Несмотря на то, что утечек информации с каждым годом становится все больше, пользователи по-прежнему используют простые пароли. Исследовав 170 млн учетных данных, утекших в сеть, эксперты в области информационной безопасности обнаружили 7 млн одинаковых паролей «123456». Следующими по популярности были «123456789», «password», «qwerty», «12345678». Подобные восьмизначные пароли позволяют хакерам очень быстро взламывать мощные видеокарты.
Автор: Антон Кузьмин, руководитель Центра предотвращения киберугроз CyberART ГК Innostage
Одним из способов, который наиболее часто используют злоумышленники для взлома паролей, являются брутфорс, то есть перебор вариантов. Эти операции не требуют больших усилий, а необходимые автоматизированные утилиты можно легко найти в открытом доступе, поэтому количество атак этого типа только увеличивается. В брутфорс-атаках злоумышленники все активнее пользуются растущей производительностью видеокарт: с их помощью можно осуществить атаку проще и быстрее.
Первые сообщения об атаках с помощью графических процессоров появились еще в 2007 г., когда компания Elcomsoft, российский разработчик программного обеспечения, которое позволяет восстанавливать пароли, успешно взломала пароль программы Windows NT LAN Manager при помощи карт Nvidia. До этого специалисты компании использовали для взломов паролей карты других производителей. Но сегодня взломать за небольшое время можно уже даже восьмизначный пароль.
Яркий пример — использование недавно вышедшего флагмана NVIDIA GeForce RTX 4090. При помощи восьми таких видеокарт можно подобрать восьмизначный пароль всего за 48 минут, а не за 80 дней, как еще совсем недавно. Пятизначный пароль можно подобрать еще быстрее — за 24 секунды. Причем скорость подбора пароля, достигаемая при работе с GeForce RTX 4090, в два раза выше, чем при использовании его предшественника — видеокарты GeForce RTX 3090.
Если изначально у пользователя установлен сложный многозначный пароль, это увеличит время взлома при помощи видеокарты — на то, чтобы добиться цели, у злоумышленника может уйти несколько месяцев, а то и больше. Как результат, его действия могут успеть выявить и остановить.
Составить надежный пароль помогут четыре простых правила.
Важно периодически менять пароль. Рядовому пользователю его целесообразно менять раз в три месяца. В случае с информационными системами бизнеса, особенно относящимися к объектам критической инфраструктуры, требуется более частая смена пароля — его необходимо обновлять раз в месяц.
Стимулировать сотрудников ответственнее относится к составлению паролей можно, ограничив возможность регистрировать типовой пароль. Также имеет смысл ввести автоматическую проверку надежности пароля в форме регистрации учетной записи.
Еще большую безопасность обеспечит многофакторная аутентификация или использование для авторизации аппаратного обеспечения: смарт-карты, USB-накопителя или ключа-токена. В особенности для защиты критической инфраструктуры.
При многофакторной аутентификации злоумышленникам очень сложно получить доступ к данным пользователя, так как для этого им нужно знать, например, его электронную почту или номер телефона. Поэтому в большинстве случаев проникнуть в учетную запись пользователя у них не получается. В качестве первого фактора аутентификации можно использовать пароль, второго и третьего — пин-код и биометрию.
Авторизация при помощи аппаратного обеспечения пользуется меньшей популярностью, чем многофакторная аутентификация, так как является более дорогой. Также сказывается зависимость аппаратных средств от конкретных типов компьютеров. Однако такой способ защиты не менее эффективен. Риск потери аппаратных средств существует, но практически никакой опасности для владельца он не несет: нашедшему эти средства будет необходимо ввести специальный пароль прежде, чем воспользоваться ими.