Skip to content

Лозинке

Аутентификација корисника путем корисничког имена и лозинке данас је и даље најчешће коришћен метод аутентификације. Зашто? Зато што су лозинке бесплатне, зато што људи могу да их запамте и зато што су навикли на њих. Много боље решење било би коришћење случајно-генерисаних криптографских кључева, међутим, људи нису навикли да памте низове бинарних бројева. Коришћење паметних картица захтева додатно новчано улагање у инфраструктуру – потребно је купити читаче картица и саме картице. Коришћење биометријских података опет захтева додатна улагања у скенере отиска прста, специјализовану опрему или квалитетне камере.

Пошто је сада јасно да у блиској будућности коришћење лозинки за аутентификацију корисника неће нестати потребно је да се упознамо са једне стране са добром праксом коришћења лозинки, а са друге стране са нападима на системе за аутентификацију и са “разбијањем” лозинки.

У жаргону “крековање”, “хаковање” или “разбијање” лозинки је у ствари чин пробијања аутентификационог система и откривања лозинки корисника неконвенционалним методама. На мети нападача могу бити лозинке које су сачуване у рачунарском систему или лозинке које су послате кроз рачунарску мрежу. Разбијање лозинки се најчешће користи за постизање нелегалних и неетичких циљева.

У претходној лекцији смо поменули да се лозинке обично у систему не чувају у оригиналном текстуалном формату (clear text) већ се чува њихова хеш вредност. Свако чување или пренос лозинки у текстуалном формату представља велики безбедносни ризик. У случају компромитовања лозинки у текстуалном формату, нападач не мора ни да се потруди да их разбија – може одмах да и прочита.

Приликом покушаја приступа, систем мора да припреми приступне параметре (на пример израчуна хеш вредност унете лозинке) и упореди их са сачуваним. Уколико су приступни параметри исти као сачувани, кориснику се одобрава приступ систему. У оперативном систему Windows 10, хеширане лозинке сачуване су у Security Account Manager (SAM) registry фајлу. Фајл се налази на локацији C:\WINDOWS\system32\config, али је закључан за кориснике система – не може му се приступити, не може се ископирати, померити нити обрисати. Међутим, уколико нападач има физички приступ рачунару или диску на којем је сачуван SAM фајл, онда му може приступити из другог оперативног система и потом обрисати или изменити лозинку.

Поступак измене лозинке помоћу софтвера Active Password Changer

Приликом израчунавања хеш вредности лозинке, на лозинку се додаје со (salt). Со може бити псеудо-случајно генерисани низ који чини да се хеш вредност лозинке сваки пут разликује за исту лозинку. Со може бити и одређена вредност

Нападе можемо поделити прво на онлајн и офлајн нападе. Онлајн напад подразумева да нападач покушава да приступи систему путем мреже – нема физички приступ систему на којем се налазе сачувани приступни подаци. Онлајн разбијање лозинки, односно онлајн напади на системе за аутентификацију изводе се скриптама за аутоматизацију погађања лозинки и обично су дуготрајни и неефикасни. Офлајн напад подразумева да нападач има физички приступ систему и покушава да га компромитује разбијањем лозинке. Неке од метода разбијања лозинки су:

  • Dictionary Attack
  • Brute Force Attack
  • Hybrid Attack
  • Rainbow Tables

Dictionary Attack је напад на систем за аутентификацију у којем нападач креира хеш за сваку реч из речника и упоређује је са хешом лозинке коју разбија. У речнику се налазе речи које представљају најчешће коришћене лозинке. Треба напоменути да је овај напад неефикасан уколико је примењена добра политика лозинки (дужина, коришћење комбинација великих и малих слова, цифара и специјалних карактера).

Brute Force Attack је напад на систем на аутентификацију у којем нападач креира хеш за све могуће комбинације карактера свих дужина у датом скупу карактера и упоређује је са хешом лозинке коју разбија (слично као потпуна претрага кључева у криптографији). Ова метода се користи тек уколико ни једна друга метода не даје резултате.

Hybrid Attack представља комбинацију две претходно описане методе. Користи се када постоји идеја о томе како је неки корисник креирао лозинку (нпр. ИмеПрезимеДАТУМ, и сл.). Такође треба имати у виду да су корисници лењи. Ако политика лозинки налаже да лозинка има бар 8 карактера од чега је један специјални карактер и једна цифра, већина корисника ће испунити тачно минимум захтева, односно ставити тачно осам карактера о чега је само један специјалан карактер и једна цифра.

Rainbow Tables Attack је напад на систем на аутентификацију у којем нападач користи табеле у којима се налазе хеш вредности за готово сваку могућу комбинацију у датом скупу карактера (или дату политику лозинки). Овај метод значајно скраћује време напада (и до 99%), јер нападач не мора сваки пут да рачуна могуће хеш вредности, већ може неограничено пута да користи исту табелу. Пошто овакве табеле заузимају велики простор на диску, па самим тим и значајан део меморије када су у употреби, осмишљене су технике оптимизације. Међутим, уколико су лозинке засољене, онда овај метод постаје бескористан јер би требали да направите нову табелу за сваку со.

Како креирати једноставну, а јаку лозинку по данашњим стандардима?

  • Дужина: 14 карактера
  • Скуп карактера: мала слова, велика слова, цифре, специјални карактери
  • Не користите лична имена из окружења, значајне персоналне информације, интересовања и све остало што може бити повезано са вама – користите фразе које можете лако да запамтите.

На крају треба напоменути да је успешно разбијање лозинки ретко једини разлог за компромитовање система. Нападачи обично користе социјални инжењеринг у комбинацији са експлоатацијом грешака у софтверу, оперативном систему, мрежним протоколима или хардверу. Разбијање лозинки може да представља само један од корака…