Cách bảo vệ chống lại các cuộc tấn công từ điển mật khẩu

Tác giả sysadmin, T.Mười 26, 2023, 10:37:47 SÁNG

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Cách bảo vệ chống lại các cuộc tấn công từ điển mật khẩu


Các cuộc tấn công từ điển đe dọa tính bảo mật của mạng và nền tảng của bạn.

  • Tấn công từ điển là một loại tấn công mạng phổ biến sử dụng danh sách dài các từ và phần mềm để thử và khớp mật khẩu nhằm giành quyền truy cập vào tài khoản.
  • Các cuộc tấn công Brute-force, cố gắng kết hợp ngẫu nhiên các ký tự, kém hiệu quả và tốn thời gian hơn so với các cuộc tấn công từ điển.
  • Điều quan trọng là sử dụng mật khẩu mạnh, duy nhất, bật xác thực đa yếu tố và cân nhắc sử dụng trình quản lý mật khẩu để bảo vệ khỏi các cuộc tấn công từ điển.


Các cuộc tấn công từ điển đe dọa tính bảo mật của mạng và nền tảng của bạn. Họ cố gắng xâm phạm tài khoản người dùng bằng cách tạo mật khẩu phù hợp. Tìm hiểu cách chúng hoạt động và cách đánh bại chúng.

Bài viết về Tuần nhận thức về An ninh mạng này được mang đến cho bạn cùng với Incogni.

1. Tấn công từ điển là gì?

Tấn công từ điển là một nhóm các cuộc tấn công mạng có chung một kỹ thuật tấn công. Họ sử dụng danh sách dài - đôi khi là toàn bộ cơ sở dữ liệu - gồm các từ và một phần mềm. Phần mềm lần lượt đọc từng từ trong danh sách và cố gắng sử dụng nó làm mật khẩu cho tài khoản đang bị tấn công. Nếu một trong các từ trong danh sách khớp với mật khẩu chính hãng thì tài khoản sẽ bị xâm phạm.

Những cuộc tấn công này khác với kiểu tấn công vũ phu nguyên thủy hơn. Các cuộc tấn công Brute-force thử kết hợp ngẫu nhiên các chữ cái và ký tự với hy vọng rằng chúng tình cờ tìm thấy mật khẩu và chúc may mắn. Những cuộc tấn công này không hiệu quả. Chúng tốn nhiều thời gian và tính toán chuyên sâu.

Nỗ lực cần thiết để bẻ khóa mật khẩu tăng lên ồ ạt với mỗi chữ cái bạn thêm vào mật khẩu của mình. Có nhiều mức độ kết hợp hơn trong mật khẩu tám ký tự so với mật khẩu năm ký tự. Không có gì đảm bảo một cuộc tấn công vũ phu sẽ thành công. Nhưng với các cuộc tấn công từ điển, nếu một trong các mục trong danh sách khớp với mật khẩu của bạn thì cuộc tấn công cuối cùng sẽ thành công.

Tất nhiên, hầu hết các mạng công ty sẽ thực thi việc khóa tài khoản tự động sau một số lần truy cập không thành công. Mặc dù vậy, các tác nhân đe dọa thường bắt đầu từ các trang web của công ty, những trang web này thường có các biện pháp kiểm soát ít nghiêm ngặt hơn đối với các nỗ lực truy cập. Và nếu họ có quyền truy cập vào trang web, họ có thể thử những thông tin đăng nhập đó trên mạng công ty. Nếu người dùng đã sử dụng lại cùng một mật khẩu thì các tác nhân đe dọa hiện đã có trong mạng công ty của bạn. Trong hầu hết các trường hợp, trang web hoặc cổng thông tin không phải là mục tiêu thực sự. Đó là một bài dàn dựng trên đường đến phần thưởng thực sự của kẻ đe dọa - mạng công ty.

Việc giành được quyền truy cập vào trang web cho phép các tác nhân đe dọa tiêm mã độc nhằm giám sát các nỗ lực đăng nhập và ghi lại ID và mật khẩu người dùng. Nó sẽ gửi thông tin cho kẻ đe dọa hoặc ghi lại thông tin đó cho đến khi chúng quay lại trang web để thu thập.

2. Không chỉ các từ trong một tập tin

Các cuộc tấn công từ điển sớm nhất chỉ có vậy. Họ đã sử dụng các từ trong từ điển. Đây là lý do tại sao "không bao giờ sử dụng từ trong từ điển" là một phần của hướng dẫn chọn mật khẩu mạnh.

Bỏ qua lời khuyên này và vẫn chọn một từ trong từ điển, sau đó thêm một chữ số vào đó để nó không khớp với một từ trong từ điển, cũng là điều kém cỏi. Những kẻ đe dọa viết phần mềm tấn công từ điển rất khôn ngoan trong việc này. Họ đã phát triển một kỹ thuật mới để thử từng từ trong danh sách nhiều lần. Với mỗi lần thử, một số chữ số sẽ được thêm vào cuối từ. Điều này là do mọi người thường sử dụng một từ và thêm một chữ số như 1, rồi 2, v.v., mỗi lần họ phải thay đổi mật khẩu.

Đôi khi họ thêm một số có hai hoặc bốn chữ số để biểu thị một năm. Nó có thể tượng trưng cho ngày sinh nhật, ngày kỷ niệm, năm đội của bạn giành cúp hoặc một số sự kiện quan trọng khác. Bởi vì mọi người sử dụng tên của con cái họ hoặc những người quan trọng khác làm mật khẩu nên danh sách từ điển đã được mở rộng để bao gồm tên nam và nữ.

Và phần mềm lại phát triển. Các lược đồ thay thế số cho các chữ cái, chẳng hạn như 1 cho "i", 3 cho "e", 5 cho "s", v.v., không làm tăng thêm độ phức tạp đáng kể cho mật khẩu của bạn. Phần mềm biết các quy ước và cũng hoạt động thông qua các kết hợp đó.

Ngày nay tất cả các kỹ thuật này vẫn được sử dụng, cùng với các danh sách khác không chứa các từ điển tiêu chuẩn. Chúng chứa mật khẩu thực tế.

3. Danh sách mật khẩu đến từ đâu

Trang web Have I Been Pwned nổi tiếng lưu trữ một bộ sưu tập có thể tìm kiếm được gồm hơn 10 tỷ tài khoản bị xâm nhập. Mỗi khi có vi phạm dữ liệu, những người duy trì trang web sẽ cố gắng lấy dữ liệu. Nếu họ quản lý để có được nó, họ sẽ thêm nó vào cơ sở dữ liệu của họ.

Bạn có thể tự do tìm kiếm cơ sở dữ liệu địa chỉ email của họ. Nếu địa chỉ email của bạn được tìm thấy trong cơ sở dữ liệu, bạn sẽ được thông báo vi phạm dữ liệu nào đã làm rò rỉ thông tin của bạn. Ví dụ: tôi tìm thấy một trong những địa chỉ email cũ của mình trong cơ sở dữ liệu Have I Been Pwned. Nó đã bị rò rỉ trong một vụ vi phạm trang web LinkedIn năm 2016. Điều đó có nghĩa là mật khẩu của tôi cho trang web đó cũng đã bị xâm phạm. Nhưng vì tất cả mật khẩu của tôi là duy nhất nên tôi chỉ phải thay đổi mật khẩu cho trang web đó.

Have I Been Pwned có cơ sở dữ liệu mật khẩu riêng. Bạn không thể so khớp địa chỉ email với mật khẩu trên trang Have I Been Pwned vì những lý do rõ ràng. Nếu bạn tìm kiếm mật khẩu của mình và tìm thấy nó trong danh sách, điều đó không nhất thiết có nghĩa là mật khẩu đó đến từ một trong các tài khoản của bạn. Với 10 tỷ tài khoản bị vi phạm sẽ có các mục trùng lặp. Điểm thú vị là bạn được biết mật khẩu đó phổ biến đến mức nào. Bạn nghĩ mật khẩu của bạn là duy nhất? Chắc là không.

Nhưng cho dù mật khẩu trong cơ sở dữ liệu có đến từ một trong các tài khoản của bạn hay không, nếu nó có trên trang web Have I Been Pwned thì đó sẽ là danh sách mật khẩu được phần mềm tấn công của các tác nhân đe dọa sử dụng. Không quan trọng mật khẩu của bạn phức tạp hay khó hiểu như thế nào. Nếu nó nằm trong danh sách mật khẩu thì không thể tin cậy được---vì vậy hãy thay đổi nó ngay lập tức.

4. Các biến thể của tấn công đoán mật khẩu

Ngay cả với các cuộc tấn công có trình độ tương đối thấp như tấn công từ điển, kẻ tấn công có thể sử dụng một số nghiên cứu đơn giản để cố gắng làm cho công việc của phần mềm trở nên dễ dàng hơn.

Ví dụ: họ có thể đăng ký hoặc đăng ký một phần trên trang web mà họ muốn tấn công. Sau đó, họ sẽ có thể xem các quy tắc về độ phức tạp của mật khẩu cho trang web đó. Nếu độ dài tối thiểu là tám ký tự, phần mềm có thể được đặt để bắt đầu ở chuỗi tám ký tự. Không có ích gì khi kiểm tra tất cả các chuỗi bốn, năm, sáu và bảy ký tự. Nếu có những ký tự không được phép, chúng có thể bị xóa khỏi "bảng chữ cái" mà phần mềm có thể sử dụng.

Dưới đây là mô tả ngắn gọn về các loại tấn công dựa trên danh sách khác nhau.

  • Tấn công Brute-Force truyền thống : Trên thực tế, đây không phải là cuộc tấn công dựa trên danh sách. Gói phần mềm chuyên dụng, được viết có mục đích tạo ra tất cả các tổ hợp chữ cái, số và các ký tự khác như dấu câu và ký hiệu, trong các chuỗi dài hơn dần dần. Nó thử từng mật khẩu trên tài khoản đang bị tấn công. Nếu tình cờ tạo ra tổ hợp các ký tự khớp với mật khẩu của tài khoản đang bị tấn công thì tài khoản đó đã bị xâm phạm.
  • Tấn công từ điển : Gói phần mềm chuyên dụng, được viết có mục đích lấy từng từ một từ danh sách các từ trong từ điển và thử chúng làm mật khẩu cho tài khoản đang bị tấn công. Các phép biến đổi có thể được áp dụng cho các từ trong từ điển như thêm chữ số vào chúng và thay thế chữ số cho các chữ cái.
  • Tấn công tra cứu mật khẩu : Tương tự như tấn công từ điển, nhưng danh sách từ chứa mật khẩu thực tế. Phần mềm tự động đọc mật khẩu mỗi lần từ một danh sách lớn các mật khẩu được thu thập từ các vụ vi phạm dữ liệu.
  • Tấn công tra cứu mật khẩu thông minh : Giống như tấn công mật khẩu, nhưng việc chuyển đổi từng mật khẩu được thử cũng như mật khẩu "trần trụi". Các phép biến đổi mô phỏng các thủ thuật mật khẩu thường được sử dụng như thay thế nguyên âm cho các chữ số.
  • Tấn công API : Thay vì cố gắng bẻ khóa tài khoản của người dùng, các cuộc tấn công này sử dụng phần mềm để tạo ra các chuỗi ký tự mà chúng hy vọng sẽ khớp với khóa của người dùng cho Giao diện lập trình ứng dụng. Nếu họ có thể truy cập vào API, họ có thể khai thác nó để lấy cắp thông tin nhạy cảm hoặc bản quyền trí tuệ.

5. Đôi lời về mật khẩu

Mật khẩu phải mạnh mẽ, duy nhất và không liên quan đến bất kỳ điều gì có thể bị phát hiện hoặc suy ra về bạn, chẳng hạn như tên của trẻ em. Cụm mật khẩu tốt hơn mật khẩu. Ba từ không liên quan được nối với nhau bằng một số dấu câu là một mẫu mật khẩu rất chắc chắn. Ngược lại, cụm mật khẩu thường sử dụng các từ trong từ điển và chúng tôi luôn được cảnh báo không sử dụng các từ trong từ điển trong mật khẩu. Nhưng việc kết hợp chúng theo cách này tạo ra một vấn đề rất khó giải quyết cho phần mềm tấn công.

Chúng ta có thể sử dụng trang web Mật khẩu của tôi an toàn đến mức nào để kiểm tra độ mạnh của mật khẩu.

  • cloudknowit : Thời gian dự kiến để crack: ba tuần.
  • cl0uds4vvy1t : Thời gian dự kiến để crack: ba năm.
  • thirty.feather.girder : Thời gian dự kiến để crack: 41 triệu triệu năm!

Và đừng quên nguyên tắc vàng. Mật khẩu chỉ được sử dụng trên một hệ thống hoặc trang web. Chúng không bao giờ được sử dụng ở nhiều nơi. Nếu bạn sử dụng mật khẩu trong nhiều hệ thống và một trong những hệ thống đó bị xâm phạm thì tất cả các trang web và hệ thống mà bạn đã sử dụng mật khẩu đó đều gặp rủi ro vì mật khẩu của bạn sẽ nằm trong tay những kẻ đe dọa — và trong danh sách mật khẩu của chúng. Cho dù mật khẩu của bạn có mất 41 triệu triệu năm để bẻ khóa hay không, nếu nó nằm trong danh sách mật khẩu của họ thì thời gian bẻ khóa là hoàn toàn không liên quan.

Nếu bạn có quá nhiều mật khẩu cần nhớ, hãy sử dụng trình quản lý mật khẩu.

6. Cách bảo vệ chống lại các cuộc tấn công Brute-Force

Chiến lược phòng thủ nhiều lớp luôn là tốt nhất. Không có biện pháp phòng thủ đơn lẻ nào có thể giúp bạn miễn nhiễm với các cuộc tấn công từ điển, nhưng có một số biện pháp mà bạn có thể cân nhắc sẽ bổ sung cho nhau và giảm đáng kể nguy cơ bạn dễ bị tấn công bởi các cuộc tấn công này.

  • Kích hoạt xác thực đa yếu tố nếu có thể. Điều này đưa thứ gì đó vật chất mà người dùng sở hữu - chẳng hạn như điện thoại di động hoặc khóa USB hoặc fob - vào phương trình. Thông tin được gửi đến ứng dụng trên điện thoại hoặc thông tin trong thẻ fob hoặc khóa USB sẽ được tích hợp vào quy trình xác thực. Riêng ID người dùng và mật khẩu không đủ để có quyền truy cập vào hệ thống.
  • Sử dụng mật khẩu và cụm mật khẩu mạnh, duy nhất và được lưu trữ an toàn ở dạng mã hóa.
  • Tạo và triển khai chính sách mật khẩu chi phối việc sử dụng, bảo vệ và xây dựng mật khẩu được chấp nhận. Giới thiệu nó với tất cả nhân viên và biến nó thành bắt buộc.
  • Giới hạn số lần đăng nhập ở mức thấp. Khóa tài khoản khi đã đạt đến số lần thử không thành công hoặc khóa tài khoản và buộc thay đổi mật khẩu.
  • Kích hoạt hình ảnh xác thực hoặc các bước xác thực phụ, dựa trên hình ảnh khác. Chúng nhằm mục đích ngăn chặn bot và phần mềm mật khẩu vì con người phải giải thích hình ảnh.
  • Hãy cân nhắc việc sử dụng trình quản lý mật khẩu. Trình quản lý mật khẩu có thể tạo mật khẩu phức tạp cho bạn. Nó ghi nhớ mật khẩu nào đi với tài khoản nào nên bạn không cần phải làm vậy. Trình quản lý mật khẩu là cách dễ dàng nhất để có mật khẩu ổn định, duy nhất cho mỗi tài khoản bạn cần theo dõi.