Bir güvenlik ihlali gerçekleşene kadar şifreler nadiren takdir edilir; Söylemesi yeterli, güçlü bir şifrenin önemi ancak zayıf bir şeyin sonuçlarıyla karşılaştığında netleşir. Bununla birlikte, çoğu son kullanıcı, şifrelerinin en yaygın şifre kırma yöntemlerine ne kadar savunmasız olduğunun farkında değildir. Şifreleri kırmak için üç yaygın teknik ve bunlara karşı nasıl savunulacağı aşağıdadır.
Kaba kuvvet saldırısı
Brute kuvvet saldırıları, şifreleri kırmak için basit ama oldukça etkili tekniklerdir. Bu saldırılar, tekrarlanan giriş denemeleri yoluyla mümkün olan her şifre kombinasyonunu sistematik olarak denemek için otomatik araçlar kullanan kötü amaçlı aktörleri içerir. Bu tür araçlar yıllardır var olmasına rağmen, uygun fiyatlı bilgi işlem gücü ve depolamanın ortaya çıkışı, özellikle zayıf şifreler kullanıldığında onları daha da verimli hale getirmiştir.
Nasıl Çalışır
Brute kuvvet saldırıları söz konusu olduğunda, kötü niyetli aktörler bir dizi taktik kullanır – her bir şifre kombinasyonunu test eden basit kaba kuvvet saldırılarından hibrid ve ters kaba kuvvet saldırıları gibi daha nüanslı yaklaşımlara kadar. Her yöntemin arkasında farklı bir strateji vardır, ancak kaba kuvvet saldırılarının arkasındaki nedenler aynıdır: korunan verilere veya kaynaklara yetkisiz erişim elde etmek.
Brute Force saldırıları yapmak için bazı popüler otomatik araçlar şunlardır:
- John the Ripper: 15 farklı işletim sistemi ve yüzlerce karma ve şifre türü desteğine sahip çok platformlu bir şifre krakeri
- L0PHTCRACK: Windows şifrelerini kırmak için gökkuşağı tabloları, sözlükleri ve çok işlemci algoritmalarını kullanan bir araç
- Hashcat: 300’den fazla optimize edilmiş karma algoritması için beş benzersiz saldırı modunu destekleyen bir çatlama/şifre kurtarma yardımcısı
Örnekler
Ağustos 2021’de ABD mobil operatörü T-Mobile, kaba bir kuvvet saldırısı ile başlayan bir veri ihlaline kurban düştü. Güvenlik uzlaşması, sosyal güvenlik numaraları, ehliyet bilgileri ve kişisel olarak tanımlanabilir diğer veriler gibi hassas veriler içeren 37 milyondan fazla müşteri kaydı ile sonuçlandı.
Savunma önlemleri
Kullanıcılar, kaba kuvvet saldırılarına karşı korumak için güçlü, karmaşık şifreleri ve çok faktörlü kimlik doğrulama (MFA) seçmelidir. Yöneticiler hesap kilitleme politikalarını uygulamalı ve zayıf ve ihlal edilmiş şifreler için pencere ortamlarını sürekli olarak denetlemelidir. SpecOps Password Auditer gibi araçlar bu işlemleri geniş BT ortamlarında otomatikleştirebilir.
Sözlük saldırısı
Parola sözlük saldırısında, siber saldırganlar bir sözlükten ortak şifrelerin veya kelimelerin bir listesini kullanarak erişim kazanmaya çalışırlar. Bu önceden tanımlanmış kelime listesi tipik olarak en sık kullanılan kelimeleri, ifadeleri ve basit kombinasyonları (yani, “admin123”) içerir. Parola sözlük saldırıları, karmaşık, benzersiz şifrelerin öneminin altını çizmektedir, çünkü bu saldırı türleri özellikle zayıf veya kolay tahmin edilebilir şifrelere karşı etkilidir.
Nasıl Çalışır
İşlem, veri ihlallerinden, ortak şifre listelerinden veya halka açık kaynaklardan potansiyel şifrelerin bir listesini derlemekle başlar. Otomatik bir araç kullanarak, kötü niyetli aktörler, her bir şifreyi bir hedef hesaba veya sisteme göre sistematik olarak test ederek bir sözlük saldırısı gerçekleştirir. Bir maç bulunursa, bilgisayar korsanı erişim kazanabilir ve sonraki saldırıları veya hareketleri gerçekleştirebilir.
Örnekler
Kötü niyetli aktörler, 2013 Yahoo veri ihlali ve 2012 LinkedIn veri ihlali gibi çeşitli yüksek profilli güvenlik olaylarında karma şifreleri kırmak için şifre sözlüklerini kullandılar. Bu, milyarlarca kullanıcının hesap bilgilerini çalmalarını sağladı.
Savunma önlemleri
Parola oluştururken veya sıfırlarken, kullanıcılar harf, sayılar ve özel karakterlerin bir kombinasyonunu kullanmalı ve ortak kelimeler veya kolayca tahmin edilebilir ifadeler kullanmaktan kaçınmalıdır. Yöneticiler, kuruluş genelinde bu yetkileri uygulamak için politikalarında şifre karmaşıklığı gereksinimlerini uygulayabilir.
Gökkuşağı Masa Saldırıları
Bir gökkuşağı masası saldırısı, önceden hesaplanmış dizelerden veya yaygın olarak kullanılan şifrelerden ve bir veritabanındaki parola karmalarını kırmak için karşılık gelen karmalardan oluşan özel bir tablo (yani “gökkuşağı tablosu) kullanır.
Nasıl Çalışır
Gökkuşağı masa saldırıları, karma şifreleri verimli bir şekilde kırmak için karma ve azaltma işlemlerinin zincirlerinden yararlanarak çalışır. Potansiyel şifreler önce haşır ve gökkuşağı masasındaki düz metin meslektaşlarının yanında saklanır, daha sonra onları yeni değerlerle eşleyen bir indirgeme fonksiyonu ile işlenir ve bu da bir karma zinciri ile sonuçlanır. Bu işlem gökkuşağı masasını oluşturmak için birden çok kez tekrarlanır. Bilgisayar korsanları bir karma listesi aldıklarında, gökkuşağı tablosundaki her karma değerini tersine çevirebilirler – bir eşleşme belirlendikten sonra, karşılık gelen düz metin şifresi açığa çıkar.
Örnekler
Tuzlama (karma önce parolalara rastgele karakterler ekleme yöntemi) gökkuşağı masa saldırılarının etkinliğini azaltmış olsa da, birçok karma tuzsuz kalır; Ayrıca, GPU’lar ve uygun fiyatlı donanımdaki ilerlemeler, gökkuşağı tablolarıyla ilişkili bir kez depolama sınırlamalarını ortadan kaldırmıştır. Sonuç olarak, bu saldırılar mevcut ve gelecekteki yüksek profilli siber saldırılarda olası bir taktik olmaya devam etmektedir.
Savunma önlemleri
Daha önce de belirtildiği gibi, tuzlu karmalar, önceden hesaplanmış tabloların etkinliğini önemli ölçüde azaltmıştır; Bu nedenle kuruluşlar, şifre süreçlerinde güçlü karma algoritmaları (örn. BCrypt, Scrypt) uygulamalıdır. Yöneticiler ayrıca Rainbow Table Sözlüğü eşleşmeleri/isabetleri olasılığını azaltmak için parolaları düzenli olarak güncellemeli ve döndürmelidir.
Kısacası, şifreler mükemmel değildir, ancak karmaşık ve yeterince uzun parolalar, gelişmiş şifre kırma tekniklerine karşı hayati bir ilk savunma hattı olarak kalır. SpecOps Politika gibi araçlar, Active Directory’yi 4 milyardan fazla ihlal edilen parolaların veritabanına karşı sürekli olarak tarayarak ekstra bir koruma katmanı sağlar. Bugün ücretsiz bir demo için bizimle iletişime geçin.