Slaptažodžio apsauga yra veiksminga prieigos kontrolės technika, kurią visi naudojame kasdien. Tikėtina, kad jis daugelį metų išliks svarbiu kibernetinio saugumo ramsčiu.
Kita vertus, kibernetiniai nusikaltėliai naudoja skirtingus slaptažodžių nulaužimo ir neteisėtos prieigos metodus. Tai apima vaivorykštės stalo atakas. Bet kas yra vaivorykštės stalo atakos ir kuo jos pavojingos? Dar svarbiau, ką galite padaryti, kad apsisaugotumėte nuo jų?
Kaip saugomi slaptažodžiai?
Jokia platforma ar programa, kuri rimtai vertina saugumą, nesaugo slaptažodžių paprastu tekstu. Tai reiškia, kad jei jūsų slaptažodis yra „password123“ (o dėl akivaizdžių priežasčių jo tikrai neturėtų būti), jis nebus saugomas kaip toks, o kaip raidžių ir skaičių derinys.
Šis paprasto teksto konvertavimo į iš pažiūros atsitiktinį simbolių derinį procesas vadinamas slaptažodžio maiša. Ir
slaptažodžiai yra maišomi pasitelkiant algoritmus, automatizuotas programas, kurios naudoja matematines formules atsitiktiniam tekstui suskirstyti ir užmaskuoti. Kai kurie žinomiausi maišos algoritmai yra šie: MD5, SHA, Whirlpool, BCrypt ir PBKDF2.Taigi, jei paimsite slaptažodį „password123“ ir paleisite jį per MD5 algoritmas, štai ką gausite: 482c811da5d5b4bc6d497ffa98491e38. Ši simbolių eilutė yra „password123“ maišos versija ir formatas, kuriuo jūsų slaptažodis būtų saugomas internete.
Tarkime, kad prisijungiate prie savo el. pašto paskyros. Įvedate savo vartotojo vardą arba el. pašto adresą, tada slaptažodį. El. pašto paslaugų teikėjas automatiškai konvertuoja įvestą paprastą tekstą į maišos reikšmę ir palygina ją su maišos reikšme, kurią iš pradžių išsaugojo, kai pirmą kartą nustatėte slaptažodį. Jei reikšmės sutampa, esate autentifikuotas ir gaunate prieigą prie savo paskyros.
Kaip tada atsirastų tipiška vaivorykštės stalo ataka? Grėsmės veikėjas pirmiausia turėtų gauti slaptažodžių maišą. Norėdami tai padaryti, jie vykdytų tam tikrą kibernetinę ataką arba rastų būdą apeiti organizacijos saugumo struktūrą. Arba jie nusipirktų sąvartyną pavogtos maišos tamsiajame žiniatinklyje.
Kaip veikia vaivorykštės stalo atakos
Kitas žingsnis būtų maišos konvertavimas į paprastą tekstą. Akivaizdu, kad vaivorykštės stalo atakos metu užpuolikas tai darytų naudodamas vaivorykštės lentelę.
Vaivorykštės lenteles išrado IT ekspertas Philippe'as Oechslinas, kurio darbas buvo pagrįstas kriptologo ir matematiko Martino Hellmano tyrimais. Vaivorykštės lentelės, pavadintos pagal spalvas, vaizduojančias skirtingas lentelės funkcijas, sumažina laiką reikalingas maišos konvertavimui į paprastą tekstą, kad kibernetinis nusikaltėlis galėtų daugiau įvykdyti ataką efektyviai.
Įprastoje žiaurios jėgos puolimas, pavyzdžiui, grėsmės veikėjui reikės atskirai iššifruoti kiekvieną maišos slaptažodį, apskaičiuoti tūkstančius žodžių junginių ir tada juos palyginti. Šis bandymų ir klaidų metodas vis dar veikia ir tikriausiai veiks visada, tačiau reikalauja daug laiko ir milžiniškos skaičiavimo galios. Tačiau vaivorykštės lentelės atakos metu užpuolikui tereikia paleisti gautą slaptažodžio maišą maišos duomenų bazėje, tada pakartotinai ją padalinti ir sumažinti, kol bus atskleistas paprastas tekstas.
Trumpai tariant, taip veikia vaivorykštės stalo atakos. Nulaužęs slaptažodį, grėsmės veikėjas turi daugybę galimybių, kaip elgtis. Jie gali nusitaikyti į savo auką įvairiais būdais, gaudami neteisėtą prieigą prie visų rūšių neskelbtinų duomenų, įskaitant informaciją, susijusią su kepimu internetu ir pan.
Kaip apsisaugoti nuo vaivorykštės stalo atakų
Vaivorykštės stalo atakos nėra tokios dažnos, kaip kadaise, tačiau jos vis dar kelia didelę grėsmę įvairaus dydžio organizacijoms, o taip pat ir asmenims. Laimei, yra būdų, kaip apsisaugoti nuo jų. Štai penki dalykai, kuriuos galite padaryti, kad išvengtumėte vaivorykštės stalo atakos.
1. Nustatykite sudėtingus slaptažodžius
Būtina naudoti ilgus, sudėtingus slaptažodžius. Geras slaptažodis turi būti unikalus, jame turi būti mažųjų ir didžiųjų raidžių, skaičių ir specialiųjų simbolių. Šiomis dienomis dauguma platformų ir programų reikalauja, kad vartotojai tai padarytų, todėl įsitikinkite sukurti nepalaužiamą slaptažodį kad tu nepamirši.
2. Naudokite kelių faktorių autentifikavimą
Daugiafaktoris autentifikavimas (MFA) yra paprastas, bet galingas saugos mechanizmas, dėl kurio dauguma slaptažodžių atakų tampa beprasmiškos. Nustatę MFA, negalėsite pasiekti paskyros naudodami tik savo vartotojo vardą ir slaptažodį. Vietoj to turite pateikti papildomą savo tapatybę patvirtinantį dokumentą. Tai gali būti nuo telefono numerio patvirtinimo ir laikino PIN kodo įvedimo iki piršto atspaudo patikrinimo ir atsakymo į asmeninį saugos klausimą.
3. Paįvairinkite savo slaptažodžius
Jei visur naudojate tą patį slaptažodį, užtenka vieno pažeidimo, kad būtų pažeistos visos paskyros, nesvarbu, koks geras tas slaptažodis būtų. Štai kodėl svarbu kiekvienai paskyrai naudoti skirtingą slaptažodį. Jei be slaptažodžio yra galimybė, apsvarstykite ir tai: jei nenaudojate slaptažodžio, negalite tapti vaivorykštės lentelės atakos ar bet kokios kitos slaptažodžiu pagrįstos atakos auka.
4. Venkite silpnų maišos algoritmų
Kai kurie maišos algoritmai, pvz., MD5, yra silpni, todėl juos lengva naudoti. Organizacijos turėtų laikytis naujausių algoritmų, tokių kaip SHA-256, kuris yra toks saugus, kad jį naudoja vyriausybinės agentūros JAV, Australijoje ir kitur. Kaip paprastas žmogus, turėtumėte stengtis vengti platformų ir programų, kuriose naudojamos pasenusios technologijos.
5. Naudokite slaptažodžio sūdymą
Slaptažodžio maiša yra puiki ir būtina saugumo priemonė, bet ką daryti, jei jūs ir kitas asmuo naudojate tą patį slaptažodį? Jų maišos versijos taip pat būtų identiškos. Čia atsiranda procesas, vadinamas sūdymu. Slaptažodžių paskyrimas iš esmės susideda iš atsitiktinių simbolių pridėjimo prie kiekvieno maišos slaptažodžio, todėl jis tampa visiškai unikalus. Šis patarimas taip pat galioja tiek organizacijoms, tiek asmenims.
Supraskite slaptažodžio saugą, kad išliktumėte saugūs
Slaptažodžio saugumas yra labai svarbus, kai reikia užkirsti kelią neteisėtai prieigai ir įvairių tipų kibernetinėms atakoms. Tačiau tai apima ne tik unikalios, lengvai įsimenamos frazės sugalvojimą.
Norėdami padidinti bendrą kibernetinį saugumą, turite suprasti, kaip iš tikrųjų veikia slaptažodžio apsauga, ir imtis veiksmų, kad apsaugotumėte savo paskyras. Kai kuriems tai gali būti neįtikėtina, tačiau naudojant patikimus autentifikavimo metodus ir slaptažodžių tvarkyklę gali būti labai daug.
