Salasanasuojaus on tehokas kulunvalvontatekniikka, jota me kaikki käytämme päivittäin. Se tulee todennäköisesti olemaan tärkeä kyberturvallisuuden pilari tulevina vuosina.
Kyberrikolliset sitä vastoin käyttävät erilaisia menetelmiä salasanojen murtamiseen ja luvaton pääsyyn. Tämä sisältää sateenkaaripöytähyökkäykset. Mutta mitä ovat sateenkaaripöytähyökkäykset ja kuinka vaarallisia ne ovat? Vielä tärkeämpää on, mitä voit tehdä suojautuaksesi heiltä?
Kuinka salasanat tallennetaan?
Mikään tietoturvaa vakavasti ottava alusta tai sovellus ei tallenna salasanoja pelkkänä tekstinä. Tämä tarkoittaa, että jos salasanasi on "salasana123" (ja sen ei ehdottomasti pitäisi olla ilmeisistä syistä), sitä ei tallenneta sellaisenaan, vaan pikemminkin kirjainten ja numeroiden yhdistelmänä.
Tätä prosessia, jossa pelkkä teksti muunnetaan näennäisesti satunnaiseksi merkkiyhdistelmäksi, kutsutaan salasanan hajauttamiseksi. Ja
salasanat tiivistetään algoritmien, automatisoitujen ohjelmien avulla, jotka käyttävät matemaattisia kaavoja satunnaistaakseen ja hämärtääkseen pelkkää tekstiä. Jotkut tunnetuimmista hajautusalgoritmeista ovat: MD5, SHA, Whirlpool, BCrypt ja PBKDF2.Joten, jos otat salasanan "password123" ja suoritat sen läpi MD5 algoritmi, saat tämän: 482c811da5d5b4bc6d497ffa98491e38. Tämä merkkijono on "password123":n hajautettu versio ja muoto, jossa salasanasi tallennettaisiin verkkoon.
Oletetaan siis, että kirjaudut sähköpostitilillesi. Kirjoitat käyttäjänimesi tai sähköpostiosoitteesi ja sitten salasanasi. Sähköpostipalveluntarjoaja muuntaa kirjoittamasi tavallisen tekstin automaattisesti tiivistetyksi arvokseen ja vertaa sitä hajautusarvoon, jonka se oli alun perin tallentanut, kun määritit salasanasi ensimmäisen kerran. Jos arvot täsmäävät, sinut todennetaan ja pääset käyttämään tiliäsi.
Miten tyypillinen sateenkaaripöytähyökkäys sitten kehittyisi? Uhkatoimijan olisi ensin hankittava salasanatiivisteet. Tätä varten he suorittaisivat jonkinlaisen kyberhyökkäyksen tai löytäisivät tavan ohittaa organisaation turvallisuusrakenne. Tai he ostaisivat kaatopaikan varastetut tiivisteet pimeässä verkossa.
Kuinka Rainbow Table Attacks toimii
Seuraava vaihe olisi tiivisteiden muuntaminen tavalliseksi tekstiksi. Ilmeisesti sateenkaaripöytähyökkäyksessä hyökkääjä tekisi tämän käyttämällä sateenkaaripöytää.
Rainbow-taulukot keksi IT-asiantuntija Philippe Oechslin, jonka työ perustui kryptologin ja matemaatikon Martin Hellmanin tutkimukseen. Sateenkaaritaulukot, jotka on nimetty taulukon eri toimintoja edustavien värien mukaan, lyhentävät aikaa tarvitaan muuttamaan hash pelkkäksi tekstiksi, jotta kyberrikollinen voisi suorittaa hyökkäyksen enemmän tehokkaasti.
Tavallisessa isku brutaalilla voimallaEsimerkiksi uhkatekijän on purettava jokainen tiivistetty salasana erikseen, laskettava tuhansia sanayhdistelmiä ja sitten vertailtava niitä. Tämä yritys ja erehdys -menetelmä toimii edelleen ja todennäköisesti toimii aina, mutta vaatii paljon aikaa ja valtavaa laskentatehoa. Mutta sateenkaaritaulukkohyökkäyksessä hyökkääjän tarvitsee vain ajaa hankittu salasanan tiiviste hajautustietokannan läpi, sitten jakaa ja pienentää sitä toistuvasti, kunnes pelkkä teksti paljastuu.
Näin pähkinänkuoressa sateenkaaripöytähyökkäykset toimivat. Salasanojen murtamisen jälkeen uhkatekijällä on lukemattomia vaihtoehtoja, miten edetä. He voivat kohdistaa uhrinsa monella eri tavalla ja saada luvattoman pääsyn kaikenlaisiin arkaluontoisiin tietoihin, mukaan lukien verkkoleivontaan liittyvät tiedot ja vastaavat.
Kuinka suojautua sateenkaaripöytähyökkäyksiltä
Rainbow-pöytähyökkäykset eivät ole yhtä yleisiä kuin ennen, mutta ne muodostavat silti merkittävän uhan kaikenkokoisille organisaatioille ja myös yksilöille. Onneksi niiltä voi suojautua. Tässä on viisi asiaa, jotka voit tehdä estääksesi sateenkaaripöytähyökkäyksen.
1. Määritä monimutkaiset salasanat
Pitkien ja monimutkaisten salasanojen käyttö on ehdottoman välttämätöntä. Hyvän salasanan tulee olla ainutlaatuinen ja sisältää pieniä ja isoja kirjaimia, numeroita ja erikoismerkkejä. Useimmat alustat ja sovellukset vaativat nykyään käyttäjiltä sen joka tapauksessa, joten varmista luoda rikkoutumaton salasana jota et unohda.
2. Käytä monivaiheista todennusta
Monivaiheinen todennus (MFA) on yksinkertainen mutta tehokas suojausmekanismi, joka tekee useimmista salasanahyökkäyksistä hyödyttömiä. Kun MFA on määritetty, et voi käyttää tiliä pelkällä käyttäjätunnuksellasi ja salasanallasi. Sen sijaan sinun on toimitettava lisätodisteita henkilöllisyydestäsi. Tämä voi vaihdella puhelinnumerosi vahvistamisesta ja väliaikaisen PIN-koodin syöttämisestä sormenjäljesi vahvistamiseen ja henkilökohtaiseen turvakysymykseen vastaamiseen.
3. Monipuolista salasanasi
Jos käytät samaa salasanaa kaikkialla, vain yksi tietomurto riittää vaarantamaan kaikki tilisi, olipa salasana kuinka hyvä tahansa. Tästä syystä on tärkeää käyttää eri salasanaa jokaiselle tilille. Jos salasanattomuus on vaihtoehto, harkitse myös sitä: jos et käytä salasanaa, et voi joutua sateenkaaripöytähyökkäyksen tai muunkaan salasanapohjaisen hyökkäyksen uhriksi.
4. Vältä heikkoja hajautusalgoritmeja
Jotkut hajautusalgoritmit, kuten MD5, ovat heikkoja, mikä tekee niistä helpon kohteen. Organisaatioiden tulee noudattaa huippuluokan algoritmeja, kuten SHA-256, joka on niin turvallinen, että sitä käyttävät Yhdysvaltojen, Australian ja muiden viranomaisten viranomaiset. Tavallisena ihmisenä kannattaa yrittää välttää alustoja ja sovelluksia, jotka käyttävät vanhentunutta tekniikkaa.
5. Käytä salasanasuolaamista
Salasanan hajautus on loistava ja tarpeellinen turvatoimenpide, mutta entä jos sinä ja toinen henkilö käytätte samaa salasanaa? Niiden tiivistetyt versiot olisivat myös identtisiä. Tässä tulee esiin prosessi nimeltä suolaus. Salasanan suolaus tiivistyy olennaisesti satunnaisten merkkien lisäämiseen jokaiseen tiivistettyyn salasanaan, mikä tekee siitä täysin ainutlaatuisen. Tämäkin vinkki koskee sekä organisaatioita että yksityishenkilöitä.
Ymmärrä salasanasuojaus pysyäksesi turvassa
Salasanasuojaus sinänsä on avainasemassa luvattoman käytön ja erityyppisten kyberhyökkäysten estämisessä. Mutta se sisältää enemmän kuin vain ainutlaatuisen, helposti muistettavan lauseen keksimisen.
Parantaaksesi yleistä kyberturvallisuuttasi sinun on ymmärrettävä, miten salasanasuojaus todella toimii, ja sitten ryhdyttävä toimiin tilisi suojaamiseksi. Tämä voi olla joillekin ylivoimaista, mutta luotettavien todennusmenetelmien ja salasanan hallinnan käyttö voi vaikuttaa valtavasti.
