אין סיסמה שהיא חזקה מספיק | מהן מתקפות Brute Force?

כאשר אנו מנסים להגן על הנתונים שלנו מפני פושעי סייבר, יש הגנה אחת שכולנו משתמשים בה: סיסמה.

שמירה על מידע אישי, פרטי חשבון בנק וקבצים שונים מוגנים לרוב על ידי סיסמאות. סיסמה היא מפתח שפושעי הסייבר רוצים להשיג - והתקפות brute force מסייעות להם להשיג אותן.

שמירה על היגיינת סיסמאות נכונה יכולה להיות משימה לא פשוטה בעידן הדיגיטלי בו אנו חיים.

חברת אבטחת המידע ESET מסבירה מהי מתקפת brute force ומסתבר שכולנו מכירים אותה ממש ממזמן.

על פי מחקר של Specops משנת 2020:

· 48% מהנסקרים מחזיקים בממוצע 11 סיסמאות שונות בעבודה.

· רק ל-1.57% יש סיסמה קשיחה שמורכבת מאותיות גדולות, אותיות קטנות, ספרות וסימנים מיוחדים.

· 54% שומרים את הסיסמאות שלהם בצורה לא בטוחה. כותבים על נייר, או פתק, שומרים בקובץ במחשב או משתמשים בוריאציות שונות לאותה סיסמה.

עבור פושעי סייבר, פרטי ההתחברות שלנו הם מצרך יקר ומשתלם - וחברות מודעות לכך היטב. כדי להגן על הפרטיות של המשתמשים, עלינו לשאוף ללא הרף להפוך את האבטחה לקשיחה יותר, למשל, על ידי דרישת סיסמאות מורכבות מהעובדים.

ובכל זאת, חלק מהעובדים מזלזלים בפושעי סייבר ומאמינים שאם הם לא משתמשים בסיסמאות קצרות וקלות לפריצה כמו 123456, הסיסמאות שלהם מספיק בטוחות והם בטוחים מאיומים.

זה לא יכול להיות יותר רחוק מהאמת. בהתקפות brute force, פושעי סייבר מנסים לנחש או להשיג פרטי התחברות של המשתמשים ולקבל גישה לחשבונותיהם - וכפי שמוצג מהסטטיסטיקה, במקרים רבים כשהתוקפים מצליחים לפרוץ נעשה שימוש גם בסיסמאות מורכבות.

אילו וכמה תווים יש לסיסמאות שפוצחו על ידי מתקפות brute force?

· 93% מהסיסמאות שפוצחו היו בעלות 8 תווים ומעלה

· 41% מהסיסמאות שפוצחו היו בעלות 12 תווים ומעלה

· 68% מהסיסמאות שפוצחו הכילו לפחות שני סוגים של תווים

כפי שהמספרים מראים, האקרים מודעים להתפתחויות באבטחת סיסמאות ומתאימים בקלות את הטקטיקות שלהם כדי להשיג הצלחה. האיום של התקפות מסוג זה יכול לבוא בצורות רבות - בואו נכיר אותן טוב יותר.

מהי מתקפת Brute force?

במתקפה זו, הפורצים מנסים לגלות את הסיסמה באמצעות מעבר שיטתי על אפשרויות רבות של סיסמאות. הם עשויים, למשל, לבדוק את שילובי הסיסמאות הנפוצים ביותר או להשתמש במידע הנגיש באינטרנט, למשל, במדיה החברתית של הקורבן.

להמחשה פשוטה – זוכרים את המנעולים הפיזיים עם המספרים, אלו שמאפשרים לזכור מספר ולא להחזיק מפתח? אותם מנעולים שאפשר לשחק איתם עד שהם נפתחים? זה בדיוק אותו הדבר.

למתקפה הזו קיימות דרכי פעולה שונות:

מתקפות ריסוס סיסמאות

במהלך התקפות ריסוס סיסמאות, האקרים משתמשים ברשימה של הסיסמאות וביטויי הסיסמה השכיחים ביותר, ועל ידי שימוש בתוכנה ייעודית, הם בודקים את אותה הסיסמה בחשבונות רבים ושונים. מתקפה אחת עלולה להשיג להאקרים גישה לעשרות או אפילו מאות חשבונות שונים.

התקפת מילון (Dictionary)

האקרים מנסים שילובים ווריאציות שונות של מילים נפוצות במהלך התקפת מילון. ההתקפות לרוב אינן מבוצעות באופן ידני - האקרים משתמשים לרוב בתוכנה שעובדת עם רשימות סיסמאות נפוצות ומילונים נרחבים (כפי שמרמז שם המתקפה) ומכניסה את שילובי הסיסמאות הרבים האפשריים למערכת הנבחרת.

מילוי פרטי התחברות

אם תוקף מחזיק ברשימה של פרטי התחברות שדלפו, מאתר מסוים, הוא עשוי להשתמש בתוכנה מיוחדת כדי להזין שילובים של שם משתמש וסיסמה באתרים רבים. במקרה שהמשתמש המושפע משתמש באותם פרטי ההתחברות עבור מספר אתרים שונים - וזו, למרבה הצער, עדיין טעות נפוצה - הפושעים עשויים לקבל גישה למספר חשבונות עם שילוב אחד בלבד של פרטי ההתחברות.

מתקפות Brute force הפוכות

לפעמים, לפושעי רשת כבר יש את הסיסמה - כל מה שהם צריכים לעשות הוא למצוא את המשתמש הנכון. באמצעות רשימות הסיסמאות שהודלפו בפרצות נתונים קודמות, ההאקרים עשויים לחפש פלטפורמות ומסדי נתונים שונים, ולנסות את פרטי ההתחברות שנפגעו בחשבונות שונים.

מתקפות Brute force היברדיות

התקפות אלו משלבות את טכניקות ההתקפה שתוארו לעיל. בדרך כלל, האקרים בוחרים במתקפת מילון בשילוב עם מתקפת brute forceהקלאסית. בניסיון לפרוץ לחשבונות שונים - בדרך כלל כבר מכירים את שמות המשתמש - הם משתמשים במילים וביטויים נפוצים בשילוב עם קבוצה של אותיות או מספרים, שעשויים להיות אקראיים או מבוססים על מחקרים קודמים על הקורבנות.

איך להתגונן מפני התקפות Brute force?

עבור המשתמש הפרטי או עובדי הארגונים השונים, האמצעי העיקרי שהם צריכים לדבוק בו הוא הקפדה על היגיינת סיסמאות נאותה. זה עשוי להיות מורכב משימוש בסיסמה ייחודית עבור כל חשבון, בחירה בביטויי סיסמה ארוכים יותר המכילים תווים שונים, ושימוש במנהל סיסמאות אמין כדי לאחסן את פרטי ההתחברות שלהם. שימוש באימות רב-שלבי (MFA) הוא גם בגדר חובה. הודות ל-MFA, גם אם שם המשתמש והסיסמה נחשפו או דלפו, יהיה להאקרים יותר קשה לגשת לנתונים באופן מידי.

עבור עסקים: ניתן לשקול שימוש ב-CAPTCHA כדי למנוע מכלי התקפתbrute force שעלולות לאפשר גישה למערכות הארגון. כמו כן, מומלץ לשנות את ביטויי הסיסמה מעת לעת. לבסוף, חשוב להגדיר מדיניות סיסמאות מאובטחת ולשפר עוד יותר את בטיחות העובדים והארגון על ידי ניטור אקטיבי של הפעילות המתרחשת בפלטפורמות ובמערכות הארגון. הקפדה על נהלים בטוחים ושמירה על ערנות מונעת מצמצמת את הסיכונים.

'בחדרי' גם ברשתות החברתיות - הצטרפו!