Защита паролем — это эффективная техника контроля доступа, которую все мы используем ежедневно. Скорее всего, он останется важной опорой кибербезопасности на долгие годы.
Киберпреступники, с другой стороны, используют различные методы для взлома паролей и получения несанкционированного доступа. Это включает в себя атаки радужного стола. Но что такое атаки радужного стола и насколько они опасны? Что еще более важно, что вы можете сделать, чтобы защитить себя от них?
Как хранятся пароли?
Ни одна платформа или приложение, которые серьезно относятся к безопасности, не хранят пароли в виде простого текста. Это означает, что если ваш пароль «password123» (а его совершенно не должно быть по понятным причинам), он будет храниться не как таковой, а как комбинация букв и цифр.
Этот процесс преобразования обычного текста в кажущуюся случайной комбинацию символов называется хэшированием пароля. И
пароли хешируются с помощью алгоритмов, автоматизированных программ, использующих математические формулы для рандомизации и скрытия простого текста. Некоторые из наиболее известных алгоритмов хеширования: MD5, SHA, Whirlpool, BCrypt и PBKDF2.Итак, если вы возьмете пароль «password123» и пропустите его через Алгоритм MD5, вот что вы получите: 482c811da5d5b4bc6d497ffa98491e38. Эта строка символов представляет собой хешированную версию «password123» и формат, в котором ваш пароль будет храниться в Интернете.
Допустим, вы входите в свою учетную запись электронной почты. Вы вводите свое имя пользователя или адрес электронной почты, а затем пароль. Поставщик электронной почты автоматически преобразует введенный вами обычный текст в его хешированное значение и сравнивает его с хешированным значением, которое было изначально сохранено при первой настройке пароля. Если значения совпадают, вы проходите аутентификацию и получаете доступ к своей учетной записи.
Как же тогда будет разворачиваться типичная атака радужного стола? Злоумышленник сначала должен получить хэши паролей. Для этого они проводят какую-либо кибератаку или находят способ обойти структуру безопасности организации. Или они бы купили свалку украденные хэши в даркнете.
Как работают атаки Rainbow Table
Следующим шагом будет преобразование хэшей в обычный текст. Очевидно, что при атаке с помощью радужного стола злоумышленник сделает это, используя радужный стол.
Радужные таблицы были изобретены ИТ-экспертом Филиппом Окслином, чья работа основывалась на исследованиях криптолога и математика Мартина Хеллмана. Названные в честь цветов, представляющих различные функции в таблице, радужные таблицы сокращают время необходимо преобразовать хэш в обычный текст, что позволяет киберпреступнику проводить атаку более эффективно.
В обычном атака грубой силы, например, злоумышленнику потребуется расшифровать каждый хешированный пароль отдельно, вычислить тысячи комбинаций слов, а затем сравнить их. Этот метод проб и ошибок все еще работает и, вероятно, всегда будет работать, но требует много времени и огромных вычислительных мощностей. Но при атаке с помощью радужной таблицы злоумышленнику нужно будет просто запустить полученный хэш пароля через базу данных хэшей, а затем многократно разбить и уменьшить его, пока не будет раскрыт обычный текст.
Вот, вкратце, как работают атаки по радужным таблицам. После взлома пароля у злоумышленника есть бесчисленное количество вариантов дальнейших действий. Они могут нацеливаться на свою жертву любым количеством способов, получая несанкционированный доступ ко всем видам конфиденциальных данных, включая информацию, связанную с онлайн-выпечкой и тому подобное.
Как защититься от атак Rainbow Table
Атаки на радужные таблицы не так распространены, как раньше, но они по-прежнему представляют значительную угрозу для организаций любого размера, а также для отдельных лиц. К счастью, есть способы защититься от них. Вот пять вещей, которые вы можете сделать, чтобы предотвратить атаку радужного стола.
1. Установите сложные пароли
Использование длинных и сложных паролей является абсолютной необходимостью. Хороший пароль должен быть уникальным и включать строчные и заглавные буквы, цифры и специальные символы. Большинство платформ и приложений в наши дни требуют, чтобы пользователи делали это в любом случае, поэтому убедитесь, что вы создать невзламываемый пароль что ты не забудешь.
2. Используйте многофакторную аутентификацию
Многофакторная аутентификация (MFA) — это простой, но мощный механизм безопасности, который делает большинство атак на пароли бессмысленными. При настройке MFA вы не можете получить доступ к учетной записи, используя только свое имя пользователя и пароль. Вместо этого вам необходимо предоставить дополнительные документы, подтверждающие вашу личность. Это может варьироваться от подтверждения вашего номера телефона и ввода временного PIN-кода до проверки вашего отпечатка пальца и ответа на личный контрольный вопрос.
3. Разнообразьте свои пароли
Если вы везде используете один и тот же пароль, достаточно одного взлома, чтобы скомпрометировать все ваши учетные записи, независимо от того, насколько хорошим может быть этот пароль. Вот почему важно использовать разные пароли для каждой учетной записи. Если вариант без пароля, учтите и это: если вы не используете пароль, вы не можете стать жертвой атаки радужной таблицы или любой другой атаки на основе пароля, если на то пошло.
4. Избегайте слабых алгоритмов хеширования
Некоторые алгоритмы хеширования, такие как MD5, слабы, что делает их легкой мишенью. Организации должны придерживаться самых современных алгоритмов, таких как SHA-256, который настолько безопасен, что его используют государственные учреждения в США, Австралии и других странах. Как обычный человек, вы должны стараться избегать платформ и приложений, использующих устаревшие технологии.
5. Используйте соль паролей
Хеширование паролей — отличная и необходимая мера безопасности, но что, если вы и другой человек используете один и тот же пароль? Их хешированные версии также будут идентичными. Здесь начинается процесс, называемый солением. Посол паролей, по сути, сводится к добавлению случайных символов к каждому хешированному паролю, что делает его совершенно уникальным. Этот совет также относится как к организациям, так и к частным лицам.
Понимание безопасности паролей, чтобы оставаться в безопасности
Безопасность паролей как таковая является ключевым моментом, когда речь идет о предотвращении несанкционированного доступа и различных типов кибератак. Но это включает в себя нечто большее, чем просто придумывание уникальной, легко запоминающейся фразы.
Чтобы повысить общую кибербезопасность, вам необходимо понять, как на самом деле работает защита паролем, а затем принять меры для защиты своих учетных записей. Для некоторых это может быть немного ошеломляющим, но использование надежных методов аутентификации и менеджера паролей может иметь огромное значение.