Szakértők egyetértenek abban, hogy már rég elmúltak azok az idők, amikor elegendő volt csupán a jelszavas védelem. Erősen ajánlott olyan biztonságosabb hozzáférési módszerek alkalmazása, mint a többfaktoros azonosítás, a biometria és az egyszeri bejelentkezéses rendszerek. A legfrissebb Verizon Data Breach Investigations Report jelentés szerint a hackerek által végrehajtott adatlopások 81 százalékát lopott jelszavakkal követték el, vagy az áldozatok gyenge jelszavakat használtak.
Az alábbiakban áttekintünk két manapság használatos jelszófeltörési módszert. Hogy a kiberbűnözők melyiket alkalmazzák, nagymértékben függ attól, hogy a kiszemelt áldozat vállalat, magánszemély vagy a nagyközönség, az eredmény azonban általában ugyanaz.
Jelszavak kinyerése hashelt jelszófájlokból
Ha egy vállalat összes jelszavát egyszerre törik fel a hackerek, akkor egy jelszófájlhoz sikerült hozzájutniuk. Egyes szervezetek egyszerű szöveges fájlban tárolják a jelszavakat, a biztonságukra gondosabban ügyelő cégek azonban általában hashelt (titkosított) formában tárolják a jelszavaikat. Hashelt fájlokat használnak a jelszavak megvédésére a domain vezérlőknél, az LDAP és Active Directory vállalati hitelesítési platformoknál és sok más rendszernél. Szakértők szerint ezek a hash fájlok, beleértve a salted (sózott) hasheket is, már nem nagyon biztonságosak. A hashek összekeverik a jelszavakat oly módon, hogy azok ne legyenek többé visszanyerhetők. Jelszóellenőrzéskor a bejelentkezést felügyelő rendszer összekeveri a felhasználó által megadott jelszót, és összehasonlítja a jelszófájlban tárolt, korábban hashelt jelszóval.
A hashelt jelszófájlt megszerző hackerek úgynevezett szivárvány táblák segítségével, egyszerű keresésekkel fejtik meg a hasheket. Ugyancsak vásárolnak speciálisan jelszófeltörésre kifejlesztett hardvert, vagy a művelethez saját vagy bérelt bothálózatot használnak.
A jelszófeltörési szakértelemmel nem rendelkező támadók erre szakosodott külső szolgáltatókat is igénybe vehetnek, amelyeket néhány órára, néhány napra vagy néhány hétre lehet kibérelni. Ha rászánják a szükséges időt és erőforrásokat, bármely jelszót fel tudnak törni. Ma már nem tart évmilliókig a korábban biztonságosnak tartott, hashelt jelszavak feltörése. Szakértők szerint a manapság használatos jelszavak 80-90 százaléka 24 órán belül feltörhető. Különösen igaz ez az emberek által készített (nem pedig számítógépek által véletlenszerűen generált) jelszavakra.
Az ellopott hash fájlok kivételesen sebezhetők, mert a feltörést a támadó számítógépén lehet elvégezni. Nincs szükség a próba jelszó tesztelésére a feltörni kívánt webhelyen vagy alkalmazásban.
Bothálózattal végrehajtott nagyszabású támadások
A sok felhasználóval rendelkező, nagyméretű nyilvános weboldalak elleni támadások esetében bothálózatokat használnak a hackerek a felhasználónevek és jelszavak különféle kombinációinak a kipróbálásához. A művelethez a más weboldalaktól ellopott bejelentkezési adatokat és az emberek által leggyakrabban alkalmazott jelszavak listáját használják. Szakértők szerint ezek a listák ingyenesen vagy olcsón hozzáférhetők, és tartalmazzák az internetezők 40 százalékának a bejelentkezési adatait.
A korábbi nagyszabású adatlopási incidensek (például a Yahoo ellen végrehajtott támadás) lehetővé tették hatalmas méretű adatbázisok létrehozását, amelyeket a kiberbűnözők felhasználhatnak tevékenységükhöz. Ráadásul a listákon szereplő jelszavak gyakran sokáig használhatók maradnak, mivel az emberek közül sokan még akkor sem változtatják meg a jelszavukat, amikor kiderül, hogy egy általuk használt online szolgáltatásról milliószámra loptak el bejelentkezési adatokat hackerek.
Ha például egy hacker bankszámlákhoz akar hozzáférni, és ugyanannál a számlánál többször is próbálkozik, ez riasztást vált ki a pénzintézetnél, és zárolják a hozzáférést vagy más óvintézkedést alkalmaznak. Ezért aztán a hacker csak egyszer próbálkozik minden egyes fióknál, amelyekbe egy gyakran használt jelszóval kísérel meg belépni, így minden egyes számla esetében csak egyetlen sikertelen próbálkozást fog észlelni a bank rendszere.
Ezt követően a hacker vár néhány napot, majd egy másik elterjedten használt jelszóval próbálkozik az összes számlánál. És mivel a művelethez több milliónyi feltört számítógépből álló bothálózatot használ, a próbálkozások nem ugyanarról a gépről érkeznek.
Az iparág igyekszik védekezni a támadások ellen: a kétfaktoros azonosítás kezd elterjedtté válni a felhőszolgáltatóknál, a pénzügyi szolgáltatóknál és a nagyobb online kereskedőknél. Ugyancsak jó hasznát veszik a csalások megakadályozására a biometikus azonosítási módszereknek, valamint az ellopott bejelentkezési azonosítókkal való hozzáférést megakadályozni hivatott viselkedéselemzésnek.
