På senare tid har det varit mycket surr kring lösenordssäkerhet. Varje vecka översvämmas beslutsfattarna inom säkerheten med råd som ”använd aldrig ett lösenord som har äventyrats”, ”välj alltid riktigt långa lösenord” och den populära uppfattningen att ”lösenfraser kommer att rädda oss.” Men enligt forskning som Microsoft har gjort, i kombination med den dagliga verkligheten att försvara sig mot hundratals miljoner lösenordsbaserade attacker, tyder på att ett överdrivet fokus på lösenordsregler bara är en distraktion. De verkliga spelförändrarna är multi-factor authentication (MFA) och effektiv hotdetektering.
Trots hypen, när det kommer till sammansättning och längd, spelar ditt lösenord i allmänhet ingen roll. Kärnan i saken är angriparens huvudmål, som är att stjäla lösenord för att få obehörig åtkomst. Det är avgörande att skilja mellan hypotetisk och praktisk säkerhet. Angripare kommer bara att gå till ytterligheter när det inte finns några enklare alternativ, och målet motiverar ansträngningen
Password Spray Attacks
En primär metod som används av angripare är ”Password Spray”-taktiken. Här använder angripare lättillgängliga användarlistor för att gissa lösenord över ett stort antal användarnamn. De säkerställer att de arbetar i en takt och sprider sina försök över olika IP-adresser för att undvika upptäckt. Verktyg för denna metod är lättillgängliga och billiga.
I de senaste fallen har det observerats att de flesta angripare under en sprayattack försöker med cirka 10 lösenord. Men det fina med en lösenordsspray är dess detekterbarhet. När den har upptäckts kan den stoppas. Därför angriper angripare ett ”lågt och långsamt” tillvägagångssätt, vilket gör varje gissning av lösenord avgörande. De utnyttjar information från tidigare läckor för att skapa sina attacker.
Tänk så här, om ditt lösenord inte finns med i angriparens lista är du säker. De flesta angripare använder liknande listor och försöker samma lösenord. Några exempel inkluderar ”123456”, ”password” och ”qwerty123”.
Databasextraktion och dess konsekvenser
Ett mindre vanligt men avgörande övervägande är hotet om databasextraktion. Extraheringsprocessen innebär att du tar bort en domänkontrollants filer eller kommer åt Azure Active Directorys molnmiljö. Det senare kräver mer ansträngning, kräver tillgång till miljön, databasdekrypteringsförmåga och, i vissa fall, Bitlocker-nyckelbrytande förmågor.
Men när angripare väl har säkrat en databas full av hash, handlar deras nästa drag om att skaffa en crackningsrigg. Med framsteg och sänkta kostnader är kraftfulla riggar nu tillgängliga för erfarna brottslingar. Lösenordsknäckningsprocessen innefattar i korthet:
– Ta reda på reglerna för algoritm, salting och lösenord
– Skapa en lista över potentiella lösenord
– Försöker alla lösenord mot målkontot
– Tillgripa populära fraser, sångtexter eller andra vanliga fraser
– Brute forcering, vilket snabbt blir tråkigt och tidskrävande när lösenordslängden ökar
– Salting, i det här fallet, säkerställer att varje kontos lösenord måste knäckas individuellt
– Take-away, här är att ditt lösenord, i händelse av ett intrång, knappast spelar någon roll, om det inte överstiger 12 tecken och är helt unikt
Password Managers och MFA: The True Saviors
I motsats till traditionella lösenordsföreställningar kan lösenordshanterare göra en betydande skillnad genom att generera långa, slumpmässiga strängar. Medan de kommer med sina utmaningar erbjuder de ett försvar mot brute-force attacker.
Ändå är det mest potenta försvaret multifaktorautentisering. MFA minskar avsevärt chanserna för kontokompromettering. Med tekniska framsteg som leder till bättre nätfisketekniker och mer robusta crackningsriggar är det tydligt att framtiden ligger i kryptografiskt säkra referenser kopplade till klienthårdvara.
Det övergripande temat här är att även om ditt lösenord kanske inte spelar så stor roll som tidigare trott, så gör MFA det. MFA minskar sannolikheten för en kompromiss med mer än 99,9 %. Allt eftersom tekniken fortskrider måste vi vända oss mot säkrare referenser, som FIDO2, för att säkerställa att vi inte bara förlitar oss på lösenord.
