Az úgynevezett jelszóspray-támadások alacsony erőfeszítés mellett képesek eredményes feltöréseket végrehajtani, sokszor még a legbiztonságosabb vállalatok is áldozatul esnek. A fiókvédelmi katasztrófák elkerülése azonban nem reménytelen küzdelem, a vállalat szerint a többlépcsős azonosítás drasztikusan csökkenti az adathalászok esélyeit.
Jelszó spray
A Microsoft egyik kiberbiztonsági csapata – Detection and Response Team (DART) –, valamint különböző fenyegetés-elemző csoportjai a „jelszóspray” támadások növekedéséről számolnak be – olvasható a vállalat blogbejegyzésében.
Az úgynevezett password spraying egy olyan feltörési módszer, amelynél a támadó addig próbálkozik több fióknál is hasonló azonosítóval belépni – egy nagymintás felhasználónév-adatbázist igyekszik párosítani a gyakran használt jelszavakkal –, amíg sikerül kitalálni a helyes kombinációt. Ezek nagyban különböznek a népszerű brute-force támadásoktól, melyek során a hackerek egyéni jelszólistát használnak, amivel kevesebb célpont ellen képesek rendkívül eredményes feltöréseket végrehajtani.
A szerencsétlen esetek hátterében gyakran olyan alkalmazások állnak, amelyek nem biztonságosak, mivel korszerűtlen hitelesítési protokollokat használnak. Alex Weinert, a Microsoft Identity Security igazgatója a múlt évben közölte, hogy a vállalati fiókok elvesztésének harmadáért a jelszóspray-támadások felelősek.
Egyre több a feltörés, ezért fontos a többszintes védelem
A jelszótolvajok népszerű prédái újabban a rendszergazdai jogosultságokkal rendelkező fiókok, valamint a Microsoft elemezői szerint emelkedett a felhőadatbázisokat kezelő személyek elleni támadások száma is. A vállalat kiberbiztonsági csapata a legkelendőbb célpontok között említi a hitelesítési adminisztrátorokat, a vállalati rendszergazdákat, valamint a számlázási és pénzváltó szolgáltatások rendszereinek üzemeltetőit. Emellett érintettek lehetnek a felső vezetők fiókjai, és az érzékeny adatokhoz hozzáférő felhasználói profilok. Amennyiben a Microsoft felhőszolgáltatásait használja, a Cloud App Security portál segítségével ellenőrizheti a gyanús tevékenységeket.
Emellett a vállalat kéri, hogy a megfelelő fiókbiztonság érdekében, aki csak teheti, engedélyezze a többfaktoros azonosítást (MFA), hiszen a jelszómentes jövőben túl kockázatos lesz felejthető kódokra támaszkodni. A másodlagos védelem megléte drasztikusan csökkenti annak veszélyét, hogy az adathalászok illetéktelenül hozzáférjenek a felhasználói fiókokhoz. Bár a kétlépcsős azonosítás a leghatékonyabb módszer, amennyiben a felhasználó nem fejezi be a regisztrációs folyamatot, továbbra is védtelen marad.
Persze még egy darabig elkerülhetetlen, hogy a vállalati és magánhálózatokon jelszavakat kelljen használni. Ekkor azonban tanácsos, hogy az alkalmazottak elkerüljék a szervezethez kapcsolódó kulcskifejezések használatát. A korábban erősnek bizonyult jelszavak – legalább nyolc karakter, kis- és nagybetűkkel, szimbólumokkal ellátva – a hackerek nagyteljesítményű számítógépei mellett már elavultak, ugyanis a támadók akár órák alatt feltörhetik a régi irányelveknek megfelelő kódokat. A Microsoft szerint a legalább 20 karakteres, könnyen megjegyezhető mondatok biztonságosabb jelszót alkotnak, mint egy rövid de összetett azonosító.
A Google bejelentette, hogy automatikusan „bevonja” a Google-fiókkal rendelkező felhasználókat a kétfaktoros hitelesítésbe. Erre „a fiókok védelme érdekében” kerül sor, és a bejelentés akkor érkezett, amikor a Google tulajdonképpen a jelszavak világnapját ünnepli.