Šiuolaikiniame skaitmeninių technologijų pasaulyje slaptažodžiai – tai pirmoji asmeninių duomenų, finansų ir kitos konfidencialios informacijos apsaugos linija. Tačiau pagal slaptažodžių tvarkyklės NordPass statistiką, daugiau nei 70 % kombinacijų galima nulaužti per sekundę. Kaip piktavaliai gauna prieigą prie paskyrų ir ką daryti, kad apsisaugotumėte?
Dažniausiai nulaužiamos paskyros su paprastais slaptažodžiais kaip „123456″ ar „qwerty”. Beje, kaip pasirinkti gerą slaptažodį – apie tai rašėme straipsnyje. Bet, deja, net sudėtingos kombinacijos ne visada garantuoja apsaugą – įsilaužėliai naudoja įvairius nulaužimo metodus.
1. Ataka pagal žodyną
Įsilaužėliai naudoja paruoštus populiarių slaptažodžių sąrašus (pavyzdžiui, „password”, „admin”, „iloveyou”, „admin12345″). Jei jūsų slaptažodis yra tokiame „žodyne”, jį nulaužys akimirksniu.
Naudokite unikalias kombinacijas, kurių nėra nutekėjimų sąrašuose.
2. „Brutalios jėgos” ataka (Brute Force)
Programa automatiškai bando visas įmanomas kombinacijas. Pavyzdžiui, 9 simbolių slaptažodžiui algoritmas bandys variantus nuo „000000000″ iki „zzzzzzzzz”, kol ras tinkamą. Atitinkamai, kuo trumpesnis slaptažodis – tuo greičiau jį nulaužys.
Svarbūs momentai:
- Kiekvienas papildomas simbolis slaptažodyje padidina spėjimo laiką
- Slaptažodis iš 12+ simbolių su skirtingais registrais ir specialiais simboliais gali būti laužiamas metų metus
- Dažniausiai serveris įdiegia apsaugą: bandymų įvesti limitą (pavyzdžiui, blokavimas po 5 neteisingų bandymų)
3. „Vaivorykštės lentelės”
Įsilaužėliai naudoja iš anksto apskaičiuotų hešų (užšifruotų slaptažodžių) bazes.
Kaip tai veikia?
- Skubus įspėjimas „Gmail“ naudotojams
- Turi tokį savo banko kortelės PIN kodą? Skubiai keisk. Žaidi su ugnimi
- Pervedimai iš kortelės į kortelę: ką reikia žinoti lietuviams pagal naujas ES taisykles
- Ar tiesa, kad išjungtas išmanusis telefonas vis tiek perduoda duomenis?
- Kaip išvalyti išmaniojo telefono atmintį, kad jis veiktų geriau
Slaptažodžių hešavimas Kai registruojatės svetainėje, jūsų slaptažodis (pavyzdžiui, 12345) nesaugomas atviru pavidalu. Vietoj to, serveris jį paverčia hešu – ilga simbolių eilute (pavyzdžiui, 827ccb0eea8a706c4c34a16891f84e7b).
Hešų pažeidžiamumas. Nors atvirkštinis hešo pavertimas į slaptažodį neįmanomas, piktavaliai gali tiesiog palyginti pavogtą hešą su žinomų kombinacijų baze. Jei jūsų slaptažodis paprastas, jo hešas greičiausiai jau yra vaivorykštės lentelėje.
Akimirksniu nulaužimas. Įsilaužėliai įkelia pavogtus hešus į specialias programas, kurios per sekundes randa atitikimus „vaivorykštės lentelėse”. Taip net sudėtingai atrodantis hešas gali atskleisti jūsų tikrą slaptažodį.
4. Phishingas
Ne visos atakos reikalauja sudėtingų slaptažodžių spėjimo algoritmų – kartais piktavaliai tiesiog apgauna vartotojus, priversdami juos savanoriškai atiduoti savo duomenis. Phishing’o puslapiai – tai meistriškos klastotės, kopijuojančios populiarių paslaugų dizainą ir sąsają.
Kaip vartotojai pakliūva?
Klaidos įvedant adresą. Daugelis rankiniu būdu spausdina URL adreso juostoje ir dėl rašybos klaidos patenka į netikrą svetainę.
Nuorodos laiškuose ir pranešimuose. Phishing’o laiškai maskuojasi kaip pranešimai iš bankų („Jūsų paskyra užblokuota!”) ar nuolaidų pasiūlymai.
Pranešimai nuo „pažįstamų”. Jei draugo paskyra socialiniame tinkle nulaužta, jums gali atsiųsti kenkėjišką nuorodą jo vardu.
Kodėl paieškos sistemos neblokuoja Phishing’o? Google ir kitos paieškos sistemos tikrai filtruoja rezultatus, bet:
- Naujos phishing’o svetainės atsiranda greičiau nei spėjama jas užblokuoti
- Sukčiai naudoja laikinus domenus (po 2-3 dienų svetainė dingsta, spėjusi apgauti šimtus žmonių)
5. Išsaugoti slaptažodžiai naršyklėje
Funkcija „Išsaugoti slaptažodį” naršyklėje – tai dviašmenis kardas. Viena vertus, ji atleidžia nuo būtinybės įsiminti dešimtis sudėtingų kombinacijų. Kita vertus – sukuria pažeidžiamumą, apie kurį daugelis nesusimąsto.
Pagrindinė grėsmė slypi prieigoje prie jūsų įrenginio. Jei kompiuteris ar telefonas lieka be priežiūros viešoje vietoje, darbe ar net namuose per vakarėlį, bet kas gali gauti prieigą prie visų jūsų paskyrų. Ypač rizikuoja tie, kurie:
- Dirba kavinėse ar bendro darbo erdvėse
- Dalijasi kompiuteriu su kolegomis ar šeimos nariais
- Dažnai jungiasi prie skirtingų įrenginių
Saugiam šios funkcijos naudojimui ekspertai rekomenduoja:
- Visada užrakinkite ekraną pasitraukdami nuo įrenginio
- Nustatykite papildomą slaptažodį prieigai prie išsaugotų duomenų
- Reguliariai tikrinkite ir trinkite nereikalingus išsaugotus slaptažodžius
- Svarbioms paslaugoms naudokite atskiras slaptažodžių tvarkykles
6. Šnipinėjimo programos
Šiuolaikinės kenkėjiškos programos gali nepastebėtai pavogti jūsų slaptažodžius tiesiai iš įrenginio. Tokios programos veikia skirtingais būdais:
- Klavišų registratoriai įrašo visus klaviatūros paspaudimus
- Fiksuoja ekraną įvedant slaptažodžius
- Perėmėjai vagia išsaugotus duomenis iš naršyklių ir slaptažodžių tvarkyklių
Liūdnai pagarsėjusi programa Pegasus demonstruoja, kokia rimta gali būti ši grėsmė. Ši šnipinėjimo programinė įranga nepastebėtai įdiegiama į įrenginį ir suteikia visišką kontrolę: nuo pokalbių ir susirašinėjimų iki kameros ir mikrofono.
Šiuolaikiniai išmanieji telefonai turi galingą integruotą apsaugą, bet net ji negarantuoja 100 % saugumo.
Maksimaliai apsaugai ekspertai rekomenduoja:
- Periodiškai tikrinti įdiegtų programų sąrašą
- Naudoti atskirą įrenginį kritiškai svarbioms operacijoms
- Niekada neįvedinėti slaptažodžių įrenginiuose, kurių saugumu nesate tikri
7. Socialinė inžinerija
Kibernetinio saugumo pasaulyje sudėtingiausias sistemas dažnai nulaužia ne per pažeidžiamumus kode, o per žmonių psichologiją. Socialinė inžinerija išnaudoja bazines žmogaus savybes – pasitikėjimą, norą padėti, baimę pakliūti į nemalonumus.
Kaip tai veikia?
Sukčiai naudoja skirtingus scenarijus:
Telefono atakos
- Skambutis „Pagalbos tarnybos” vardu su prašymu „patikrinti prieigą” ir reikalavimu „skubiai įvesti slaptažodį”
Fizinis įsiskverbimas
- „Darbuotojas” su netikru ženkleliu prašo įleisti į biurą
- „Technikas” remonto pretekstu įdiegia šnipinėjimo programą
Psichologiniai triukai
- Stresinių situacijų naudojimas („Skubiai reikia prieigos!”)
- Spaudimas autoritetais („Esu iš vadovybės, vykdykite įsakymą”)
Apsauga nuo tokių atakų reikalauja kompleksinio požiūrio:
- Įdiegti daugiapakopį autentifikavimą (nepakanka vieno slaptažodžio)
- Vykdyti darbuotojų mokymus
- Nerašyti slaptažodžių ant popieriaus
8. Spėjimas pagal asmeninius duomenis
Daugelis vartotojų klaidingai mano, kad pakanka pakeisti paprastą slaptažodį į kažką asmeninio (pavyzdžiui, augintinio vardą) – ir jų paskyra bus saugi. Tačiau tai pavojingas klaidingas įsitikinimas. Socialinių tinklų epochoje, kai žmonės noriai dalijasi asmeninio gyvenimo detalėmis, tokia informacija tampa lengvu grobiu piktavaliams.
Šiuolaikiniai įsilaužėliai naudoja intelektualias spėjimo sistemas, kurios analizuoja atvirus duomenų šaltinius apie auką. Jūsų įrašai socialiniuose tinkluose, paminėjimai apie giminaičių gimtadienius, gyvūnų vardai – visa tai gali būti panaudota nulaužimui. Pavyzdžiui, žinodama, kad 2018 metais paskelbėte savo katės Murkio nuotrauką, programa gali automatiškai patikrinti kombinacijas tipo Murkis2018 ar Murkis!18.
Todėl nenaudokite slaptažodžiuose informacijos, kurią galima rasti atviruose šaltiniuose.
