Väsytyshyökkäys yrittää arvailla kirjautumistietoja, salausavaimia tai piilotetun verkkosivun löytämistä yrityksen ja erehdyksen avulla. Hakkerit käyvät läpi kaikki mahdolliset yhdistelmät toivoen arvaavansa oikein.
Nämä hyökkäykset tehdään ‘väsytys‘ -menetelmällä, mikä tarkoittaa sitä, että ne yrittävät päästä yksityiselle tilillesi tai yksityisille tileillesi ‘väsyttämällä‘.
Tämä on vanha hyökkäysmenetelmä, mutta se on edelleen tehokas ja suosittu hakkereiden keskuudessa. Salasanan pituudesta ja monimutkaisuudesta riippuen sen murtaminen voi kestää muutamasta sekunnista moniin vuosiin.
Väsytyshyökkääjien on nähtävä hieman vaivaa, jotta nämä menetelmät tuottavat tulosta. Vaikka tekniikka tekee siitä helpompaa, saatat silti kysyä: miksi joku tekisi näin?
Näin hakkerit hyötyvät väsytyshyökkäyksistä:
Hakkerit voivat hyödyntää verkkosivustoa yhdessä muiden kanssa ansaitakseen mainospalkkioita. Suosittuja tapoja tehdä tämä ovat:
Verkkotileihin murtautuminen voi olla kuin pankkiholvin murtaminen: kaikki pankkitileistä verotietoihin löytyy verkosta. Tarvitaan vain oikea murto, jotta rikollinen voi varastaa henkilöllisyytesi, rahasi tai myydä yksityiset tietosi hyötymistarkoituksessa. Joskus kokonaisten organisaatioiden arkaluonteiset tietokannat voivat paljastua yritystason tietomurroissa.
Jos hakkeri haluaa aiheuttaa ongelmia tai harjoitella taitojaan, hän saattaa ohjata verkkosivuston liikennettä haitallisille sivustoille. Vaihtoehtoisesti he voivat myös suoraan tartuttaa sivustolle piilotetun haittaohjelman, joka asentuu kävijöiden tietokoneille.
Kun yksi kone ei riitä, hakkerit värväävät armeijan pahaa aavistamattomia laitteita, joita kutsutaan botnetiksi, nopeuttaakseen toimiaan. Haittaohjelmat voivat tunkeutua tietokoneeseesi, mobiililaitteeseesi tai verkkotileillesi roskapostin tietojenkalastelua, tehostettuja väsytyshyökkäyksiä ja muuta varten. Jos sinulla ei ole virustorjuntajärjestelmää, tartuntavaara voi olla suurempi.
Jos ylläpidät verkkosivustoa ja joudut ilkivallan kohteeksi, kyberrikollinen saattaa päättää saastuttaa sivustosi säädyttömällä sisällöllä. Tällaisia voivat olla väkivaltaiset, pornografiset tai rasistisesti loukkaavat tekstit, kuvat ja äänet.
Jokainen väsytyshyökkäys voi käyttää erilaisia menetelmiä arkaluonteisten tietojen paljastamiseen. Saatat altistua jollekin seuraavista suosituista väsytysmenetelmistä:
Yksinkertaiset väsytyshyökkäykset: Hakkerit yrittävät loogisesti arvata tunnistetietosi — täysin ilman ohjelmistotyökaluja tai muita keinoja. Nämä voivat paljastaa erittäin yksinkertaiset salasanat ja PIN-koodit. Esimerkiksi salasana, joka on asetettu muotoon “guest12345”.
Sanakirjahyökkäykset: Tavallisessa hyökkäyksessä hakkeri valitsee kohteen ja vertaa mahdollisia salasanoja kyseiseen käyttäjätunnukseen. Näitä kutsutaan sanakirjahyökkäyksiksi. Sanakirjahyökkäykset ovat väsytyshyökkäysten perustyökalu. Vaikka ne eivät itsessään välttämättä olekaan väsytyshyökkäyksiä, niitä käytetään usein tärkeänä osana salasanojen murtamisessa. Jotkut hakkerit käyvät läpi lyhentämättömiä sanakirjoja ja lisäävät sanoihin erikoismerkkejä ja numeroita tai käyttävät erityisiä sanakirjoja, mutta tämäntyyppinen peräkkäinen hyökkäys on hankala.
Hybridiväsytyshyökkäykset: Nämä hakkerit sekoittavat ulkopuolisia keinoja loogisiin arvauksiinsa yrittäessään murtautua sisään. Hybridihyökkäyksessä sekoitetaan yleensä sanakirjahyökkäyksiä ja väsytyshyökkäyksiä. Näitä hyökkäyksiä käytetään sellaisten yhdistelmäsalasanojen keksimiseen, joissa sekoitetaan yleisiä sanoja ja satunnaisia merkkejä. Esimerkkinä tällaisesta väsytyshyökkäyksestä voidaan mainita salasanat kuten NewYork1993 tai Spike1234.
Käänteinen väsytyshyökkäys: Kuten nimikin kertoo, käänteinen väsytyshyökkäyshyökkäys kääntää hyökkäysstrategian päinvastaiseksi aloittamalla tunnetusta salasanasta. Sitten hakkerit etsivät miljoonia käyttäjätunnuksia, kunnes he löytävät vastaavuuden. Monet näistä rikollisista lähtevät liikkeelle vuotaneista salasanoista, jotka ovat saatavilla verkossa jo tapahtuneiden tietomurtojen seurauksena.
Tunnistetietojen täyttö: Jos hakkerilla on käyttäjätunnus-salasana-yhdistelmä, joka toimii yhdellä verkkosivustolla, hän kokeilee sitä myös monilla muilla sivustoilla. Koska käyttäjien tiedetään käyttävän kirjautumistietoja uudelleen useilla verkkosivustoilla, he ovat tämänkaltaisen hyökkäyksen yksinomaisia kohteita.
Tietyn käyttäjän tai sivuston salasanan arvaaminen voi viedä kauan aikaa, joten hakkerit ovat kehittäneet työkaluja, joiden avulla se onnistuu nopeammin.
Automaattiset työkalut auttavat väsytyshyökkäyksissä. Ne käyttävät nopeaa arvausta, joka on suunniteltu luomaan kaikki mahdolliset salasanat ja yrittämään niiden käyttöä. Väsytyshakkerointiohjelmisto voi löytää yhden sanakirjasanan salasanan yhdessä sekunnissa.
Tällaisiin työkaluihin on ohjelmoitu kiertoteitä:
Jotkut työkalut skannaavat valmiiksi lasketut sateenkaaritaulukot tunnettujen hash-funktioiden syötteille ja tulosteille. Nämä "hash-funktiot" ovat algoritmipohjaisia salausmenetelmiä, joita käytetään salasanojen muuntamiseen pitkiksi, kiinteän pituisiksi kirjain- ja numerosarjoiksi. Toisin sanoen sateenkaaritaulukot poistavat väsytyshyökkäyksen vaikeimman osan prosessin nopeuttamiseksi.
Väsytyssalasanaohjelmiston käyttämiseen tarvitaan valtavia määriä tietokoneen aivokapasiteettia. Valitettavasti hakkerit ovat keksineet laitteistoratkaisuja, jotka tekevät tästä työstä paljon helpompaa.
CPU:n ja grafiikkasuorittimen (GPU) yhdistäminen nopeuttaa laskentatehoa. Kun GPU:ssa lisätään tuhansia laskentaytimiä prosessointia varten, järjestelmä pystyy käsittelemään useita tehtäviä kerralla. GPU-käsittelyä käytetään analytiikkaan, suunnitteluun ja muihin laskentaintensiivisiin sovelluksiin. Tätä menetelmää hyödyntämällä hakkerit voivat murtaa salasanoja noin 250 kertaa nopeammin kuin pelkkää CPU:ta käyttäen.
Kuinka kauan salasanan murtaminen kestää? Kuusimerkkisessä salasanassa, joka sisältää numeroita, on noin 2 miljardia mahdollista yhdistelmää. Sen murtaminen tehokkaalla suorittimella, joka yrittää 30 salasanaa sekunnissa, kestää yli kaksi vuotta. Yhden tehokkaan grafiikkasuorittimen lisäämisen ansiosta sama tietokone voi testata 7 100 salasanaa sekunnissa ja murtaa salasanan 3,5 päivässä.
Jotta voisit pitää itsesi ja verkkosi turvassa, sinun kannattaa ryhtyä varotoimiin ja auttaa myös muita tekemään niin. Sekä käyttäjien käyttäytymistä että verkon turvajärjestelmiä on vahvistettava.
Sekä IT-asiantuntijoiden että käyttäjien kannattaa ottaa huomioon muutama yleinen neuvo:
Kun perusasiat ovat kunnossa, haluat vahvistaa tietoturvaa ja saada käyttäjät mukaan.
Aloitamme siitä, mitä voit tehdä taustajäjestelmässä, ja annamme sitten vinkkejä turvallisten tapojen tukemiseksi.
Korkea salausaste: Jotta väsytyshyökkäykset eivät onnistuisi, järjestelmänvalvojien tulee varmistaa, että heidän järjestelmiensä salasanat on salattu mahdollisimman korkealla salausasteella, kuten 256-bittisellä salauksella. Mitä enemmän bittejä salausjärjestelmässä on, sitä vaikeampi salasana on murtaa.
Tarkistussumman suolaaminen: Järjestelmänvalvojien tulisi myös satunnaistaa salasanojen tarkistussummat lisäämällä itse salasanaan satunnainen kirjain- ja numerosarja (ns. 'suolaus'). Tämä merkkijono tulee tallentaa erilliseen tietokantaan, ja se on haettava ja lisättävä salasanaan ennen sen hajauttamista. Suolaamalla tarkistussumma, käyttäjillä, joilla on sama salasana, on erilaiset tarkistussummat.
Kahden tekijän todennus (2FA): Lisäksi järjestelmänvalvojat voivat vaatia kaksivaiheista todennusta ja asentaa tunkeutumisen havaitsemisjärjestelmän, joka havaitsee väsytyshyökkäykset. Tämä edellyttää, että käyttäjät seuraavat kirjautumisyritystä toisella tekijällä, kuten fyysisellä USB-avaimella tai biometrisella sormenjälkiskannauksella.
Kirjautumisen uusintayritysten määrän rajoittaminen: Yritysten määrän rajoittaminen vähentää myös alttiutta väsytyshyökkäyksille. Esimerkiksi kolmen yrityksen salliminen oikean salasanan syöttämiseksi ennen käyttäjän lukitsemista useiksi minuuteiksi voi aiheuttaa merkittäviä viiveitä ja saada hakkerit siirtymään helpompiin kohteisiin.
Tilin lukitseminen liian monien kirjautumisyritysten jälkeen: jos hakkeri voi yrittää salasanoja loputtomasti uudelleen väliaikaisen lukituksen jälkeenkin, hän voi palata yrittämään uudelleen. Tilin lukitseminen ja käyttäjän velvoittaminen ottamaan yhteyttä IT-osastoon lukituksen avaamiseksi ehkäisee tällaista toimintaa. Lyhyet lukitusajastimet ovat kätevämpiä käyttäjille, mutta mukavuus voi olla myös haavoittuvuus. Tämän tasapainottamiseksi voit harkita pitkäaikaisen lukituksen käyttämistä, jos epäonnistuneita kirjautumisia tapahtuu liikaa lyhyen kirjautumisen jälkeen.
Toistuvien kirjautumisten määrän hillitseminen: voit hidastaa hyökkääjän toimia entisestään luomalla tilaa yksittäisten kirjautumisyritysten välille. Kun sisäänkirjautuminen epäonnistuu, ajastin voi estää sisäänkirjautumisen, kunnes on kulunut jonkin aikaa. Tämä jättää reaaliaikaiselle valvontatiimillesi viiveaikaa havaita uhka ja työskennellä sen pysäyttämiseksi. Jotkut hakkerit saattavat lopettaa yrittämisen, jos odotus ei ole sen arvoista.
Pakollinen Captcha toistuvien kirjautumisyritysten jälkeen: manuaalinen varmistus estää robotteja murtautumasta tietoihin. Captchoja on monenlaisia, kuten kuvan tekstin kirjoittaminen uudelleen, valintaruudun tarkistaminen tai kuvien kohteiden tunnistaminen. Riippumatta siitä, mitä käytät, voit käyttää tätä ennen ensimmäistä sisäänkirjautumista ja jokaisen epäonnistuneen sisäänkirjautumisyrityksen jälkeen suojautuaksesi edelleen.
Käytä IP-estoluetteloa tunnettujen hyökkääjien estämiseksi. Varmista, että luetteloa hallinnoivat henkilöt päivittävät sitä jatkuvasti.
Salasanavalistus: käyttäjien käyttäytyminen on olennaisen tärkeää salasanojen turvallisuuden kannalta. Valista käyttäjiä turvallisista käytännöistä ja työkaluista, joiden avulla he voivat seurata salasanojaan. Kaspersky Password Managerin kaltaisten palveluiden avulla käyttäjät voivat tallentaa monimutkaiset, vaikeasti muistettavat salasanansa salattuun "holviin" sen sijaan, että he kirjoittaisivat ne turvattomasti muistilapuille. Koska käyttäjillä on taipumus vaarantaa turvallisuutensa mukavuuden vuoksi, auta heitä käyttämään käteviä työkaluja, jotka pitävät heidät turvassa.
Tarkkaile tilejä reaaliaikaisesti oudon toiminnan varalta: outoja kirjautumispaikkoja, liiallisia kirjautumisyrityksiä jne. Etsi epätavallisen toiminnan trendejä ja toteuta toimenpiteitä mahdollisten hyökkääjien estämiseksi reaaliaikaisesti. Tarkkaile IP-osoitteiden estämistä, tilin lukitsemista ja ota yhteyttä käyttäjiin selvittääksesi, onko tilin toiminta laillista (jos se näyttää epäilyttävältä).
Käyttäjänä voit tehdä paljon suojellaksesi itseäsi digitaalisessa maailmassa. Paras suoja salasanahyökkäyksiä vastaan on varmistaa, että salasanasi ovat mahdollisimman vahvoja.
Väsytyshyökkäykset käyttävät aikaa salasanasi murtamiseen. Tavoitteenasi on siis varmistaa, että salasanasi hidastaa näitä hyökkäyksiä mahdollisimman paljon, sillä jos kestää liian kauan, ennen kuin tietomurto kannattaa... useimmat hakkerit luovuttavat ja siirtyvät muualle.
Seuraavassa on muutamia tapoja, joilla voit vahvistaa salasanoja väsytyshyökkäyksiä vastaan:
Pidemmät salasanat, joissa on erilaisia merkkejä. Käyttäjien tulisi mahdollisuuksien mukaan valita 10 merkkiä pitkä salasana, joka sisältää symboleja tai numeroita. Näin luodaan 171,3 kvintiljoonaa (1,71 x 1020) mahdollisuutta. Käyttämällä GPU-prosessoria, joka yrittää 10,3 miljardia tarkistussummaa sekunnissa salasanan murtaminen kestäisi noin 526 vuotta. Tosin supertietokone voisi murtaa sen muutamassa viikossa. Tämän logiikan mukaan useampien merkkien lisääminen vaikeuttaa salasanan ratkaisemista entisestään.
Monimutkaiset tunnuslauseet. Kaikki sivustot eivät hyväksy näin pitkiä salasanoja, joten sinun kannattaa valita monimutkaisia salasanoja yksittäisten sanojen sijaan. Sanakirjahyökkäykset on suunniteltu erityisesti yhden sanan lauseita varten, ja niiden avulla murtautuminen on lähes vaivatonta. Salalauseissa — salasanoissa, jotka koostuvat useista sanoista tai osista — tulee olla ylimääräisiä merkkejä ja erikoismerkkejä.
Luo sääntöjä salasanojesi luomista varten. Parhaat salasanat ovat sellaisia, jotka muistat, mutta joiden lukemisessa ei ole mitään järkeä kenellekään muulle. Kun käytät salalausetapaa, harkitse lyhennettyjen sanojen käyttämistä, kuten "wood" korvaamista sanalla "wd", jotta voit luoda merkkijonon, jossa on järkeä vain sinulle. Muita esimerkkejä voivat olla vokaalien jättäminen pois tai vain kahden ensimmäisen kirjaimen käyttäminen kussakin sanassa.
Älä käytä usein käytettyjä salasanoja. On tärkeää välttää yleisimpiä salasanoja ja vaihtaa ne usein.
Käytä yksilöllisiä salasanoja jokaiselle käyttämällesi sivustolle. Jotta et joutuisi tunnistetietojen täyttämisen uhriksi, älä koskaan käytä salasanaa uudelleen. Jos haluat lisätä turvallisuutta, käytä eri käyttäjätunnusta jokaisella sivustolla. Voit estää muita tilejä vaarantumasta, jos johonkin tileistäsi murtaudutaan.
Käytä salasanojen hallintaohjelmaa. Salasanojen hallintaohjelman asentaminen automatisoi verkkotunnusten luomisen ja seuraamisen. Näiden avulla voit käyttää kaikkia tilejäsi kirjautumalla ensin salasanahallintaan. Voit luoda erittäin pitkiä ja monimutkaisia salasanoja kaikille sivustoille, joilla vierailet, tallentaa ne turvallisesti ja sinun tarvitsee muistaa vain yksi ensisijainen salasana.
Jos mietit, "kuinka kauan salasanani murtaminen kestää", voit testata salasanan vahvuuden osoitteessa https://password.kaspersky.com.
Kaspersky Internet Security on saanut kaksi AV-TEST-palkintoa Internet-tietoturvatuotteen parhaasta suorituskyvystä ja suojauksesta vuonna 2021. Kaspersky Internet Security osoitti kaikissa testeissä erinomaista suorituskykyä ja suojaa verkkouhkia vastaan.
Aiheeseen liittyviä artikkeleita: