Kako nam kradu lozinke
Svakodnevno čitamo vesti o narušavanju privatnosti i krađi lozinki, pa i korisničkih naloga sa servera mnogih IT (i ne samo IT) kompanija. Na udaru su bile kako manje firme, tako i giganti kao što su Facebook, Adobe, Dropbox, Apple, Google, Snapchat… Da li su tom prilikom lozinke zaista ukradene?
Sigurno ste čitali o načinima za formiranje bezbednih lozinki, koje bi vam omogućile da sačuvate svoju privatnost. Zbog čega je to toliko komplikovano? Zašto se uopšte problem javlja? Da bismo odgovorili na ova pitanja, prvo treba da vidimo koji hakerski napadi mogu omogućiti neovlašćeno otkrivanje lozinki i da li je to propust korisnika ili servisa na koji se logujete. Naime, napade možemo podeliti u dve grupe, u zavisnosti od toga da li se kradu zaštićene ili nezaštićene lozinke.
Oprezno s lozinkama
U prvom slučaju, lozinke se kradu u trenutku njihovog unošenja, a najčešće preko phishing napada. Hakeri naprave lažnu Internet stranicu za logovanje na servise elektronskog bankarstva, društvene mreže, e‑mail naloga itd. Lažna stranica razlikuje se u odnosu na originalnu u pojedinim sitnicama (verovatno nije zaštićena HTTPS protokolom, naziv sajta je „pogrešan“ barem u jednom slovu itd) na koje malo ko obrati pažnju. Nakon unosa podataka korisnik se preusmeri na pravi sajt, čime se potpuno maskira ovaj napad.
Lozinke mogu da se ukradu i pomoću zlonamernih programa ili hardverskih key logger‑a, koji skupljaju podatke unesene preko tastature. Ponekad će lozinka biti ukradena i korišćenjem kamera (javnih ili tajnih) koje snimaju tastaturu. Lozinke su posebno nezaštićene ako se zapisuju na papiriće koji se nose u novčaniku i ostavljaju na radnom stolu ili u telefonu među kontaktima, porukama, e‑mail‑ovima i slično. Ljudi ovo rade zato što su, po nečijem dobrom savetu, izabrali jaku lozinku, koja je onda nužno komplikovana i teško ju je zapamtiti. Jedina odbrana od krađe nezaštićenih lozinki jeste opreznost, a nikako kompleksnost, jer je u ovom slučaju odgovornost potpuno na vama.
Postoje i slučajevi krađa zaštićenih lozinki s računara ili servera, gde se čuvaju još od otvaranja naloga, odnosno registracije korisnika, kako bi se pri logovanju potvrdio njegov identitet. Lozinke su kod svih ozbiljnijih sistema (Google, Apple, eBanking sistemi i dr.) zaštićene šifrovanjem, pa se krađom ne mogu pročitati u izvornom obliku. Za šifrovanje se koristi jednosmerna funkcija, takozvana hash funkcija, tako da se od šifrovane lozinke nikada ne može dobiti original. Kada se logujete na neki sistem, on na osnovu unetih podataka pravi hash i proverava da li je on isti kao onaj u bazi. Ako jeste, pristup se odobrava, a ako nije, dobijate obaveštenje da uneti podaci nisu tačni. Sistem nikako ne može da zna da li je pogrešan jedan karakter ili ste otkucali neku sasvim različitu lozinku – otvoren, originalni oblik vaše lozinke znate samo vi… pod uslovom ga ga niste nekome dali ili zapisali.
Napad rečnikom
Hakeri koji pokušavaju da se lažno prijave i čitaju vaše podatke moraju ili da nagađaju lozinku ili da ukradu šifrovane lozinke sa servera kompanije. U trenutku krađe šifrovanih lozinki napadači ne mogu da pročitaju nijednu od njih. Ipak, ovakvi napadi su česti i uspešni. O čemu se zapravo radi?
Kada se ukradu šifrovane lozinke, napadači mogu beskonačno puta pokušavati da ih pogode, jer tada nemaju nikakvo sistemsko ograničenje. Za to su im potrebni posebno formirani fajlovi s kombinacijama karaktera u vidu najčešće korišćenih lozinki. Svaku od njih šifruju, a zatim pretražuju kroz bazu ukradenih šifrovanih lozinki. Tamo gde se javi preklapanje sa sigurnošću mogu da tvrde da su pogodili lozinku. Korišćeni fajlovi nazivaju se rečnici, a tehnika se zove napad rečnikom (dictionary attack). U rečnicima se mogu nalaziti i poznate, čitljive reči, ali i moguće lozinke, koje se sastoje od karaktera iz tri, pa čak i sva četiri moguća skupa (cifre, simboli, mala i velika slova). Napad rečnikom je veoma brza i uspešna metoda za otkrivanje predvidljivih lozinki.
Različite vrste rečnika mogu se naći na mnogim sajtovima koji svakako nisu na tamnoj strani Interneta. Rečnici sadrže ograničen broj odabranih, mogućih lozinki koje treba isprobati, najčešće oko 100.000, a najviše nekoliko miliona. Prosečna dužina lozinki spremnih za testiranje ima između 10 i 15 karaktera. Ponekad se može desiti da rečnici sadrže i duže lozinke, ali je njihov broj ograničen.
Kombinovanje reči
Na „tržištu“ postoji veliki broj različitih rečnika: najčešće korišćene lozinke ili fraze, sve reči iz klasičnog rečnika, kombinacija reči i najviše dve cifre i/ili dva simbola, slova zamenjena ciframa i/ili simbolima, kombinacija karaktera iz sva četiri skupa, lanac karaktera s tastature i slično. U tabeli su prikazani primeri lozinki iz ovih rečnika koje sam našao na lako dostupnim sajtovima, a svi oni mogu se naći i na drugim stranim jezicima.
U specijalnim slučajevima napadači ciljaju jednog konkretnog korisnika, pa se onda pravi poseban rečnik. On sadrži moguće lozinke formirane od kombinacije informacija relevantnih za napadnutu osobu. Da biste se od ovoga zaštitili, potrebno je da izabrana lozinka ne sadrži podatke koji su vezani samo za vas, dakle pre svega imena i datume rođenja vas ili članova vaše familije, ime vašeg ljubimca itd.
Nisam nailazio na rečnike koji bi sadržali lozinke formirane kao kombinaciju pet ili više reči (sutraidemnavelikojezero) ili kombinaciju četiri ili više reči sa ciframa i/ili simbolima (sutra2je3lepo5vreme). Kada bi neko hteo da napravi ovakve rečnike, dobio bi bilione mogućih lozinki koje treba isprobati. Danas se napadači ne trude da formiraju komplikovane rečnike, jer pomoću postojećih veoma brzo razotkrivaju i do 20 odsto ukradenih lozinki, a to im je često dovoljno da ostvare svoje zle namere. U tabeli se mogu videti neki predlozi lozinki otpornih na napad rečnikom, a Kaspersky je procenio da je vreme neophodno za njihovo razotkrivanje veoma veliko. Jedina razlika između navedenih primera jeste u tome što su poslednje dve lakše za pamćenje.
| Lozinke otporne na napad rečnikom |
Dužina | Kaspersky procena | Kako ih pamtite? |
| Nasumično izabrani karakteri iz 4* skupa | ≥10 | >10k vekova** | Teško |
| ?D%f9gL:q6 | >30 godina*** | ||
| Nasumično izabrani karakteri iz 3 skupa |
≥12 | >10k vekova** | Teško |
| i4j6b/$n[e#o | >31 godina*** | ||
| Karakteri iz dva skupa | ≥18 | >10k vekova** | Lako |
| danas/je+radni-dan! | >30 godina*** | ||
| Karakteri iz istog skupa (bez cifara) |
≥22 | >10k vekova** | Lako |
| pticeselicesusevratile | >50 godina*** |
* cifre, simboli, mala i velika slova
** Mac Book Pro (2012), Intel Core i7 – trenutno prosečan kućni računar
*** Tianhe-2 Supercomputer – najbrži kompjuter na svetu
| Rečnici koji se koriste u napadima | Primeri lozinki iz rečnika | ||
| Najčešće korišćene lozinke | abcd1234 | football | sifrasifra |
| Najčešće korišćene fraze | iloveyou | letmein | mojasifra |
| Kombinacija reči i najviše 2 cifre | Computer43 | 56footbaLL | moja81sifra |
| Kombinacija reči i najviše 2 simbola | /*computer | ?!football | Moja=)sifra |
| Kombinacija reči, simbola i cifara | 32ComputeR, | Football54*/ | mojA54sifrA+ |
| Slova zamenjena sa ciframa i simbolima | P@$$w0rd | 10z!nk@ | m0j@$1fr@ |
| Lanac karaktera sa tastature | qwertyui | asdfvbnm,. | 1234rfvb |
Ako se koriste cifre, simboli, mala i velika slova, formiraće se kompleksna lozinka teška za pamćenje, ali je njena bezbednost i dalje pod znakom pitanja.
