Useimmat ihmiset tietävät, millä tavoin verkkoturvallisuudesta voi pitää huolta. Kyseisiä tapoja ei kuitenkaan aina hyödynnetä parhaalla mahdollisella tavalla, minkä vuoksi käyttäjät jäävät alttiiksi sanakirjahyökkäyksille. Monet jättävät noudattamatta yksinkertaisiakin ohjeita, jotka liittyvät esimerkiksi vahvojen salasanojen luomiseen, vaikka he tietäisivät, että verkkotilit kannattaa suojata. Itse asiassa Googlen tutkimuksessa selvisi, että arviolta 65 % ihmisistä käyttää samoja salasanoja useilla tileillä. Lisäksi 59 % ihmisistä käyttää salasanoissaan henkilökohtaisia tietoja, kuten lemmikkien nimiä tai syntymäpäiviä, jotka on helppo arvata tai löytää.
Usein käytetään myös yksinkertaisia ja ilmeisiä salasanoja, jotka on hyvin helppo murtaa. Tutkimusten mukaan yleisimpiä salasanoja ovat esimerkiksi ”123456”, ”qwerty”, ”Salasana”, ”iloveyou” ja ”Welcome”, ja näitä myös usein murretaan tietomurtojen yhteydessä.
Tällaiset hyökkäykset ovat hyvin yleisiä – ja menestyksekkäitä – juuri siitä syystä, että ihmiset eivät ota niihin varautumista tosissaan.
Yksinkertaisimmillaan sanakirjahyökkäys on väsytyshyökkäys, jossa hakkerit yrittävät arvata käyttäjän verkkotilin salansanan kokeilemalla nopeasti usein käytettyjä sanoja, lausekkeita ja numeroyhdistelmiä. Kun salasana on saatu selville, hakkeri voi päästä sen avulla esimerkiksi pankkitilille, sosiaalisen median profiiliin tai jopa salasanasuojattuihin tiedostoihin. Tässä vaiheessa uhrille voi aiheutua todellisia ongelmia.
Tämäntyyppisessä hakkeroinnissa salasanoja yritetään murtaa systemaattisin keinoin. Hakkeroinnissa on kolme vaihetta, joiden ymmärtäminen voi auttaa estämään sanakirjahyökkäyksiä.
Usein hyökkääjä käyttää mahdollisten salasanojen listan kokoamiseen esimerkiksi yleisiä lemmikkien nimiä, tunnistettavien populaarikulttuurin hahmojen nimiä tai tunnettujen urheilujoukkueiden ja urheilijoiden nimiä. Tähän on syynä se, että monet käyttävät tämäntyyppisiä salasanoja, sillä ne ovat heille merkityksellisiä ja helposti muistettavissa. Lista sisältää yleensä tällaisten sanojen muunnelmia, kuten sanojen yhdistelmiä tai sanoja yhdistettyinä erikoismerkkeihin.
Tällaisen listan ja automatisoitujen työkalujen käyttäminen myös helpottaa onnistuneen sanakirjahyökkäyksen toteuttamista. Salasanalistan ja automatisoidun työkalun käyttäminen yhdessä nopeuttaa salasanan murtamista ja verkkotilille hakkeroitumista huomattavasti. Jos sama tehtäisiin manuaalisesti, hyökkäys kestäisi liian kauan ja tilin omistaja (tai järjestelmänvalvoja) ehtisi huomata hyökkäyksen ja suojautua siltä.
Sanakirjahyökkäysten luonteen vuoksi niillä ei yleensä ole yhtä tiettyä kohdetta. Sen sijaan niitä tehdään siinä toivossa, että edes yksi listan salasanoista olisi oikein. Jos hyökkääjä kuitenkin kohdistaa hyökkäyksen tiettyyn paikkaan tai organisaatioon, hän voi luoda tarkemman ja paikallisemman sanalistan. Esimerkiksi jos tarkoituksena kohdistaa hyökkäys Espanjaan, listaan voidaan lisätä yleisiä espanjankielisiä sanoja. Jos taas kohteena on tietty organisaatio, hyökkääjä voi käyttää kyseiseen yritykseen liittyviä sanoja.
Vaikka sanakirjahyökkäys on yhdentyyppinen väsytyshyökkäys, niiden välillä on tärkeä ero. Sanakirjahyökkäyksissä käytetään ennalta määritettyä listaa, jonka avulla tilien salasanoja pyritään murtamaan systemaattisesti, kun taas väsytyshyökkäyksissä kokeillaan kirjainten, symboleiden ja numeroiden yhdistelmiä sattumanvaraisesti kaikissa mahdollisissa järjestyksissä. Sanakirjahyökkäykset ovat yleensä tehokkaampia ja onnistuvat todennäköisemmin, koska niissä käydään läpi huomattavasti pienempi määrä merkkiyhdistelmiä.
Englannin kielen aakkosten 26 kirjaintia ja 10 numeroa tekevät yhteensä 36 merkkiä, joten väsytyshyökkäyksessä kokeiltavien yhdistelmien määrä on lähes mahdoton. Esimerkiksi 10-merkkisen salasanan hakkerointi edellyttäisi 3,76 kvadriljoonan aakkosnumeerisen salasanan kokeilua.
Väsytyshyökkäysten etuna on kuitenkin se, että niillä voi todennäköisemmin murtaa hankalia ja yksilöllisiä salasanoja yrityksen ja erehdyksen kautta. Koska näissä hyökkäyksissä käydään läpi niin kattava lista mahdollisia salasanoja, niissä löydetään lopulta suuremmalla todennäköisyydellä missä tahansa salasanassa käytetty merkkiyhdistelmä.
Sanakirjahyökkäysten estämiseksi on hyvä ymmärtää, mistä niissä on kyse ja miten ne toimivat. Jos niitä haluaa tosissaan estää, näistä vinkeistä voi olla hyötyä:
Salasanojen hallintaohjelmien käyttö voi olla hyödyllinen tapa hallita tilin kirjautumistietoja turvallisesti ja minimoida sanakirjahakkerointien uhriksi joutumisen todennäköisyys. Sovellukset, kuten Kaspersky Password Manager, tarjoavat useita hyötyjä, jotka auttavat pitämään salasanat turvassa. Tässä on joitakin syitä niiden käytölle:
Sanakirjahakkerointi on hyvin yleinen kyberrikostyyppi, jolla hakkerit pyrkivät pääsemään ihmisten henkilökohtaisille tileille, kuten pankkitileille, sosiaalisen median profiileihin ja sähköpostitileille. Saatuaan pääsyn hakkerit voivat esimerkiksi tehdä taloudellisia petoksia, julkaista haitallisia sosiaalisen median postauksia tai tehdä muita kyberrikoksia, kuten kalastella tietoja. Sanakirjahyökkäksiä voi kuitenkin pyrkiä estämään niinkin yksinkertaisesti kuin ottamalla käyttöön tiettyjä turvatoimia, jotka minimoivat hyökkäysten uhriksi joutumisen todennäköisyyden. Esimerkiksi hyvien salasanojen hallintatapojen, erityyppisten todennusten ja helposti saatavilla olevien salasanojen hallintaohjelmien käyttö voi auttaa pitämään salasanat ja tilit turvassa.
Kaspersky Endpoint Security sai kolme AV-TEST-palkintoa yrityksen päätepisteiden suojaustuotteen parhaasta suorituskyvystä, suojauksesta ja käytettävyydestä vuonna 2021. Kaspersky Endpoint Security osoitti kaikissa testeissä ensiluokkaisen suorituskykynsä, suojaustasonsa ja käytettävyytensä yrityksille.
Aiheeseen liittyviä artikkeleita ja linkkejä:
Aiheeseen liittyvät tuotteet ja palvelut: