Neseniai atliktas tyrimas įrodė, kad panašių slaptažodžių naudojimas jungiantis prie kelių paskyrų sudaro puikias sąlygas kibernetiniams nusikaltimams. Panašius slaptažodžius atspėti kur kas lengviau nei galima įsivaizduoti.
Saugumą internete tiriančių specialistų iš Jungtinės Karalystės ir Kinijos pateiktos išvados rodo, kad taikiniais gali tapti neįtikėtinai daug slaptažodžių, kuriais jungiamasi prie elektroninės bankininkystės, socialinių tinklų, apsipirkimo ir daugybės kitų paslaugų.
Tikslinis prisijungimo slaptažodžio spėjimas – tai piktavališkas bandymas išsiaiškinti konkretaus auka pasirinkto interneto naudotojo paskyros slaptažodį.
Bandydami atspėti slaptažodį kibernetiniai nusikaltėliai naudojasi jiems žinoma pasirinktos aukos asmenine informacija, pavyzdžiui, slaptažodžiu, kurį įvesdamas naudotojas jungiasi prie kurios nors kitos paslaugos, taip pat jo tapatybę nustatyti leidžiančia informacija, t. y. vardu, pavarde, gimimo data ir kt.
Daugelis yra linkę tuos pačius slaptažodžius naudoti jungdamiesi prie kelių internetu pasiekiamų paslaugų, be to, įtraukia į juos kokios nors asmeninės informacijos. Pastaraisiais metais buvo užfiksuotas ne vienas su neteisėtu įmonių duomenų naudojimu susijęs pažeidimas. Tokius nusikaltimus darančių pažeidėjų tikslas – perimti kuo daugiau asmeninės informacijos. Daugėjant tokio pobūdžio pažeidimų vis daugiau su įvairiomis paslaugomis susietų slaptažodžių tampa pažeidžiami dėl galimybės juos atspėti.
Spėjo slaptažodžius
Siekdami ištirti prisijungimo slaptažodžių pažeidžiamumo tikslingai bandant juos atspėti grėsmę, mokslininkai iš Lankasterio, Pekino ir Fudziano universitetų sukūrė keletą skirtingų spėjimo sistemų, kurias taikant spėjimai grindžiami įvairia įsilaužėlių turima asmenine informacija arba kokiais nors asmeninių duomenų deriniais.
„Gauti rezultatai leidžia daryti išvadą, kad dabartiniai saugumo mechanizmai negali efektyviai apsaugoti nuo tikslinio prisijungimo slaptažodžio atspėjimo grėsmės, kuri, beje, tapo daug pavojingesnė nei manyta“, – sakė Lankasterio universitete dirbantis mokslų daktaras Jeffas Yanas.
Taikant skirtingas sistemas prioritetai suteikiami vis kito tipo duomenims. Šie pagal prioritetus veikiantys modeliai buvo pritaikyti dešimčiai didžiulių realių Kinijos ir Anglijos interneto naudotojų duomenų rinkinių.
Pasitelkus testuojamus mokslininkų sukurtus įsilaužimo modelius pavyko atspėti daugiau nei 73 proc. eilinių naudotojų paskyrų slaptažodžių ir maždaug trečdalį kokias nors saugumo priemones naudojančių asmenų slaptažodžių. Slaptažodžiams išaiškinti prireikė ne daugiau kaip 100 bandymų.
„Atliktas tyrimas pirmą kartą įrodė, kad tikslinis slaptažodžių spėjimas kelia labai didelę grėsmę. Mums pavyko pademonstruoti, kaip asmeninę informaciją gavę įsilaužėliai gali nesunkiai atspėti neįtikėtinai daug slaptažodžių. Jų užduotį ypač palengvina kitų potencialios aukos paskyrų slaptažodžių žinojimas“, – sakė prie tyrimo prisidėjęs Ding Wangas.
Ypatingai efektyvūs pasirodė įvairia asmenine informacija, įskaitanti prisijungimo prie kitų paslaugų slaptažodžius, pagrįsti įsilaužimo modeliai. Galima priminti, kad JAV Nacionalinio standartų ir technologijų instituto (NIST) paskelbtose gairėse nurodytas slaptažodžio įvedimo jungiantis prie internetinių paslaugų apribojimas – 100 bandymų, kurie po 30 dienų anuliuojami.
Darbas, kurio iniciatoriai pirmą kartą pamėgino sistemiškai įvertinti įsilaužėlių galimybes sėkmingai pasinaudoti nugvelbta asmenine informacija, įskaitant nutekintus slaptažodžius, aprašytas straipsnyje „Targeted Online Password Guessing: An Underestimated Threat“ (liet. Nepakankamai įvertinta grėsmė – tikslinis prisijungimo slaptažodžių atspėjimas). Šį darbą 2016 metais Vienoje vykusioje komunikacijos ir sistemų saugumui skirtoje konferencijoje CCS’16 pristatė J. Yanas.
„Išsiaiškinome, kad tikslinio prisijungimo slaptažodžių spėjimo grėsmė nenumaldomai didėja ir tampa vis labiau reali. Tai rimta su saugumu susijusi problema. Juk tokiose platformose kaip „Yahoo“, „Myspace“, „Linkedin“, „Dropbox“ ir VK.com saugomų didžiulių duomenų rinkinių pažeidimų vis daugėja, o tai reiškia, kad nemažai tapatybę nustatyti padedančios informacijos ir slaptažodžių atsiduria kibernetinių nusikaltėlių žinioje“, – sako vienas iš straipsnio autorių D. Wangas.
„Mūsų padarytos išvados turėtų paskatinti žmones jungiantis prie skirtingų svetainių rinktis visiškai skirtingus slaptažodžius, kad pažeidėjams būtų kuo sunkiau juos atspėti. Atliktas tyrimas taip pat turėtų padėti interneto paslaugų teikėjams įdiegti efektyvesnes saugumo priemones, leidžiančias nustatyti slaptažodžių spėjimo atvejus ir užkirsti jiems kelią“, – sako J. Yanas.
Mokslininkų atlikto tyrimo rezultatai leidžia manyti, kad bandymų įvesti slaptažodį skaičius jungiantis prie paskyrų turėtų būti gerokai sumažintas ir jokiu būdu nesiekti šimto, nes tik taip paskyros taps bent kiek saugesnės.
Vis dėlto specialistai akcentuoja, kad nustatant apribojimus būtina rasti kompromisą, kitaip sakant, atsižvelgti į naudotojų poreikį turėti galimybę kelis kartus įvesti slaptažodį. Negalima pamiršti, kad gerokai sumažinus bandymų įvesti slaptažodį skaičių, įsilaužėliai gali imti vykdyti kitokią kenkėjišką veiklą, būtent – blokuoti daugybę pasirinktų paskyrų kelis kartus įvesdami neteisingus slaptažodžius. Tai vadinamosios paslaugos nutraukimo atakos. Kadangi 100 bandymų šiaip jau nėra labai daug, ieškant ir nuo slaptažodžio atspėjimo, ir nuo paslaugos nutraukimo apsaugančio sprendimo, svetainių, kurių saugumui teikiamas prioritetas, administratoriai turėtų įdiegti efektyvesnių apsaugos priemonių.
Grėsmė sumažėtų, jei be slaptažodžių būtų naudojamos ir kitos naudotojų identifikavimo priemonės, pavyzdžiui, IP adresas, geografinės koordinatės, pirštų atspaudai ir naudotojo veiksmai, tokie kaip prisijungimo laikas ir klavišų paspaudimo dinamika.
„Džiugu, kad institutas NIST taip operatyviai sureagavo į mūsų pateiktus rezultatus ir pakoregavo kai kurias skaitmeninio autentifikavimo gaires, be to, paragino pateikti ir daugiau su kitais standartais susijusių komentarų“, – džiaugėsi J. Yanas.