Витік даних – неминучість цифрової епохи. Практично неможливо мати акаунти в Інтернеті, не втративши деякі з ваших паролів через ці атаки (саме тому використання 2FA є настільки важливим). Але одна справа знати, що деякі з ваших паролів десь там; зовсім інша – знати, що існують мільярди наших паролів, які зручно підібрані для викрадення.
Саме про це свідчить нове дослідження: Як повідомляє TechRadar, дослідники стверджують, що знайшли текстовий файл під назвою rockyou2024.txt, який містить майже 10 мільярдів унікальних паролів, і всі вони зберігаються у вигляді простого тексту. Це означає, що будь-хто, хто має доступ до цього файлу, може переглянути його, як PDF-файл, і знайти кожен пароль для себе.
Цей проект не виник за одну ніч: Ці паролі збиралися протягом тривалого часу, в результаті різних атак і витоків за останні 20 років. Зловмисники додали 1,5 мільярда цих паролів до файлу лише з 2021 по 2024 рік. Той факт, що всі вони унікальні, означає, що в списку немає повторів. Важко запам’ятати таку кількість паролів.
Файл .txt було опубліковано 4 липня користувачем під ніком “ObamaCare”, який з травня 2024 року ділився витоками паролів з різних джерел.
Чим небезпечний цей витік даних?
Хоча погано те, що будь-хто, хто має список, може за допомогою комбінації клавіш Command+F знайти будь-який пароль, насправді небезпека криється не в цьому. Просто пошук конкретних паролів займе занадто багато часу.
Натомість, зловмисники можуть використовувати списки, подібні до цього, для брутфорс атак (англ. brute-force attack) та підбору облікових даних (англ. credential stuffing attacks). Під час брутфорс атаки зловмисники перебирають велику кількість паролів у швидкій послідовності, щоб спробувати зламати обліковий запис.
Існують кілька видів брутфорс атак:
- Звичайна брутфорс атака: перебір всіх можливих комбінацій паролів або ключів.
- Словникова атака: використання словника зі списком найбільш поширених паролів.
- Гібридна атака: поєднання звичайної брутфорс атаки та словникової атаки, де до слів зі словника додаються різні комбінації символів.
- Атака за попередніми обчисленнями (rainbow table attack): використання попередньо обчислених хешів для швидшого пошуку відповідності.
Підбір облікових даних подібний до брутфорс атак, але передбачає використання витоку облікових даних (наприклад, відомих комбінацій ім’я користувача/пароль) з іншими акаунтами, оскільки люди схильні використовувати один і той самий пароль для кількох облікових записів. (Будь ласка, не робіть цього).
“Крім того, у поєднанні з іншими базами даних, що просочилися, на хакерських форумах і маркетплейсах, які, наприклад, містять адреси електронної пошти користувачів та інші облікові дані, RockYou2024 може сприяти каскаду витоків даних, фінансових махінацій та крадіжок особистих даних”, — додала дослідницька група Cybernews.
Звичайно, зловмисники не проводять ці атаки вручну: Вони використовують комп’ютери, які можуть перебрати мільйони таких паролів, намагаючись зламати ці акаунти. Маючи базу даних з 10 мільярдів унікальних паролів, хакери, безсумнівно, матимуть успіх, проводячи брутфорс атаки та підбір облікових даних як проти окремих осіб, так і проти організацій.
Як захиститися від витоку паролів?
Сподіваємось, що організації приділяють достатньо часу для зміцнення свого захисту від подібних атак, але навіть ми, як приватні особи, можемо зробити досить багато, щоб захистити себе.
По-перше, ви можете скористатися програмою перевірки витоку паролів, щоб перевірити, чи доступні ваші облікові дані зловмисникам, незалежно від того, чи є вони в цій базі даних, чи деінде. Якщо ви бачите, що будь-який з ваших паролів був скомпрометований, негайно змініть його.
Крім того, переконайтеся, що ви використовуєте надійний і унікальний пароль для кожного з ваших акаунтів. У разі витоку облікових даних акаунта зловмисникам не вдасться підмінити їх, оскільки інші ваші акаунти не використовуватимуть скомпрометований пароль.
Якщо обліковий запис підтримує ключі доступу, використовуйте їх, оскільки ключі доступу не можуть бути у витоку облікових даних. Якщо ні, використовуйте двофакторну автентифікацію, коли це можливо. Якщо зловмисники дізнаються ваші облікові дані, вони не зможуть зламати ваш акаунт без доступу до вашого довіреного пристрою, будь то смартфон або додаток-автентифікатор.
Щоб керувати всіма цими обліковими даними, використовуйте менеджер паролів. Хороший менеджер паролів не лише допоможе вам керувати паролями, але й матиме зручні функції безпеки, як-от генератори паролів, коди 2FA та сповіщення про витік ваших паролів.
