Почти половината от използваните пароли по света могат да бъдат отгатнати за по-малко от минута
Александър Александров
В днешния все по-силно зависим от дигитализацията свят киберсигурността се превръща в един от най-сериозните потенциални проблеми за обществото ни. Заплахите стават все по-разнообразни и по-комплексни. Злонамерените играчи във виртуалното пространство – все по-силни. А с навлизането на Internet of Things технологиите рисковете вече засягат не само нашите снимки с котенца, а и физическата сигурност в домовете, офисите и колите ни.
Друга бързо развиваща се технология – изкуственият интелект – прави дори още по-лесно за начинаещи киберпрестъпници да се сдобият с инструментите и знанията за извършване на ефективни атаки.
В същото време игнорирането на тези заплахи от страна на масовите потребители става все по-плашещо. „Нашето желание за бързи отговори може да надделее над желанието да сме сигурни в тяхната истинност“ – тази сентенция повече от когато и да било определя начина, по който се развива съвременното информационно общество.
Поредният пример за масовото игнориране на киберрисковете е проучване на експерти от компанията за информационна сигурност Kaspersky, което разкрива, че
почти половината от всички пароли
могат да бъдат отгатнати от киберпрестъпници за по-малко от минута. То обхваща 193 милиона пароли, компрометирани от информационни крадци и достъпни в т.нар. dark web.
Според резултатите от изследването, 45% от всички анализирани пароли (87 милиона) могат да бъдат отгатнати от измамници в рамките на минута. Екипът на Kaspersky е открил и най-често използваните комбинации от знаци при създаването на пароли. Само 23% (44 милиона) от комбинациите са се оказали достатъчно трудни за спиране на измамниците, като тяхното разбиване отнема повече от година. Тези резултати са особено притеснителни, като се има предвид, че само през 2023 г. от Kaspersky са отчели над 32 милиона опита за кражба на потребителски пароли.
Данните бяха представени на тазгодишното издание на конференцията Kaspersky NEXT, която събра неотдавна журналисти и експерти в сферата на сигурността в гръцката столица Атина. Освен сигурността на паролите, на събитието бяха разгледани и множество други актуални теми – от фалшивите новини и deepfake, до вездесъщия изкуствен интелект, със
силен акцент върху обучението на крайните потребители.
Представеното проучване за сигурността на паролите е проведено на база на 193 милиона пароли, а експертите на Kaspersky са използвали за отгатване на паролите методите брутфорс (систематично изпробване на всички възможни комбинации от символи, докато не се намери правилната), Zxcvbn, както и алгоритъм за интелигентно отгатване. Zxcvbn представлява усъвършенстван алгоритъм за оценяване, достъпен в GitHub. Той определя схемата за съществуваща парола, след което брои необходимите итерации за търсене на всеки елемент от схемата. Така, ако паролата съдържа дума, намирането й ще отнеме брой итерации, равен на дължината на речника. А на база на времето за търсене за всеки елемент от схемата, можем да изчислим силата на паролата. От своя страна алгоритъмът за интелигентно отгатване може въз основа на набор от пароли да изчисли честотата на различните комбинации от символи. След това той генерира опити, започвайки от най-често срещаните варианти и техните комбинации и достигайки до най-редките.
На база на тези методи експертите са установили, че повечето от прегледаните пароли не са достатъчно силни и могат лесно да бъдат компрометирани чрез използване на алгоритми за интелигентно отгатване. Нещо повече –
45% (87 милиона) от паролите могат да бъдат познати за по-малко от 1 минута.
При други 14% или 27 милиона пароли този период е между 1 минута и 1 час, което също дава сериозни възможности на хакерите да проникнат в атакуваната система. При 8% (15 милиона) от изследваните пароли срокът е от 1 час, до 1 ден, при 6% (12 милиона) – от 1 ден, до 1 месец и едва при 4% (8 милиона) – от 1 месец до 1 година. Експертите са идентифицирали и 44 милиона устойчиви пароли (23%), при които компрометирането би отнело повече от година.
Уязвимостта на думите
Повечето от изследваните пароли (57%) съдържат дума от речника, което според експертите значително намалява силата на паролата. Сред най-популярните речникови последователности могат да се разграничат няколко групи. Това са имена (“ahmed”, “nguyen”, “kumar”, “kevin”, “daniel”), популярни думи (“forever”, “love”, “google”, “hacker”, “gamer”) и дори – стандартни пароли, като “password”, “qwerty12345”, “admin”, “12345” и “team”. За съжаление използващите подобни пароли все още са милиони.
Анализът показа, че само 19% от всички пароли съдържат трудна за разбиване комбинация, включително несъществуваща в речника дума, малки и големи букви, както и цифри и символи и не съдържат стандартна речникова дума. В същото време, проучването разкрива, че 39% от тези пароли също могат да бъдат отгатнати с помощта на интелигентни алгоритми за по-малко от час. Може би най-тревожното е, че нападателите не се нуждаят от дълбоки познания или скъпо оборудване, за да разбият тези пароли. Стандартен мощен процесор на
обикновен лаптоп може да намери правилната комбинация за парола
от 8 малки букви или цифри, използвайки брутфорс инструмент, само за 7 минути. А съвременните видеокарти ще се справят със същата задача за 17 секунди. Освен това, интелигентните алгоритми за отгатване на пароли лесно разшифроват замествания на символи като “e” с “3”, “1” с “!” или “a” с “@”, както и популярни последователности като “qwerty”, “12345”, “asdfg”.
“Хората създават неосъзнато “човешки” пароли, съдържащи думи от речника на родния им език, включително имена, числа и т.н., неща, които лесно се запомнят от нашите заети мозъци. Дори на пръв поглед силни комбинации рядко са напълно случайни, така че могат да бъдат отгатнати от алгоритми. Предвид това, най-надеждното решение е да се генерира напълно случайна парола с помощта на съвременни и надеждни мениджъри на пароли. Такива приложения могат сигурно да съхраняват големи обеми от данни, предоставяйки цялостна защита за потребителската информация” – коментира Юлия Новикова, ръководител на Digital Footprint Intelligence в Kaspersky, която беше сред лекторите на форума NEXT.
Как да се защитим?
В условията на все по-усъвършенстваните инструменти за разбиване на пароли, потребителите трябва да се обучат и да следват редица правила, като например да не включват в паролите си рождени дни, имена на членове на семейството, домашни любимци, собствени имена или други данни, които могат лесно да бъдат отгатнати от личната им информация. Това често са първите предположения, които нападателят ще направи.
Друго важно изискване е използването на двуфакторна аутентикация (2FA) навсякъде, където това е възможно (особено в различните платежни инструменти и системи). 2FA добавя допълнителен слой сигурност и гарантира, че ако някой открие парола ни, ще му е необходима и втора форма на верификация, за да получи достъп до акаунта.
От важно значение е също да използваме различна парола за всяка услуга. По този начин, дори ако един от акаунтите ни бъде откраднат, останалите няма да са компрометирани. Съществуват и онлайн услуги, които ще ви помогнат да проверите дали една парола е достатъчно силна. Използването на надеждно решение за сигурност също може значително да подобри защитата ни. Такива софтуери следят интернет и dark web и предупреждават, ако нашите пароли трябва да бъдат сменени.
Силата на обучението и образованието
В почти всяка лекция от тазгодишното издание на Kaspersky NEXT в Атина беше акцентирано върху ключовото знаечнеие, което образователните и информационни програми за масовите потребители имат за справяне с нарастващите опасности, свързани с информационна сигурност, дийпфейк и използването на изкуствен интелект от злонамерени актьори.
“Лошите момчета“ бързо усвояват нови технологии
Бързото навлизане на големите езикови модели и други AI инструменти, прибавя плашещо много нови оръжия към арсенала на киберпрестъпниците. Една от най-тревожните тенденции е възходът на дийпфейк — фалшиви изображения, аудио или видео съдържание, създадени с помощта на изкуствен интелект, които изглеждат абсолютно реални, поне за невъоръженото око. Проблемът става все по-тревожен, тъй като инструментите за генериране стават все по-разпространени и достъпни за широката общественост. А
целите на такива атаки вече отдавна не са само артисти и държавни глави, а и обикновени хора.
Експертите също така предвиждат, че ще има нарастваща нужда от технологии за защита на личните AI системи от непрекъснато развиващите се заплахи, насочени към тях. Всички ние зависим все повече от изкуствения интелект в ежедневието си и тази зависимост ще въведе нови видове атаки, което ще наложи и инвестиции в защита на личните и фирмени AI инструменти.
„Бъдещето няма да изисква от нас само да намерим технологични решения на непрекъснато развиващите се нови заплахи, а и промяна в мисленето. В този златен век на журналистиката, когато качеството на новините е по-важно от всякога, трябва да инвестираме колкото се може повече в образованието на потребителите, за да защитим нашите общества и нашите демокрации срещу дезинформация и подобни заплахи“ – категоричен бе друг от лекторите на събитието – Марко Пройс, заместник-директор на Глобалния екип за изследвания и анализи (GReAT) в Kaspersky.
Той беше подкрепен от колегата си Дан Деметер, старши изследовател по сигурността в GReAT, Kaspersky: „Имаме възможностите и технологиите да изградим нови инструменти за защита на нашето дигитално бъдеще, но също толкова важна ще бъде промяната в мисленето. Трябва да започнем да мислим по различен начин, за да останем в безопасност онлайн, тъй като линиите между онлайн и офлайн стават все по-замъглени. Освен това, образованието и осведомеността ще бъдат един от ключовите стълбове, съчетани с надеждно решение за киберсигурност.“