Знаешь что? Люди отстой в паролях. Мы используем слабые пароли, мы повторно используем пароли. Или мы записываем пароли или храним их одинаково небезопасными способами. Эти практики делают наши данные очень уязвимыми. Неудивительно, что нападавшие идут за ними.
Конечно, процесс аутентификации пароля существует. Тем не менее, получение доступа к паролям может быть действительно простым.
Метод 1: Спросите пользователя для их пароля Метод 2: Попробуйте пароль, уже скомпрометированный принадлежность к методу пользователя 3: Попробуйте слабый пароль для нескольких пользователей… и многое другое.
В 2018 году, Хакеры украли половину миллиарда личных записей , крутой рост на 126% с 2017 года. Вот почему политика и требования к паролям организации должны быть разработаны с максимальной точностью и тщательностью.
Каковы компании нужны надежные политики пароля, которые активно идентифицируют уязвимые учетные записи пользователей и предотвращают использование слабых паролей, подверженных взлому паролем. Возможность выйти и обнаружить плохие пароли до того, как злоумышленник найдет их, — это безопасность.
Прежде чем мы погрузимся в способы защиты ваших паролей, нам сначала нужно понять максимальные риски безопасности паролей.
Каковы лучшие риски безопасности пароля?
Вот некоторые из лучших рисков безопасности пароля:
1. Фишинг/Сниферы/Кейлоггеры
Один из самых простых способов получить доступ к чьему -либо паролю — это рассказать вам. С помощью этого метода хакеры могут даже обойти процесс аутентификации пароля.
Вот как:
Атакующие нацелены на пользователей, обманывая их в ввод своих паролей в вредоносные веб -сайты, которые они контролируют (известные как фишинг), проникнув небезопасной, незашифрованной беспроводной или проводной сети (обычно известной как нюхания) или устанавливая кейлоггер (программное обеспечение или оборудование) на компьютер Анкет
Эти методы предоставляют злоумышленникам довольно простые способы красть учетные данные у пользователей, либо обманывая их в ввод своих паролей, либо прочитав трафик в небезопасных сетях.
2. Грубая сила/растрескивание
Обычным способом для злоумышленников доступ к паролям является грубое принудительное или взломать пароли. Эти методы используют программное обеспечение или автоматизированные инструменты для генерации миллиардов паролей и попытки каждого из них получить доступ к учетной записи и данным пользователя, пока не будет обнаружен правильный пароль.
Атака грубой силы — это та, в которой злоумышленник попробует все комбинации букв, чисел и символов в соответствии с правилами пароля, пока не найдут тот, который работает.
Атаки грубой силы обычно не успешны при проведении «онлайн» из -за правил блокировки пароля, которые обычно существуют. Тем не менее, они часто могут оставаться незамеченными, если злоумышленник может получить копию файла пароля системы или загрузить хэшированные пароли из базы данных, и в этом случае они очень успешны.
Как только злоумышленник получит копию одного или нескольких хэшированных паролей, может быть очень легко определить фактический пароль. Это известно как автономный трещин пароля.
По сути, трещины — это автономная атака грубой силы или атака в автономном словаре. Если вы использовали каждую возможную комбинацию букв, чисел, особых символов и т. Д., Это атака в автономном режиме грубой силы.
Если вы используете модифицированные «словары», огромные списки слов (на нескольких языках) с заменами символов, обычно используемыми паролями и т. Д., Это атака автономного словаря. Если приложение хранит пароли небезопасно (с использованием простого базового хеширования), эти методы растрескивания (грубое сила или атаки словаря) быстро взломают (компромисс) все хэши пароля загрузки.
3. Слабые пароли
Поскольку пользователи должны создавать свои собственные пароли, весьма вероятно, что они не создают безопасный пароль. Это может быть связано с тем, что пользователи хотят иметь пароль, который легко запомнить, или они не в курсе лучших практик безопасности пароля, или они используют шаблоны для генерации своих паролей, таких как использование своего имени или даты рождения в своих паролях.
Хотя пользователям относительно легко запоминать эти шаблоны или пароли, киберпреступники также знают об этих формулах, которые люди используют для создания паролей. Эти типы паролей обычно приводят к слабым и небезопасным паролям, уязвимым для трещины.
4. Повторное использование паролей и использование скомпрометированных паролей
Часто пользователи, как правило, используют подобные пароли в разных сетях и системах, что делает их пароли уязвимыми для взлома.
Хотите знать, как?
Количество кибератак увеличивается с каждым днем, поэтому даже если один веб -сайт или данные системы поставлены под угрозу, вполне вероятно, что злоумышленники получат учетные данные пользователей. Если пользователь использует аналогичные пароли на разных платформах, злоумышленник также может получить доступ к своим данным на других сайтах и сетях.
5. Системы восстановления пароля/сброса
Системы, которые позволяют пользователям восстанавливать или сбросить свой пароль, если они забыли, что он также позволит вредоносным актерам делать то же самое. Помните, что забытый механизм пароля — это просто еще один способ аутентификации пользователя, и он должен быть сильным!
Киберпреступники могут имитировать пользователей и попытаться получить доступ к учетным записям пользователей, пытаясь сбросить пароль. Онлайн -системы, которые полагаются на «вопросы безопасности», такие как «день рождения» или «имя домашнего животного», часто слишком тривиальны для аутентификации, поскольку злоумышленники могут легко получить основные личные данные пользователей из учетных записей социальных сетей.
6. Очистить текстовые пароли в файлах кода и конфигурации
Чистые текстовые пароли представляют серьезную угрозу для безопасности паролей, поскольку они предоставляют учетные данные, которые позволяют несанкционированным людям имитировать законных пользователей и получить разрешение на доступ к своим учетным записям или системам.
Что такое четкие текстовые пароли?
Это могут быть либо пароли, которые остаются видимыми на экране после набора конечного пользователя, либо пароли, хранящиеся в четком тексту в файлах конфигурации или кодах без шифрования для защиты хранимых данных.
Очистить текстовые пароли, будь то входные данные или в файлах конфигурации, очень уязвимы для трещины пароля и других кибер -атак.
Управление паролем и защита: что вы Стоит сделать
Есть много способов защитить вашу учетную запись от трещин пароля и других нарушений аутентификации.
Вот некоторые из наиболее эффективных, простых в реализации и оптимальных решениях, которые помогают защитить ваши пароли:
Образование
Одна из величайших угроз безопасности для вашей организации может на самом деле прийти в вашу организацию или компанию. Инсайдерские атаки были отмечены как один из самых опасных типов атак безопасности, поскольку они связаны с людьми, связанными с организацией, которые довольно знакомы с инфраструктурой.
Многие нарушения кибербезопасности могут быть предотвращены путем обеспечения сильных мер безопасности, таких как безопасные пароли и следование передовым методам безопасности.
Обучение своего сотрудников о кибербезопасности, вы можете защитить свою организацию от некоторых из наиболее распространенных типов кибератак, выровненных против бизнеса.
Например, фишинговые атаки, которые включают электронные письма от подставных доменных имен, которые позволяют злоумышленникам имитировать законные веб -сайты или позировать как кого -то знакомых, чтобы обмануть сотрудников, нажимая на мошеннические ссылки или предоставлять конфиденциальную информацию.
Если ваши сотрудники хорошо осведомлены о лучших методах безопасности, они могут предотвратить множество кибератак.
Безопасное хранилище пароля пользователя
Крайне важно обеспечить хранение паролей пользователя таким образом, чтобы предотвратить получение паролей злоумышленников, даже если система или приложение скомпрометированы.
Как и в случае криптографии, существуют различные факторы, которые необходимо учитывать.
Популярной концепцией для безопасного хранения паролей пользователей является хэширование. Это односторонняя функция, что означает, что невозможно «расшифровать» хэш и получить пароль. Сильный хешинг помогает убедиться, что злоумышленники не могут расшифровать функцию хэш и получить пароль.
Но простой хэшируют пароли недостаточно, вы хотите затруднить злоумышленника, чтобы взломать эти пароли, если ваша база данных будет взломана, а хэши паролей скомпрометированы. Есть две вещи, которые вы должны сделать.
Во -первых, солите свои пароли. Соль (уникальная, случайно сгенерированная строка) прикреплена к каждому паролю как часть процесса хэширования. Если у пользователя есть очень простой пароль, такой как «passw0rd», к нему прикрепляется случайная соль, скажем, к нему. С помощью простого хэша злоумышленнику просто должен генерировать один огромный словарь, чтобы взломать пароль каждого пользователя. Если соленый, злоумышленник должен регенерировать наименьшее для каждого пользователя (используя соль для каждого пользователя). Это делает работу злоумышленника усерднее.
Кроме того, вместо того, чтобы просто использовать алгоритм хеширования, такой как Aerco Hash Algorithm 2 (SHA-2), который может очень быстро рассчитать хэш, вы хотите замедлить злоумышленника с помощью рабочего коэффициента. Коэффициенты работы в основном увеличивают количество времени, необходимого ему для расчета хэша пароля. Они также могут увеличить объем памяти, необходимой для злоумышленника, чтобы рассчитать хэш).
Для пользователя ¼ секунды для расчета хэша является приемлемым временем входа в систему. Для злоумышленника, который хочет рассчитать миллионы паролей на секунду, используя специализированное оборудование, время расчета ¼ второго расчета слишком дорого. Вы можете использовать алгоритм адаптивного хеширования, чтобы потреблять как время, так и память, и затруднить его для злоумышленника, чтобы взломать ваши пароли.
Многофакторная аутентификация
Многофакторная аутентификация (MFA)-это когда пользователь должен представить более одного типа доказательств для аутентификации в системе или приложении.
MFA может использовать комбинацию различных типов доказательств аутентификации, таких как пароли, выводы, вопросы безопасности, аппаратные или программные токены, SMS, телефонные звонки, сертификаты, электронные письма, биометрика, исходные IP -диапазоны и геолокацию для аутентификации пользователей.
MFA следует использовать для повседневной аутентификации. Если есть устойчивость к этому, как минимум, оно должно быть реализовано для выполнения конфиденциальных действий, таких как:
• Изменение паролей или вопросов безопасности • Аутентификация после неудачных попыток входа в систему • Изменение адреса электронной почты или номер мобильного телефона, связанные с учетной записью • Использование привилегированной функциональности • Необычное поведение пользователя, такое как вход из нового устройства, разное время или геолокация • Отключение MFA
MFA-один из лучших способов защиты от большинства атак, связанных с паролем, включая трещину пароля, распыление паролей и начинку учетных данных.
Восстановление пароля
Большинство приложений и систем предоставляют систему восстановления пароля для пользователей, которые забыли свои пароли или просто хотят сбросить свои пароли. Часто злоумышленники могут пытаться взломать учетные записи пользователей, используя систему восстановления пароля.
Помните, что восстановление пароля является формой аутентификации, поэтому пользователь должен быть в состоянии предоставить доказательства, чтобы доказать свою личность.
Используйте многофакторную аутентификацию, которая использует комбинацию паролей, контактов и ограниченных временем токенов сброса пароля на зарегистрированных адресах электронной почты или номеров телефонов, связанных с учетной записью пользователя, для проверки их личности.
Кроме того, сообщают пользователям об их изменениях пароля по электронной почте или SMS, чтобы гарантировать, что только аутентифицированные пользователи имели доступ к своим учетным записям.
Обеспечить сильные пароли
Убедитесь, что пользователи имеют прочные пароли без максимальных ограничений символов. Убедитесь, что пароль представляет собой комбинацию прописных и строчных букв, символов и чисел. Задача с паролями заключается в том, что для того, чтобы быть в безопасности, они должны быть уникальными и сложными.
Однако сложные пароли, как правило, трудно помнить, что означает, что они не обязательно удобны для пользователя. Чтобы поддерживать безопасность, обеспечивая простоту использования пользователям, рассмотрите возможность использования длинных пасфразов.
Пасфразы — это случайная строка букв, которые легче запомнить, но относительно длиннее паролей. В целом, хорошая пассафраза должна иметь не менее 6 слов и должна быть получена, поскольку повседневная словаря часто не является достаточно сильной.
Например: «vitalals.toad.nestle.malachi.barfly.cubicle.snobol»
Рекомендуется использовать диспетчер паролей для создания уникальных, сложных паролей для вас. Они также борются с повторным использованием пароля и гарантируют, что каждый сгенерированный пароль является уникальным.
Шифрование системных паролей
Шифрование — одна из наиболее важных функций пароля безопасности, используемых сегодня для паролей. Во многих системах существует административная учетная запись по умолчанию, которая установлена на простой пароль по умолчанию. Их тривиально легко попробовать. Не используйте пароли по умолчанию.
Часто жесткий пароль записывается в коде или в файле конфигурации. Для злоумышленников довольно просто просто искать эти учетные данные в системе, как только они получат базовый доступ к системе. Затем они используют эти пароли с четкой текстовой системой для поворота и пропадают в другие системы.
Везде, где это возможно, клавиши шифрования должны использоваться для хранения паролей в зашифрованном формате.
Как насчет ключей, используемых для шифрования данных?
Общее правило состоит в том, что вы должны избегать использования клавиш, потому что злоумышленник может легко получить ключ или ваш код, тем самым делая шифрование бесполезным. Вам необходимо надежно хранить ключи в рамках управления ключами, часто называемой хранилищем ключей. Он имеет две функции:
• Случайно генерирует клавиши • надежно хранит ключи
С этими функциями хранение секретных ключей становится легким. Поскольку хранилище ключей случайным образом генерирует и надежно управляет ключами, только ваш код может прочитать его, следовательно, затрудняя злоумышленникам дешифровать пароли.
Последние мысли
Обеспечение соблюдения политики сильных паролей является эффективным способом усиления безопасности, и предприятия должны инвестировать больше времени и ресурсов в обеспечение того, чтобы все заинтересованные стороны, включая сотрудников, третьих лиц и клиентов, следуя строгим протоколам паролей.
Существует много способов реализовать лучшие политики пароля — обеспечить строгие требования к паролям, использовать инструменты для надежного хранения данных, использования шифрования и т. Д.
Cypress Data Defense использует инструменты следующего поколения, которые могут обнаружить и предотвратить слабые пароли, защищая вашу организацию от трещин пароля и других атак на основе аутентификации.
Для получения дополнительной информации об аутентификации и обеспечении соблюдения паролей вы можете обратиться к нам, и мы обеспечим безопасность ваших данных.
Этот пост был первоначально опубликован в CypressDataDefense.com .
Оригинал: «https://dev.to/joywinter90/6-password-security-risks-and-how-to-avoid-them-53e4»