Najczęstsze ataki na hasła i jak się przed nimi ochronić
Uwierzytelnianie bezhasłowe Secret Double Octopus
Współczesne organizacje są stale narażone na coraz częstsze ataki cyberprzestępców, w wyniku których mogą stracić poufne dane i ponieść ogromne straty finansowe i wizerunkowe. Nie od dziś wiadomo, że najsłabszym ogniwem w każdym systemie zabezpieczeń jest człowiek, a każde hasło może zostać złamane… Hasła są niezwykle cenne, ale też podatne na ataki i dlatego tak często stają się celem dla cyberprzestępców. Różne są też techniki wykorzystywane przez hakerów w celu zdobycia haseł.
Najczęściej spotykane techniki i metody ataków na hasła:
- Inżynieria społeczna (ang. social engineering)
Metody ataków wykorzystujące inżynierię społeczną (zwaną również socjotechniką) opierają się przede wszystkim na wykorzystywaniu mechanizmów psychologicznych do wyłudzenia poufnych informacji. Cyberprzestępcy starają się oszukać ofiarę, np. błędnie przekierowując użytkowników do złośliwych witryn i prosząc ich o podanie haseł, a także innych danych uwierzytelniających. Pozyskane w ten sposób hasła mogą następnie zostać użyte przez cyberprzestępców do logowania. Atak ten jest prawdopodobnie najłatwiejszy do wykonania dla hakerów i dlatego jest to obecnie najbardziej rozpowszechniona forma ataku. Istnieje wiele różnych technik inżynierii społecznej, w tym phishing, vishing (phishing głosowy), spear phishing i pharming, a także bardziej złożone manipulacje, które obejmują kombinację różnych technik.
- Brute Force
Ataki Brute Force mają na celu złamanie hasła poprzez sprawdzenie wszystkich możliwych kombinacji hasła lub znalezienie aplikacji, która zaakceptuje skradzione hasło. Hakerzy wykorzystują do tego tzw. ataki słownikowe, które sprawdzają dopasowanie różnych wariantów haseł w oparciu o popularne i często używane w hasłach słowa i wyrażenia. Z kolei aby znaleźć aplikację, która zaakceptuje skradzione hasło, hakerzy używają technik password spraying lub credential stuffing (zapychanie poświadczeniami).
Password spraying ma miejsce, gdy hakerzy używają krótkiej listy często używanych haseł (np. „12345678”), aby uzyskać dostęp do wielu różnych kont. Celem jest znalezienie dopasowania, które pozwoli napastnikowi wejść na konto ofiary.
„Zapychanie poświadczeniami” (ang. credential stuffing) polega na wykorzystaniu przez hakerów tendencji użytkowników do ponownego używania tego samego hasła na wielu kontach. Dlatego próbują oni użyć wykradzionych danych z jednego konta (np. hasło do konta na Facebooku), aby uzyskać dostęp do innego konta (np. do konta Office 365).
- Wydobywanie haseł z magazynów danych logowania (Credential Store)
Aplikacje i systemy operacyjne rutynowo zapisują hasła i inne dane uwierzytelniające w pamięci podręcznej, zmniejszając ilość haseł koniecznych do wprowadzania przez użytkowników. Atakujący mogą wykraść te hasła, naruszając magazyny danych logowania, które przechowują hasła (zwykle używane przez systemy operacyjne i przeglądarki), pliki poświadczeń (np. należące do aplikacji do zarządzania hasłami), hasła przechowywane w rejestrze komputera itp.
- Przechwytywanie wejścia (Input Capture)
Przechwytywanie danych wejściowych ma miejsce, gdy atakujący przechwytują proces wprowadzania hasła za pomocą np. keyloggerów zainstalowanych na komputerach użytkowników lub poprzez przechwytywanie interfejsu API systemu operacyjnego, który obsługuje wprowadzanie haseł (Credential API Hooking). Atakujący mogą również manipulować graficznym interfejsem użytkownika systemu operacyjnego, aby renderować złośliwe żądania wprowadzenia hasła (GUI Input Capture).
- Sniffing w sieci
Sniffing jest jedną z technik przechwytywania danych, a zarazem (działając w pełni pasywnie) trudną do wykrycia. Sniffowanie ma miejsce, gdy osoba atakująca obserwuje i analizuje ruch sieciowy, próbując wydobyć z niego poufne informacje, takie jak hasła. Atak ten jest podobny do podsłuchiwania komunikacji telefonicznej, tyle że zastosowany w sieci.
- Man-in-the-Middle (MITM)
Ataki typu MITM pozwalają hakerom na przejęcie i „umieszczenie się” w kanale komunikacyjnym między użytkownikami a aplikacjami, z którymi się łączą. Gdy haker jest już „w środku”, może przechwycić ruch sieciowy i wydobyć z niego hasła i inne poufne informacje wymieniane między użytkownikiem a aplikacją. W przeciwieństwie do podsłuchiwania sieci (sniffing), które umożliwia atakującemu tylko bierne obserwowanie ruchu sieciowego, tutaj osoba atakująca może aktywnie manipulować komunikacją między użytkownikiem a aplikacją.
Metod ataków i technik stosowanych przez cybeberprzestępców jest znacznie więcej. Dlatego dotychczas stosowane technologie uwierzytelniania za pomocą haseł są przestarzałe i nie zapewniają wystarczającej ochrony przed współczesnymi zagrożeniami. Obecnie to hasło stało się najsłabszym elementem w zabezpieczeniach. Dlatego najskuteczniejszą metodą zapobiegania atakom na hasła jest zastosowanie technologii bezhasłowego uwierzytelniania, która zapewnia większe bezpieczeństwo, lepszy komfort użytkownika i jest tańsza w posiadaniu i obsłudze.
Jedną z najnowocześniejszych technologii uwierzytelniania bezhasłowego oferuje obecnie firma Secret Double Octopus, której produkty pozwalają całkowicie wyeliminować konieczność używania haseł w organizacji. Rozwiązania Secret Double Octopus zapewniają korzyści dla bezpieczeństwa organizacji (np. odporność na wycieki haseł czy ochrona przed większością technik stosowanych przez cyberprzestępców), wpływają na poprawę komfortu użytkownika (User Experience), a także uwalniają organizację od trudnego i kosztownego zarządzania hasłami i bezpieczeństwem danych uwierzytelniających.
Tekst źródłowy: https://doubleoctopus.com/blog/top-6-password-attacks/

Praca w IT bez doświadczenia. Liderzy EY GDS o tym, jak odnaleźć swoją ścieżkę do sukcesu na rynku IT

Wyzwania związane z cyfryzacją firm - jak je pokonać?

Nowy system wykrywania i sygnalizacji pożaru w Data Centre w Warszawie
Kalendarium
Więcej ważnych informacji
Jedynka Newserii

Handel

Automatyzacja pomaga firmom budować przewagę nad konkurencją. Zwłaszcza wykorzystanie narzędzi sztucznej inteligencji
Firmy coraz chętniej inwestują w cyfryzację i automatyzację procesów, w tym z wykorzystaniem sztucznej inteligencji (AI), co pozwala im oszczędzać czas, redukować koszty operacyjne i poprawiać jakość obsługi klienta. Nowoczesne narzędzia takie jak platforma FlowDog pozwalają relatywnie szybko i efektywnie kosztowo usprawniać procesy obsługi reklamacji, zleceń serwisowych czy analizę danych sprzedażowych. Eksperci podkreślają, że dobrze wdrożona automatyzacja może przynieść zwrot z inwestycji już w ciągu kilku miesięcy, zwiększając konkurencyjność firm na dynamicznie zmieniającym się rynku
Handel
Odwetowe cła z UE na amerykańskie towary mogą być kolejnym etapem wojny handlowej. Następne decyzje spowodują dalszy wzrost cen

Komisja Europejska zapowiedziała nałożenie ceł na amerykańskie produkty w reakcji na wejście w życie ceł USA na stal i aluminium. Unijne cła o wartości 26 mld zł wejdą w życie 1 kwietnia, a w pełni zostaną wdrożone od 13 kwietnia. Donald Trump już zapowiada, że na to odpowie. – Wchodzimy w etap wojny handlowej między Unią Europejską a Stanami Zjednoczonymi i na pewno będziemy świadkami wielu takich odwetów z każdej strony – ocenia europosłanka Anna Bryłka.
Robotyka i SI
Inwestycje w sztuczną inteligencję na bardzo niskim poziomie. Potencjał polskich kadr nie jest wykorzystywany

Komisja Europejska zapowiedziała uruchomienie nowej inicjatywy InvestAI, która ma zmobilizować 200 mld euro na inwestycje w sztuczną inteligencję. W globalnym wyścigu zbrojeń w AI to jednak wciąż niewiele. Również polskie firmy technologiczne zazwyczaj korzystają z infrastruktury stworzonej przez zachodnich liderów. Największym wyzwaniem, które stoi przed polskimi firmami, jest to, by innowacje były tworzone na miejscu. – Zwłaszcza że inwestycja w sztuczną inteligencję i kryptografię kwantową to inwestycja w bezpieczeństwo kraju – przekonuje dr Maciej Kawecki, prezes Instytutu Lema.
Szkolenia

Akademia Newserii
Akademia Newserii to projekt, w ramach którego najlepsi polscy dziennikarze biznesowi, giełdowi oraz lifestylowi, a także szkoleniowcy z wieloletnim doświadczeniem dzielą się swoją wiedzą nt. pracy z mediami.