Slovníkový útok - čo to je a ako sa mu úspešne brániť
My ako užívatelia veríme spoločnostiam a poskytovateľom služieb, že ochráni naše dáta. Dúfame, že vo svojom softvéri nenechajú žiadne zadné vrátka, riadne zaškolí svojich zamestnancov a neukladajú používateľské mená a heslá v nezašifrovanom formáte.
Ale všetko nie je tak jednoduché, ako by sa mohlo zdať. Útoky na kybernetickej bezpečnosti môžu mať vplyv na kohokoľvek a niekedy môže byť ťažké chrániť seba alebo svoje podnikanie. Jedným z najčastejších typov útokov je takzvaný slovníkový útok. Vo článku sa pozrieme, čo to slovníkový útok je a ako mu ľahko zabrániť.
📝Obsah
Čo je to slovníkový útok?
Slovníkový útok je systematická metóda zisťovania hesla skúšaním bežných slov a ich jednoduchých variantov. Útočníci používajú rozsiahle zoznamy najčastejšie používaných hesiel, populárnych mien domácich maznáčikov, fiktívnych postáv alebo bežných slov zo slovníka – odtiaľ aj názov útoku. Slovníkový útok počíta tiež s tým, že užívatelia niektoré písmená mení napríklad za veľká, ale tiež nahrádzajú písmená špeciálnymi znakmi. Zo slova „password“ sa tak môže stať „P@ssw0rd“. Vzhľadom k výpočtovým schopnostiam počítačov nebýva vyskúšanie všetkých možných variantov problém.
Hackeri tento útok používajú na získanie prístupu k online účtom, ale aj na dešifrovanie. Väčšina ľudí vynaložila aspoň určité úsilie na zabezpečenie svojich e-mailových schránok alebo účtov na sociálnych sieťach. Vyberajú si však jednoduchá a ľahko zapamätateľná bežné slová, čo nahráva slovníkovým útokom, ktoré tieto heslá pomerne ľahko odhadnú.
Ako funguje slovníkový útok?
Počas slovníkového útoku program systematicky zadáva slová zo zoznamu ako heslá, aby získal prístup k systému, účtu alebo šifrovaným súboru. Slovníkový útok možno vykonávať online aj offline.
Pri online útoku sa útočník opakovane pokúša prihlásiť alebo získať prístup ako ktorýkoľvek iný užívateľ. Tento typ útoku funguje lepšie, ak má hacker zoznam pravdepodobných hesiel. Ak útok trvá príliš dlho, môže si ho všimnúť správcu systému alebo pôvodný používateľ.
Útočníci bývajú veľmi chytrí a o užívateľoch si zisťujú súkromné informácie. To vzhľadom k rozšírenosti sociálnych sietí nebýva problém. Pravdepodobnosť uhádnutie hesiel sa zvyšuje, pretože môžu ľahšie skúšať heslá typu dátumu narodenia, výročia, ale aj mená domácich maznáčikov, rodičov alebo partnerov či partneriek. Akákoľvek táto súkromná informácia by sa nemala vyskytovať v heslách, a rozhodne nie ako celé heslo.
Aký je rozdiel medzi útokom hrubou silou a slovníkový útokom?
Útoky hrubou silou sa tiež používajú na hádanie hesiel. Väčšinou sa spoliehajú na výpočtový výkon počítača útočníka. Počas útoku hrubou silou program tiež automaticky zadáva kombinácia písmen, symbolov a čísel, ale v tomto prípade sú úplne náhodné
Vw slovenčine existuje približne 300 tisíc slovných koreňov slov, teda v praxi desiatky miliónov variantov slov, ak započítame predpony, prípony a skloňovanie. Desiatky miliónov variantov však pre počítače nie je zložité rozlúsknuť.
Kým útok hrubou silou by náhodne skúšal zadávať spleť znakov, tak slovníkový útok je oveľa systematickejšie a efektívnejšie, pretože mnoho hesiel sa zo slov skladá. V princípe ide ale aj o útok hrubou silou, avšak do úvahy berie informácie a tendencie užívateľov.
Ak heslo nie je zložené z bežných slov, tak slovníkový útok nebude fungovať, a musí prísť na rad útok hrubou silou, avšak pri zvolení dlhého hesla, odporúčame aspoň o 12 znakoch, tak aj tento útok pohoria.
To neznamená, že sa k heslám útočník nikdy nedostane, pretože môže využiť phishingu alebo keyloggerov, ale to už typicky vyžaduje nepozornosti užívateľa.
Ako zabrániť slovníkovému útoku?
Online útoky možno pomerne ľahko zastaviť. Weby alebo aplikácie typicky používajú captchas, môžu implementovať povinné dvojfaktorové overovanie a hlavne obmedziť, koľkokrát sa môže jeden používateľ pokúsiť prihlásiť, než je jeho účet uzamknutý. Vďaka tomu má útočník vlastne len jednotky pokusov o prihlásenie, čo útoky hrubou silou veľmi úspešne odrazí.
Ale čo môžete ako užívateľ urobiť, aby ste zabránili hackerstva vašich účtov? Najdôležitejšie – nebuďte predvídateľné. Najlepšie heslá sú slová, ktoré nemajú pre širokú verejnosť žiadny význam. Majte na pamäti, že jedno veľmi dlhé slovo nie je zase tak moc silné heslo. Nezáleží na tom, či si ako heslo zvolíte „anodontosaurus“ (čo je skutočný dinosaurus) alebo „mačka“. Počítaču trvá rovnakú dobu, než vyskúša niektorú z nich.
Vytvorte teda nové slová, použite špeciálne znaky alebo, najlepšie, použite náhodné reťazca veľkých a malých písmen, symbolov a čísel.
K bezpečnému uloženiu všetkých svojich hesiel použite správcu hesiel, napríklad NordPass. Prístup k nim budete mať iba vy, takže si môžete byť istí, že vaše online účty sú v bezpečí.