Když se snažíme chránit svá data před kyberzločinci, měli bychom všichni používat jeden štít: heslo. Hesla, která chrání soukromá data, bankovní údaje, citlivé soubory a další údaje, jsou klíčem, který zločinci touží získat – a útoky hrubou silou jsou jedním ze způsobů, jak tohoto cíle dosáhnout. Seznamte se s různými typy této hrozby a zjistěte, jak snížit pravděpodobnost, že se stanete její obětí.
Pro každý účet používejte jiné heslo. Volte hesla, která jsou snadno zapamatovatelná, ale obtížně uhodnutelná, a udržujte si ve svých používaných přihlašovacích údajích pořádek. Již jste tato doporučení někde četli nebo slyšeli? Podobné doporučení můžete opravdu vídat na každém kroku, protože v digitálním věku, ve kterém žijeme, může být udržování správné hygieny hesel nelehkým úkolem. A kybernetičtí útočníci využijí každé příležitosti, kdy polevíme ve své ostražitosti.
Pro kyberzločince jsou přihlašovací údaje lukrativním zbožím a firmy si to dobře uvědomují. V zájmu ochrany společnosti byste se měli neustále snažit o komplexní bezpečnostní nastavení, včetně vyžadování silných hesel.
Přesto někteří zaměstnanci stále kyberzločince podceňují a domnívají se, že pokud nepoužívají příliš krátká a jednoduchá hesla (například "heslo123"), jsou před hrozbami, včetně útoků hrubou silou, v bezpečí. Nic nemůže být dále od pravdy.
Při útocích hrubou silou se kyberzločinci snaží uhodnout nebo získat přihlašovací údaje uživatele a získat přístup k účtům svých obětí. A jak ukazují statistiky, při těchto incidentech se často používají překvapivě složitá hesla.
Jak naznačují čísla, hackeři jsou si vědomi vývoje v oblasti zabezpečení hesel a snadno přizpůsobují své taktiky, aby dosáhli úspěchu. Hrozba útoků hrubou silou může mít mnoho podob – pojďme se s nimi blíže seznámit.
1. Jednoduchý útok hrubou silou
Při jednoduchém útoku hrubou silou se hackeři snaží uhodnout heslo bez použití specializovaného softwaru nebo databáze. Mohou například otestovat nejčastější kombinace hesel nebo využít informace dostupné online, například na sociálních sítích oběti.
2. Password spraying („kropení hesel“)
Při útocích typu password spraying hackeři používají seznam nejčastějších hesel a frází a pomocí speciálního softwaru nebo sady nástrojů testují jedno heslo na mnoha různých účtech. V důsledku toho politiky zamykání účtů útok nezachytí, a navíc jeden útok může vést k tomu, že hackeři získají přístup k desítkám nebo dokonce stovkám různých účtů.
3. Slovníkový útok
Při slovníkovém útoku hackeři zkoušejí různé kombinace a varianty běžně používaných slov. Útoky se obvykle neprovádějí ručně – hackeři často používají program, který pracuje s rozsáhlými seznamy běžných hesel a slovníky (jak napovídá název útoku), a do vybraného systému zadávají mnoho možných kombinací hesel.
4. Credential stuffing
Pokud útočník vlastní seznam uniklých nebo kompromitovaných přihlašovacích údajů, může pomocí speciálního softwaru zadat („nacpat“) kombinace uživatelských jmen a hesel do mnoha různých webových stránek. V případě, že postižený uživatel recykloval své přihlašovací údaje pro více různých webů – což je bohužel stále častá chyba – mohou kyberzločinci získat přístup k několika účtům s jedinou kombinací přihlašovacích údajů.
5. Zpětný útok hrubou silou
Někdy se stane, že kyberzločinci již heslo mají – stačí jen najít správného uživatele. S využitím seznamů hesel uniklých při předchozích únicích dat mohou hackeři prohledávat různé platformy a databáze a zkoušet kompromitované přihlašovací údaje na různých účtech.
6. Hybridní útok hrubou silou
Hybridní útoky hrubou silou kombinují výše popsané techniky útoku. Běžně hackeři volí slovníkový útok v kombinaci s jednoduchým útokem hrubou silou. Při pokusu o proniknutí do různých účtů, kdy obvykle již znají uživatelská jména, využívají běžná slova a fráze v kombinaci se sadou písmen nebo čísel, která mohou být náhodná nebo založená na předchozím zkoumání obětí.
Jak se chránit před útoky hrubou silou
Pro samotné zaměstnance je hlavním opatřením, které by měli dodržovat, správná hygiena hesel. Ta může spočívat v používání jedinečného hesla pro každý z jejich účtů, volbě delších heslových frází obsahujících různé znaky a používání důvěryhodného správce hesel k ukládání jejich přihlašovacích údajů. Nutností je také používání vícefázového ověřování (MFA). Díky MFA uhodnutí vašeho hesla neumožní hackerům okamžitě získat přístup k vašim datům.
Vaše společnost může také zvážit omezení neplatných přihlášení a/nebo používání CAPTCHA, aby zabránila průniku nástrojů pro útoky hrubou silou do svých systémů. Doporučuje se také pravidelně měnit přístupové fráze. V neposlední řadě byste měli nastavit zásady bezpečných hesel a dále zvýšit bezpečnost svých zaměstnanců a firmy aktivním sledováním aktivit probíhajících na vašich platformách. Dodržování bezpečných postupů a ostražitost zabrání tomu, aby vás kyberzločinci překvapili.
