Metody łamania haseł i jak się przed nimi bronić

Chcesz zadbać o bezpieczeństwo swoich danych i finansów w internecie? W pierwszej kolejności zatroszcz się o hasła – to właśnie one stanowią klucz dostępu do Twoich ulubionych stron, kont bankowych, kont w socialmediach, firmowego i prywatnego e-maila i profili na innych serwisach.

Hasło to w dalszym ciągu najpowszechniejsza metoda potwierdzania swojej tożsamości w sieci. Login, czyli nazwa użytkownika, służy do identyfikacji, czyli informuje stronę, kim jesteś. Hasło z kolei umożliwia sprawdzenie, czy ta osoba to rzeczywiście Ty. Potwierdza więc autentyczność Twojej tożsamości.

W związku z tym prawie każdy atak hakerski wiąże się z kradzieżą lub łamaniem haseł. Właśnie dlatego tak ważna jest ochrona haseł i stosowanie odpowiednich praktyk dotyczących bezpieczeństwa haseł.

Aby uświadomić Ci skalę problemu, zebraliśmy w jednym miejscu najczęstsze metody łamania haseł, którymi posługują się hakerzy. Przygotowaliśmy również listę wskazówek, jak bronić swoje hasła.

Najpopularniejsze sposoby kradzieży haseł

Na początek warto zaznaczyć, że klasyczne metody haseł są coraz mniej popularne. Dzieje się tak ze względu na coraz większą świadomość użytkowników, którzy tworzą skomplikowane, unikalne hasła, które trudno złamać w typowy sposób. Z tego względu, poniżej opisane zostaną również inne metody, za pomocą których hakerzy dostają się do haseł.

• Password cracking

Obejmuje klasyczne techniki używane przez hakerów do łamania haseł użytkowników. Najpopularniejsze to atak Brute force oraz atak słownikowy.

Atak słownikowy polega na użyciu pokaźnej listy słów i kombinacji słów w celu próby odgadnięcia właściwego hasła. W sieci można znaleźć publiczne słowniki z powszechnymi hasłami, zawierające mnóstwo popularnych lub wyciekniętych haseł, które często okazują się skutecznym narzędziem dla cyberprzestępców.

W przypadku ataku Brute Force, osoba atakująca wypróbowuje różne kombinacje liter, cyfr i znaków specjalnych w celu “odgadnięcia” hasła. Oczywiście wykorzystuje w tym celu odpowiedni program, który sprawdza po kolei wszystkie możliwe kombinacje znaków. Zajmuje to oczywiście dużo czasu, dlatego im większa moc obliczeniowa maszyny hakera, tym większa szansa na powodzenie ataku.

Złamanie słabych, krótkich haseł przy użyciu tych narzędzi to kwestia kilku minut, jednak w przypadku silnych, długich, unikalnych haseł zawierających różne znaki łamanie może potrwać wiele godzin… a nawet lat.

• Credentials Stuffing

Hakerzy korzystają z tej metody, gdy uda im się wykraść przynajmniej jeden login i hasło użytkownika z dowolnego portalu. Posiadając te dane, próbują wykorzystać je na innych witrynach, tworząc kombinację znanych loginów i haseł należących do ofiary.

Zapobieganie atakom tego typu opiera się przede wszystkim na stosowaniu unikalnych haseł na każdym z posiadanych kont. Używanie podobnych lub takich samych haseł na kilku kontach ułatwia hakerom pracę.

• Wireless Sniffing

W przypadku tej metody cyberprzestępca używa narzędzi do badania ruchu sieciowego. Za ich pomocą przechwytuje i odczytuje pakiety danych przesyłane pomiędzy komputerem użytkownika a serwerem, do którego klient wysyła żądanie.

Jeśli dana witryna nie posiada certyfikatu SSL (czyli nie korzysta z protokołu szyfrowania danych), haker jest w stanie odczytać te dane i w ten sposób przejąć hasła i inne informacje.

Jeśli musisz skorzystać z publicznej sieci, zawsze sprawdzaj, czy witryna, z której korzystasz, posiada certyfikat SSL – informuje Cię o tym symbol kłódki oraz litery https zamiast http w adresie. Dla jeszcze wyższego bezpieczeństwa używaj VPN – wirtualnej sieci prywatnej, która chroni Twoje połączenie z internetem przed przechwytywaniem danych.

• Atak Man-in-the-Middle

To typ ataku, w którym haker znajduje się pomiędzy dwiema komunikującymi stronami i przechwytuje przesyłane komunikaty, a ponadto podszywa się przynajmniej pod jedną ze stron. Osoba atakująca przechwytuje więc ruch, podszywając się pod legalny serwer odbierający żądania i przekazuje go dalej, do prawdziwego serwera.

Niestety, użytkownicy mają niewielki wpływ na ochronę przed atakami Man-in-the-Middle. To głównie problem administratorów sieci. Jedyne, co możesz zrobić, to sprawdzać certyfikat SSL przed logowaniem na stronie, a także nigdy nie bagatelizować komunikatów witryny o problemach z certyfikatem.

• Wyodrębnianie haseł z systemu operacyjnego

Tego typu atak jest możliwy, gdy haker ma dostęp do systemu operacyjnego ofiary i jest w stanie umieścić w nim specjalny program lub wgrać do systemu bibliotekę DLL, za pomocą której może zdobyć hasło logującego się użytkownika. Problem dotyczy przede wszystkim systemu Windows.

• Inżynieria społeczna

W przypadku inżynierii społecznej, czyli socjotechnik, hakerzy bazują nie na słabości systemów komputerowych czy lukach w zabezpieczeniach sieci, ale na ludzkich błędach i naiwności.

Inżynieria społeczna to przede wszystkim atak psychologiczny. Hakerzy używają sprytnych sposobów, aby nakłonić użytkowników do ujawnienia swoich danych, których normalnie nikomu by nie podali. Zwykle bazują na silnych emocjach lub ludzkich cechach, np. ciekawości.

Inżynieria społeczna obejmuje wiele typów ataków – phishingowych, szantażujących i innych. Może obejmować np. fałszywe zaproszenia do współpracy, złośliwe kody QR, fałszywe linki itp.

• Phishing

Phishing należy do socjotechnik, jednak w ostatnim czasie stał się tak powszechny, że warto przyjrzeć mu się bliżej. Ma on miejsce, gdy cyberprzestępca podszywa się pod zaufaną osobę lub instytucję, aby nakłonić niczego niepodejrzewającego użytkownika do podania poufnych informacji – haseł, numerów kart kredytowych lub innych.

Phishing często dotyczy maili, dlatego jeśli otrzymasz np. wiadomość z firmy kurierskiej informującą o nadanej paczce, do której musisz dopłacić, ponieważ zwiększyła się kwota wysyłki lub z gazowni z prośbą o dopłatę do zaległego rachunku, zachowaj czujność i sprawdź, czy rzeczywiście jest prawdziwa. Zwykle po kliknięciu w załączony link zostaniesz przeniesiony na fałszywą stronę logowania do banku. Gdy podasz na niej swoje hasło, trafi ono prosto w ręce hakera.

Jednym z najprostszych sposobów na zminimalizowanie ryzyka phishingu jest logowanie się na stronach wyłącznie po ręcznym wpisaniu adresu strony w pasek przeglądarki – nigdy za pośrednictwem linka.

• Podglądanie

Choć niektórym może się to wydać zabawne, jednym ze sposobów przejmowania haseł jest tzw “shoulder surfing”, czyli podglądanie przez ramię. Wbrew pozorom, jest to sposób całkiem skuteczny, ponieważ wielu użytkowników nie chroni w żaden sposób swoich haseł, wpisując je w przestrzeni publicznej – na uczelni, w biurze, restauracji, na lotnisku itp.

Aby chronić się przed podglądactwem, zawsze upewnij się, czy nikt cię nie obserwuje, zanim wpiszesz swoje dane logowania. Warto również rozważyć stosowanie specjalnych filtrów prywatyzujących, czyli specjalnych nakładek na monitor, które chronią informacje na komputerze, zaczerniając ekran już przy kącie 30 stopni. To często stosowane rozwiązanie w bankach, urzędach i innych firmach, które wymagają pracy z klientami, co niesie ryzyko podejrzenia danych. Może się jednak przydać również prywatnym użytkownikom, zwłaszcza jeśli często korzystasz z komputera poza domem.

Jak chronić się przed łamaniem haseł?

Znasz już najczęściej używane techniki kradzieży haseł – to bardzo ważne, aby być w pełni świadomym zagrożenia. Lepsze zrozumienie metod hakerów pozwala skuteczniej się przed nimi bronić. Abyś miał pewność, że Twoje hasła są bezpieczne, przygotowaliśmy dodatkowo listę praktycznych wskazówek, które pozwolą Ci mieć hasła pod kontrolą.

• Stosuj silne hasła

Nigdy nie korzystaj z łatwych do odgadnięcia, krótkich haseł. Dobre hasło powinno się składać przynajmniej z ośmiu znaków, zawierać duże i małe litery, cyfry, spacje oraz znaki specjalne. Powinno być losową kombinacją, np. n4.$pTh8z.

• Nie powielaj haseł

Utwórz unikalne hasło dla każdego ze swoich kont. Nigdy nie stosuj tego samego lub podobnego hasła na kilku serwisach – w ten sposób ułatwiasz pracę hakerom. Jeśli uda im się zdobyć jedno hasło, wypróbują je na innych witrynach..

• Sprawdzaj SSL

Zanim zalogujesz się na swoje konto, zawsze sprawdź, czy strona, na której wpisujesz swój login i hasło, jest chroniona za pomocą usługi SSL, która zapewnia szyfrowanie danych w internecie. Informuje o tym symbol kłódki przy pasku przeglądarki oraz litery https zamiast http w adresie.

• Używaj VPN

Wirtualna sieć prywatna chroni Twoje połączenie z internetem, ograniczając tym samym możliwość wykradzenia Twoich haseł. Używaj go zwłaszcza podczas korzystania z publicznych sieci.

• Regularnie aktualizuj

Ataki hakerskie często bazują na lukach w zabezpieczeniach systemu lub poszczególnych programów. Z tego powodu powinieneś pamiętać o regularnych aktualizacjach, które usuwają ewentualne luki, minimalizując ryzyko ataku.

• Uważaj na linki

Nigdy nie klikaj w linki otrzymane w mailach, SMS-ach, w mediach społecznościowych czy za pośrednictwem komunikatorów internetowych bez upewnienia się, czy są bezpieczne. Jeśli chcesz zalogować się na konto w banku lub do innego serwisu, zawsze wpisz ręcznie adres w pasek przeglądarki, dokładnie sprawdzając każdą literę. To uchroni Cię przed wpisaniem swojego hasła na fałszywej stronie.

• Używaj menedżera haseł

Menedżer haseł to praktyczny program, który generuje silne hasła dla każdego z Twoich kont i przechowuje je w silnie zaszyfrowanej bazie. Pozwala osiągnąć wysoki poziom bezpieczeństwa przy maximum wygody – musisz pamiętać jedynie jedno hasło do menedżera. Menedżery haseł często stanowią część pakietów antywirusowych – warto sprawdzić to, wybierając program dla siebie.

• Chroń się przed podglądaniem

Unikaj logowania na swoje konta w miejscach publicznych. Jeśli musisz to zrobić, zawsze upewnij się, czy nikt Cię nie obserwuje. Rozważ zakup filtra prywatyzującego, jeśli często korzystasz z komputera poza domem.

• Używaj dobrego antywirusa

Programy antywirusowe chronią Twoje hasła przed wykradzeniem przez złośliwe oprogramowanie, a także oferują wiele innych funkcji zwiększających bezpieczeństwo haseł, np. menedżer haseł, sieć VPN, ochrona bankowości online i inne. Wybierając antywirusa, zwróć uwagę na oferowane przez niego funkcję oraz zaufaną markę. My polecamy takie programy, jak Norton, Kaspersky, Bitdefender, Panda, Eset, AVG i McAfee.

Pomyśl o swoim haśle, zanim zdążą to zrobić hakerzy. Stosuj wyłącznie silne hasła i trzymaj się wymienionych wyżej zasad bezpieczeństwa. Jeśli prowadzisz firmę, wymagaj tego również od swoich pracowników.