Пароли по-прежнему остаются камнем преткновения в вопросе соотношения удобства использования и безопасности. Средства контроля, призванные усилить аутентификацию, часто усложняют процесс, из-за чего пользователи полагаются на привычные шаблоны, а не на действительно непредсказуемые учетные данные. На практике это часто приводит к тому, что пароли состоят из слов на родном языке организации.
Злоумышленники давно заметили эту особенность поведения и продолжают ее использовать. Вместо того чтобы полагаться на искусственный интеллект или сложные алгоритмы подбора, многие атаки с использованием учетных данных начинаются с чего-то гораздо более простого: сбора контекстной информации и ее использования для подбора паролей.
Такие инструменты, как генераторы пользовательских списков слов (Custom Word List, CeWL), делают этот процесс эффективным и воспроизводимым без дополнительных технических сложностей, значительно повышая вероятность успеха и снижая уровень шума и риск обнаружения.
Такое поведение злоумышленников объясняет, почему NIST SP 800-63B настоятельно не рекомендует использовать в паролях контекстно-зависимые слова, в том числе названия сервисов, имена пользователей и производные от них. Однако для соблюдения этого правила необходимо понимать, как злоумышленники составляют и используют эти списки слов в реальных атаках.
Это различие важно, поскольку многие стратегии защиты по-прежнему предполагают, что подбор паролей основан на обширных общих наборах данных.
Откуда на самом деле берутся целевые списки слов
CeWL — это веб-краулер с открытым исходным кодом, который извлекает слова с веб-сайтов и формирует из них структурированные списки. Он по умолчанию входит в состав широко используемых дистрибутивов для тестирования на проникновение, таких как Kali Linux и Parrot OS, что снижает порог входа как для злоумышленников, так и для специалистов по информационной безопасности.
Злоумышленники используют CeWL для сканирования общедоступных цифровых ресурсов организации и сбора терминологии, отражающей то, как организация взаимодействует с внешним миром.
Как правило, это описания услуг компании, внутренние формулировки, встречающиеся в документации, и отраслевые термины, которые не встречаются в общих словарях паролей.
Эффективность этого подхода заключается не в новизне, а в актуальности. Полученные списки слов в точности повторяют лексику, с которой пользователи сталкиваются в повседневной работе, и поэтому с большей вероятностью повлияют на выбор пароля.
От общедоступного контента до подбора паролей
CeWL можно настроить на контроль глубины сканирования и минимальной длины слова, что позволит злоумышленникам исключать малозначимые результаты. При таком подходе на выходе получаются реалистичные варианты паролей, полученные с помощью предсказуемых преобразований.
Например, в медицинской организации, такой как больница, общедоступный контент может содержать такие данные, как название организации, сведения о ее местонахождении, а также об услугах и методах лечения, которые она предлагает.
Эти слова редко используются в качестве паролей сами по себе, но они служат базовым набором, который злоумышленники систематически модифицируют с помощью распространенных шаблонов, таких как числовые суффиксы, заглавные буквы или дополнительные символы, чтобы подобрать правдоподобный пароль.
После того как злоумышленники получают хешированные пароли, часто в результате взлома сторонних ресурсов или заражения программами-вымогателями, такие инструменты, как Hashcat, применяют эти правила мутации в больших масштабах. Можно сгенерировать миллионы вариантов и эффективно протестировать их на скомпрометированных данных.
Те же списки слов можно использовать для атак на сервисы аутентификации в реальном времени, где злоумышленники могут полагаться на ограничение скорости, тайминг или метод медленного подбора, чтобы снизить вероятность обнаружения или блокировки учетной записи.
Почему правила сложности паролей по-прежнему не соблюдаются
Основная проблема заключается в том, что многие пароли, сгенерированные таким образом, соответствуют стандартным требованиям к сложности.
Анализ более шести миллиардов скомпрометированных паролей, проведенный специалистами по информационной безопасности, показывает, что организации по-прежнему сталкиваются с этой проблемой, даже если у них есть программы повышения осведомленности и обучения. Когда пароли состоят из привычных для организации слов, увеличение их длины или разнообразия символов мало помогает снизить неопределенность, связанную с использованием контекстных базовых терминов.
Пароль типа HospitalName123! наглядно демонстрирует эту проблему. Несмотря на то, что он соответствует требованиям к сложности пароля в Active Directory, он все равно является ненадежным в сфере здравоохранения.
Списки слов, составленные на основе CeWL, легко выявляют названия организаций и аббревиатуры, встречающиеся в общедоступном контенте, что позволяет злоумышленникам подбирать правдоподобные варианты паролей путем минимальных и систематических изменений.
Защита от целенаправленных атак с использованием списков слов
Для снижения уязвимости к атакам с использованием списков слов необходимы меры контроля, направленные на формирование паролей, а не только на их сложность.
Блокировка паролей, основанных на контексте, и паролей, которые уже были скомпрометированы
Не позволяйте пользователям создавать пароли на основе специфической для организации лексики, такой как названия компаний и продуктов, внутренние проектные термины, отраслевая терминология и распространенные варианты подмены слов злоумышленниками, а также блокируйте учетные данные, которые уже фигурировали в утечках данных.
Политика паролей Specops позволяет использовать пользовательские словари исключений и постоянно сканирует Active Directory на наличие более 5,4 миллиарда скомпрометированных паролей, предотвращая атаки с использованием списков слов в стиле CeWL и снижая вероятность повторного использования раскрытых учетных данных.
Обеспечьте минимальную длину и сложность пароля
Требуйте, чтобы парольные фразы состояли как минимум из 15 символов, так как длина и непредсказуемость обеспечивают наилучшую защиту от подбора методом полного перебора. Парольные фразы — лучший способ заставить пользователей создавать надежные и длинные пароли.
Включите многофакторную аутентификацию (МФА)
Если вы еще этого не сделали, начните с этого. Рассмотрите простое и эффективное решение для многофакторной аутентификации, которые может защитить вход в Windows, VPN и RDP-соединения.
Хотя многофакторная аутентификация не предотвращает взлом паролей, она значительно снижает риск раскрытия учетных данных, не позволяя использовать пароли в качестве самостоятельного фактора аутентификации.
Приведите политику использования паролей в соответствие с реальными атаками
Относитесь к паролям как к активному средству обеспечения безопасности, а не как к статичному требованию. Применение политик, запрещающих использование паролей, полученных из контекста, ранее раскрытых или легко угадываемых, снижает ценность целевых списков слов для злоумышленников, а многофакторная аутентификация обеспечивает необходимую вторую линию защиты в случае компрометации учетных данных.
В совокупности эти меры обеспечивают более надежную стратегию аутентификации, учитывающую реальные сценарии атак с использованием паролей.