Komunikaty PR

Najczęstsze ataki na hasła i jak się przed nimi ochronić

2020-10-08  |  01:00

Uwierzytelnianie bezhasłowe Secret Double Octopus

Współczesne organizacje są stale narażone na coraz częstsze ataki cyberprzestępców, w wyniku których mogą stracić poufne dane i ponieść ogromne straty finansowe i wizerunkowe. Nie od dziś wiadomo, że najsłabszym ogniwem w każdym systemie zabezpieczeń jest człowiek, a każde hasło może zostać złamane… Hasła są niezwykle cenne, ale też podatne na ataki i dlatego tak często stają się celem dla cyberprzestępców. Różne są też techniki wykorzystywane przez hakerów w celu zdobycia haseł. 


Najczęściej spotykane techniki i metody ataków na hasła:     

  1. Inżynieria społeczna (ang. social engineering)
    Metody ataków wykorzystujące inżynierię społeczną (zwaną również socjotechniką) opierają się przede wszystkim na wykorzystywaniu mechanizmów psychologicznych do wyłudzenia poufnych informacji. Cyberprzestępcy starają się oszukać ofiarę, np. błędnie przekierowując użytkowników do złośliwych witryn i prosząc ich o podanie haseł, a także innych danych uwierzytelniających. Pozyskane w ten sposób hasła mogą następnie zostać użyte przez cyberprzestępców do logowania. Atak ten jest prawdopodobnie najłatwiejszy do wykonania dla hakerów i dlatego jest to obecnie najbardziej rozpowszechniona forma ataku. Istnieje wiele różnych technik inżynierii społecznej, w tym phishing, vishing (phishing głosowy), spear phishing i pharming, a także bardziej złożone manipulacje, które obejmują kombinację różnych technik.
     
  2. Brute Force
    Ataki Brute Force mają na celu złamanie hasła poprzez sprawdzenie wszystkich możliwych kombinacji hasła lub znalezienie aplikacji, która zaakceptuje skradzione hasło. Hakerzy wykorzystują do tego tzw. ataki słownikowe, które sprawdzają dopasowanie różnych wariantów haseł w oparciu o popularne i często używane w hasłach słowa i wyrażenia. Z kolei aby znaleźć aplikację, która zaakceptuje skradzione hasło, hakerzy używają technik password spraying lub credential stuffing (zapychanie poświadczeniami). 
    Password spraying ma miejsce, gdy hakerzy używają krótkiej listy często używanych haseł (np. „12345678”), aby uzyskać dostęp do wielu różnych kont. Celem jest znalezienie dopasowania, które pozwoli napastnikowi wejść na konto ofiary. 
    „Zapychanie poświadczeniami” (ang. credential stuffing) polega na wykorzystaniu przez hakerów tendencji użytkowników do ponownego używania tego samego hasła na wielu kontach. Dlatego próbują oni użyć wykradzionych danych z jednego konta (np. hasło do konta na Facebooku), aby uzyskać dostęp do innego konta (np. do konta Office 365).
     
  3. Wydobywanie haseł z magazynów danych logowania (Credential Store)
    Aplikacje i systemy operacyjne rutynowo zapisują hasła i inne dane uwierzytelniające w pamięci podręcznej, zmniejszając ilość haseł koniecznych do wprowadzania przez użytkowników. Atakujący mogą wykraść te hasła, naruszając magazyny danych logowania, które przechowują hasła (zwykle używane przez systemy operacyjne i przeglądarki), pliki poświadczeń (np. należące do aplikacji do zarządzania hasłami), hasła przechowywane w rejestrze komputera itp.
     
  4. Przechwytywanie wejścia (Input Capture)
    Przechwytywanie danych wejściowych ma miejsce, gdy atakujący przechwytują proces wprowadzania hasła za pomocą np. keyloggerów zainstalowanych na komputerach użytkowników lub poprzez przechwytywanie interfejsu API systemu operacyjnego, który obsługuje wprowadzanie haseł (Credential API Hooking). Atakujący mogą również manipulować graficznym interfejsem użytkownika systemu operacyjnego, aby renderować złośliwe żądania wprowadzenia hasła (GUI Input Capture). 
     
  5. Sniffing w sieci 
    Sniffing jest jedną z technik przechwytywania danych, a zarazem (działając w pełni pasywnie) trudną do wykrycia. Sniffowanie ma miejsce, gdy osoba atakująca obserwuje i analizuje ruch sieciowy, próbując wydobyć z niego poufne informacje, takie jak hasła. Atak ten jest podobny do podsłuchiwania komunikacji telefonicznej, tyle że zastosowany w sieci.
     
  6. Man-in-the-Middle (MITM)
    Ataki typu MITM pozwalają hakerom na przejęcie i „umieszczenie się” w kanale komunikacyjnym między użytkownikami a aplikacjami, z którymi się łączą. Gdy haker jest już „w środku”, może przechwycić ruch sieciowy i wydobyć z niego hasła i inne poufne informacje wymieniane między użytkownikiem a aplikacją. W przeciwieństwie do podsłuchiwania sieci (sniffing), które umożliwia atakującemu tylko bierne obserwowanie ruchu sieciowego, tutaj osoba atakująca może aktywnie manipulować komunikacją między użytkownikiem a aplikacją.

Metod ataków i technik stosowanych przez cybeberprzestępców jest znacznie więcej. Dlatego dotychczas stosowane technologie uwierzytelniania za pomocą haseł są przestarzałe i nie zapewniają wystarczającej ochrony przed współczesnymi zagrożeniami. Obecnie to hasło stało się najsłabszym elementem w zabezpieczeniach. Dlatego najskuteczniejszą metodą zapobiegania atakom na hasła jest zastosowanie technologii bezhasłowego uwierzytelniania, która zapewnia większe bezpieczeństwo, lepszy komfort użytkownika i jest tańsza w posiadaniu i obsłudze. 

Jedną z najnowocześniejszych technologii uwierzytelniania bezhasłowego oferuje obecnie firma Secret Double Octopus, której produkty pozwalają całkowicie wyeliminować konieczność używania haseł w organizacji. Rozwiązania Secret Double Octopus zapewniają korzyści dla bezpieczeństwa organizacji (np. odporność na wycieki haseł czy ochrona przed większością technik stosowanych przez cyberprzestępców), wpływają na poprawę komfortu użytkownika (User Experience), a także uwalniają organizację od trudnego i kosztownego zarządzania hasłami i bezpieczeństwem danych uwierzytelniających.

 

Tekst źródłowy: https://doubleoctopus.com/blog/top-6-password-attacks/

 

Newseria nie ponosi odpowiedzialności za treści oraz inne materiały (np. infografiki, zdjęcia) przekazywane w „Biurze Prasowym”, których autorami są zarejestrowani użytkownicy tacy jak agencje PR, firmy czy instytucje państwowe.
Ostatnio dodane
komunikaty PR z wybranej przez Ciebie kategorii
Technologie 5 najczęstszych mitów o pracy w IT. Sprawdź, jak jest naprawdę! Biuro prasowe
2024-12-23 | 08:00

5 najczęstszych mitów o pracy w IT. Sprawdź, jak jest naprawdę!

Praca w branży technologicznej jest obiektem wielu stereotypów, które czasami mogą odstraszać potencjalnych kandydatów. W rzeczywistości to różnorodna
Technologie realme prezentuje 14 Pro - smartfon zmieniający kolor pod wpływem zimna
2024-12-20 | 11:00

realme prezentuje 14 Pro - smartfon zmieniający kolor pod wpływem zimna

Seria realme 14 Pro wprowadza innowacyjną, wrażliwą na zimno technologię zmiany koloru, co jest pierwszym tego typu rozwiązaniem w branży smartfonów. Wykorzystuje ona zaawansowane
Technologie Świąteczna oferta EZVIZ: niezwykłe promocje na urządzenia smart home!
2024-12-20 | 01:00

Świąteczna oferta EZVIZ: niezwykłe promocje na urządzenia smart home!

To idealny moment, aby wyposażyć swój dom w najnowsze technologie i cieszyć się komfortem oraz bezpieczeństwem na najwyższym poziomie. Wśród prawdziwych, zakupowych

Kalendarium

Więcej ważnych informacji

Jedynka Newserii

Jedynka Newserii

Problemy społeczne

Przeciętny Polak spędza w sieci ponad trzy godziny dziennie. Tylko 11 proc. podejmuje próby ograniczenia tego czasu

Polacy średnio spędzają w internecie ponad trzy godziny dziennie. Jednocześnie, według badania na temat higieny cyfrowej, jedynie 14 proc. respondentów kontroluje swój czas ekranowy, a co piąty ogranicza liczbę powiadomień w telefonie czy komputerze. Nadmierne korzystanie z ekranów może wpływać na zaniedbywanie obowiązków i relacji z innymi, a także obniżenie nastroju i samooceny. Kampania Fundacji Orange „Nie przescrolluj życia” zwraca uwagę na potrzebę dbania o higienę cyfrową. Szczególnie okres świątecznego wypoczynku sprzyja takiej refleksji.

Prawo

Pediatrzy: Słodkie e-papierosy nie są przebadane. Państwo musi przejąć inicjatywę w sprawie kontroli ich jakości

Co trzeci uczeń pierwszą styczność z nikotyną miał w wieku 13 lat. Dla 70 proc. pierwszym w życiu wyrobem z nikotyną był e-papieros. Wśród uczniów używających obecnie nikotyny najwięcej, bo 80 proc., używa e-papierosów, najczęściej o słodkich smakach – wynika z badań CBOS. W dodatku z badań wynika, że zakaz sprzedaży takich produktów niepełnoletnim jest skutecznie omijany. Polskie Towarzystwo Pediatryczne, wspierane przez lekarzy innych specjalności, apeluje do premiera o wycofanie ze sprzedaży smakowych e-papierosów z nikotyną i bez niej. Zwłaszcza słodkie substancje smakowe dodawane do e-liquidów dla osiągnięcia atrakcyjnego smaku wciąż nie są wystarczająco przebadane  alarmują toksykolodzy.

Infrastruktura

Prąd z największej prywatnej inwestycji energetycznej w Polsce popłynie w 2027 roku. Polenergia dostała właśnie potężny zastrzyk finansowania

Polenergia S.A. i Bank Gospodarstwa Krajowego podpisały umowę pożyczki ze środków Krajowego Planu Odbudowy (KPO) na budowę morskich farm wiatrowych. Finansowanie wyniesie 750 mln zł i zostanie wykorzystane do budowy dwóch farm o łącznej mocy 1440 MW. Największa prywatna grupa energetyczna w Polsce realizuje ten projekt z norweskim Equinorem. Prace związane z budową fundamentów turbin na Bałtyku mają się rozpocząć w 2026 roku. Projekty offshorowe będą jednym z filarów nowej strategii Polenergii, nad którą spółka właśnie pracuje.

Szkolenia

Akademia Newserii

Akademia Newserii to projekt, w ramach którego najlepsi polscy dziennikarze biznesowi, giełdowi oraz lifestylowi, a  także szkoleniowcy z wieloletnim doświadczeniem dzielą się swoją wiedzą nt. pracy z mediami.