli są obsługiwane na stronie internetowej lub w aplikacji
Klucze dostępu to nowa technologia uwierzytelniania, która umożliwia logowanie się do kont internetowych bez konieczności wprowadzania hasła. Zamiast tworzyć hasło samodzielnie, klucze dostępu automatycznie generują je na urządzeniu, przeglądarce lub w menedżerze haseł. Dzięki kluczom dostępu nie musisz się martwić o ich słabość lub ponowne użycie tak jak w przypadku tradycyjnych haseł. Klucze dostępu są domyślnie silne i nie da się ich naruszyć tak łatwo jak haseł, co czyni je jednym z najbezpieczniejszych sposobów uwierzytelniania użytkownika podczas logowania do konta.
Klucze dostępu są wciąż nowością, więc obecnie obsługują je tylko niektóre strony internetowe i aplikacje. Zamiast używać haseł, które są podatne na ataki na hasła, korzystaj z kluczy dostępu na każdej używanej przez Ciebie stronie internetowej lub aplikacji, jeśli je obsługują. Możesz zobaczyć, które strony internetowe i aplikacje obecnie obsługują klucze dostępu w naszym katalogu kluczy dostępu.
Używaj silnych, unikatowych haseł
Nie wszystkie strony internetowe obsługują klucze dostępu, więc nadal musisz tworzyć silne hasła do większości kont internetowych. Podczas tworzenia haseł należy przestrzegać najlepszych praktyk w zakresie haseł, aby nie były one łatwe do odgadnięcia lub złamania. Zalecamy korzystanie z generatora haseł podczas tworzenia haseł, aby były one zawsze silne i niepowtarzalne.
Jeśli obawiasz się, że nie zapamiętasz wielu silnych, niepowtarzalnych haseł, rozważ skorzystanie z menedżera haseł. Menedżery haseł pomagają użytkownikom w generowaniu silnych haseł do każdego z kont internetowych i bezpiecznym przechowywaniu ich wraz z innymi metodami uwierzytelniania, takimi jak klucze dostępu i kody uwierzytelniania wieloskładnikowego (MFA). Hasło główne to jedyne hasło, które musisz zapamiętać.
Włącz MFA, gdy jest to możliwe
Uwierzytelnianie wieloskładnikowe (MFA) to środek bezpieczeństwa, który można włączyć na większości kont online. Po włączeniu MFA do zalogowania na konto wymagane jest wprowadzenie nazwy użytkownika i hasła oraz zastosowanie co najmniej jednego dodatkowego składnika uwierzytelniania. Nawet jeśli cyberprzestępca zdołał złamać hasło, nadal nie będzie mógł naruszyć kont internetowych, ponieważ nie uda mu się uwierzytelnić tożsamości.
Uważaj na ataki socjotechniczne
Ataki socjotechniczne mają miejsce, gdy cyberprzestępcy wykorzystują manipulację psychologiczną, aby nakłonić ofiary do ujawnienia poufnych informacji. Jednym z najczęstszych rodzajów ataków socjotechnicznych jest wyłudzanie informacji. Występuje ono, gdy cyberprzestępcy nakłaniają ofiary do ujawnienia poufnych informacji, podszywając się pod osobę, którą ofiara zna, na przykład firmę, w której ma konto, lub członka rodziny.
Atak socjotechniczny jest zazwyczaj próbą nakłonienia ofiar do ujawnienia danych uwierzytelniających do kont internetowych. Jeśli nie zachowasz ostrożności w przypadku ataków socjotechnicznych, możesz łatwo przekazać swoje dane uwierzytelniające i narazić się na naruszenie konta. Jednym z najlepszych sposobów na uniknięcie ataków socjotechnicznych jest niepodawanie nikomu danych osobowych, zwłaszcza tych do logowania do kont internetowych. Należy również unikać klikania wszelkich niechcianych linków, aby zapobiec pobraniu złośliwego oprogramowania lub wprowadzeniu danych uwierzytelniających lub innych poufnych informacji na stronie internetowej wyłudzającej informacje.
Nie pozwól, aby ataki na hasła prowadziły do naruszenia kont
Przy tak wielu kontach internetowych tworzenie silnych, niepowtarzalnych haseł do każdego konta oraz włączanie MFA zawszy, gdy jest to możliwe, może być przytłaczające. Zapewnienie bezpieczeństwa każdego z kont internetowych nie musi być trudne – menedżer haseł, taki jak Keeper®, może pomóc w ochronie kont przed typowymi atakami na hasła.
Dzięki rozwiązaniu Keeper możesz zarządzać kluczami dostępu, hasłami, a nawet kodami 2FA, aby chronić konta internetowe bez martwienia się o słabe lub ponownie używane hasła. Już dziś rozpocznij korzystanie z bezpłatnej 30-dniowej wersji próbnej rozwiązania Keeper, aby zapobiegać naruszeniu kont w wyniku ataków na hasła.