Zaštita lozinkom je učinkovita tehnika kontrole pristupa koju svi koristimo svakodnevno. Vjerojatno će ostati važan stup kibernetičke sigurnosti u godinama koje dolaze.
Cyberkriminalci, s druge strane, koriste različite metode za probijanje lozinki i dobivanje neovlaštenog pristupa. Ovo uključuje napade duginim stolom. Ali što su napadi duginim stolom i koliko su opasni? Još važnije, što možete učiniti da se zaštitite od njih?
Kako se pohranjuju lozinke?
Nijedna platforma ili aplikacija koja ozbiljno shvaća sigurnost ne pohranjuje lozinke u običnom tekstu. To znači da ako je vaša lozinka "password123" (a apsolutno ne bi trebala biti, iz očitih razloga), neće biti pohranjena kao takva, već kao kombinacija slova i brojeva.
Ovaj postupak pretvaranja običnog teksta u naizgled nasumične kombinacije znakova naziva se raspršivanje lozinke. I lozinke su raspršene uz pomoć algoritama, automatiziranih programa koji koriste matematičke formule za nasumično raspoređivanje i prikrivanje običnog teksta. Neki od najpoznatijih algoritama za raspršivanje su: MD5, SHA, Whirlpool, BCrypt i PBKDF2.
Dakle, ako uzmete lozinku "password123" i pokrenete je kroz MD5 algoritam, evo što dobivate: 482c811da5d5b4bc6d497ffa98491e38. Ovaj niz znakova raspršena je verzija "lozinke123" i formata u kojem bi vaša lozinka bila pohranjena na mreži.
Recimo da se prijavljujete na svoj račun e-pošte. Upisujete svoje korisničko ime ili e-mail adresu, a zatim lozinku. Davatelj usluge e-pošte automatski pretvara čisti tekst koji ste unijeli u njegovu raspršenu vrijednost i uspoređuje je s raspršenom vrijednošću koju je prvobitno pohranio kada ste prvi put postavili svoju lozinku. Ako se vrijednosti podudaraju, bit ćete autentificirani i dobivate pristup svom računu.
Kako bi se onda odvijao tipični napad duginim stolom? Akter prijetnje prvo bi morao dobiti hashove zaporke. Da bi to učinili, izveli bi neku vrstu kibernetičkog napada ili pronašli način da zaobiđu sigurnosnu strukturu organizacije. Ili bi kupili odlagalište ukradeni hashovi na dark webu.
Kako funkcioniraju Rainbow Table Attacks
Sljedeći korak bio bi pretvaranje hashova u običan tekst. Očito, u napadu duginom tablicom, napadač bi to učinio koristeći duginu tablicu.
Dugine tablice izumio je IT stručnjak Philippe Oechslin, čiji se rad temeljio na istraživanju kriptologa i matematičara Martina Hellmana. Nazvane po bojama koje predstavljaju različite funkcije unutar tablice, dugine tablice skraćuju vrijeme potreban za pretvaranje hash-a u običan tekst, čime se kibernetičkom kriminalcu omogućuje više izvođenja napada efikasno.
U običnom napad grubom silom, na primjer, akter prijetnje trebao bi zasebno dekodirati svaku hashiranu lozinku, izračunati tisuće kombinacija riječi i zatim ih usporediti. Ova metoda pokušaja i pogrešaka još uvijek funkcionira i vjerojatno će uvijek funkcionirati, ali zahtijeva puno vremena i ogromnu računalnu snagu. Ali u napadu duginom tablicom, napadač bi samo trebao pokrenuti dobiveni hash zaporke kroz bazu podataka hashova, zatim ga više puta podijeliti i smanjiti, sve dok se ne otkrije čisti tekst.
Ovo je, ukratko, način na koji funkcioniraju napadi duginim stolom. Nakon probijanja lozinke, akter prijetnje ima bezbroj opcija kako dalje. Svoju žrtvu mogu ciljati na bezbroj načina, stječući neovlašten pristup svim vrstama osjetljivih podataka, uključujući informacije povezane s pečenjem na mreži i slično.
Kako se zaštititi od napada Rainbow Table
Rainbow table napadi nisu tako česti kao nekada, ali još uvijek predstavljaju značajnu prijetnju organizacijama svih veličina, ali i pojedincima. Srećom, postoje načini zaštite od njih. Evo pet stvari koje možete učiniti kako biste spriječili napad duginim stolom.
1. Postavite složene lozinke
Upotreba dugih, složenih lozinki apsolutno je neophodna. Dobra zaporka mora biti jedinstvena i sadržavati mala i velika slova, brojeve i posebne znakove. Većina platformi i aplikacija ovih dana ionako zahtijeva od korisnika da to učine, stoga se pobrinite stvoriti neprobojnu lozinku da nećeš zaboraviti.
2. Koristite provjeru autentičnosti s više faktora
Višefaktorska provjera autentičnosti (MFA) jednostavan je, ali moćan sigurnosni mehanizam koji većinu napada lozinkom čini besmislenim. S postavljenim MFA-om ne možete pristupiti računu koristeći samo svoje korisničko ime i lozinku. Umjesto toga, morate pružiti dodatni dokaz svog identiteta. To može varirati od potvrde vašeg telefonskog broja i postavljanja privremenog PIN-a do provjere vašeg otiska prsta i odgovaranja na osobno sigurnosno pitanje.
3. Proširite svoje lozinke
Ako posvuda koristite istu zaporku, dovoljna je samo jedna provala da ugrozi sve vaše račune, bez obzira na to koliko dobra ta lozinka bila. Zbog toga je važno koristiti drugu lozinku za svaki račun. Ako je opcija bez zaporke, uzmite u obzir i to: ako ne koristite lozinku, ne možete postati žrtva napada duginih tablica ili bilo kojeg drugog napada temeljenog na lozinkama.
4. Izbjegavajte slabe algoritme raspršivanja
Neki algoritmi raspršivanja, poput MD5, slabi su, što ih čini lakom metom. Organizacije bi se trebale držati najsuvremenijih algoritama kao što je SHA-256, koji je toliko siguran da ga koriste vladine agencije u Sjedinjenim Državama, Australiji i drugdje. Kao obična osoba, trebali biste pokušati izbjegavati platforme i aplikacije koje koriste zastarjelu tehnologiju.
5. Upotrijebite dodavanje lozinki
Raspršivanje lozinki je izvrsna i neophodna sigurnosna mjera, ali što ako vi i druga osoba koristite istu lozinku? Njihove raspršene verzije također bi bile identične. Tu dolazi do procesa koji se zove soljenje. Soliranje lozinki u biti se svodi na dodavanje nasumičnih znakova svakoj raspršenoj lozinki, što je čini potpuno jedinstvenom. Ovaj se savjet također odnosi i na organizacije i na pojedince.
Shvatite sigurnost lozinki da biste ostali sigurni
Sigurnost lozinke kao takva ključna je kada se radi o sprječavanju neovlaštenog pristupa i različitih vrsta kibernetičkih napada. Ali to uključuje više od pukog smišljanja jedinstvene fraze koja se lako pamti.
Da biste povećali svoju cjelokupnu kibernetičku sigurnost, morate razumjeti kako zaštita lozinkom stvarno funkcionira, a zatim poduzeti korake da zaštitite svoje račune. To za neke može biti pomalo naporno, ali korištenje pouzdanih metoda provjere autentičnosti i upravitelja lozinkama može napraviti veliku razliku.
