Proč hackery nezastaví uzamčení účtů

Zablokování uživatelů ze svých vlastních účtů je až příliš běžný scénář. Po několika překlepech už to nemohou zkoušet znovu, dokud neuplyne čas nebo si resetují hesla e-mailem. Jakkoli je to frustrující, alespoň to zastaví hackery – nebo ano?

Statistiky naznačují opak. Nad jedna třetina všech Američanů jejich účty na sociálních sítích byly hacknuty navzdory standardním limitům pokusů. Proč tyto ochrany nezastaví kyberzločince, pokud mohou uzamknout samotné uživatele, a jak mohou lidé zůstat v bezpečí?

Jak má uzamčení účtů zastavit hackery

Uzamčení účtů má zastavit typ hacku známého jako útok „hrubou silou“. V nejjednodušším případě hrubé vynucení zahrnuje zkoušení řetězce náhodných vstupů, dokud něco nefunguje. Kyberzločinci k tomu častěji využívají automatizované nástroje, které jsou mnohem rychlejší než ruční hádání hesel.

Myšlenka limitů pokusů o přihlášení spočívá v tom, že získání správného hesla bude trvat mnohem více než tři nebo tak odhady. V důsledku toho uzamčení účtu po tolika pokusech teoreticky zastaví útoky hrubou silou dříve, než budou úspěšné. Takto se však věci odehrávají jen zřídka.

Jak hackeři obcházejí uzamčení účtů

Kyberzločinci se mohou dostat do účtu chráněného heslem několika způsoby. Zde je několik strategií, které používají k překonání uzamčení účtů, a to i při útoku hrubou silou.

Offline útoky hrubou silou

Uzamčení účtu by fungovalo, pokud by se hackeři pokusili uhodnout heslo na přihlašovací obrazovce. Problém je, že to často nedělají. Místo toho provádějí offline útoky hrubou silou, kdy kradou data hesel a snaží se je prolomit v jiném prostředí, kde neexistují žádné limity pokusů.

Útočníci nelze uzamknout po několika neúspěšných pokusech, když mají nezpracovaná zašifrovaná data. Je to proto, že se to nesnaží dešifrovat online, kde má server tyto ochrany. Spíše vezmou pouze data účtu a hrubou silou je vynutí na svém vlastním počítači nebo na jiném, nezabezpečeném serveru.

Tyto útoky vyžadují nejprve ukrást hesla z webové stránky a poté použít nástroje hrubé síly k prolomení šifrování. I když je to složitější než pouhé hádání přihlašovacích údajů na místě, dává to zločincům čas. I když to trvá miliony pokusů, dokážou odhalit heslo během několika dní a poté se přihlásit jako normální uživatel na legitimní stránku.

Bohužel to často nepotřebuje miliony pokusů. Navzdory letitým varováním bezpečnostních expertů je „heslo“ stále nejběžnější základní termín používá se v heslech a 18 % hesel obsahuje pouze malá písmena. Offline útoky hrubou silou jsou pro hackery často snazší jednoduše proto, že uživatelé nedodržují doporučené postupy týkající se délky a složitosti hesla.

Plnění pověření

Další možností je použití credential stuffingu. Zde hackeři vezmou přihlašovací údaje, o kterých vědí, že fungovaly pro jeden účet, a použijí je, aby se dostali do jiného. Tyto přihlašovací údaje často získávají z minulých úniků dat, kdy jiní kyberzločinci prodávali ukradená uživatelská jména a hesla na temném webu.

Jen12 % celosvětových uživatelů internetu při otevírání nového účtu vždy používejte nové přihlašovací údaje. Většina lidí používá stejná hesla na více webech – někdy i na všech. V důsledku toho je sázka na jistotu, že ukradený přístupový kód bude fungovat někde jinde, takže hackeři jej mohou použít k přihlášení k účtu na jeden nebo dva pokusy.

Sociální inženýrství

Hackeři mohou také obejít uzamčení účtů pomocí sociálního inženýrství. Jedná se o tak širokou kategorii útoků, takže může zahrnovat několik strategií, jak ukrást nebo obejít přihlašovací údaje.

Nejpřímějším způsobem je přimět uživatele, aby útočníkům sdělil svá hesla tím, že se budou vydávat za důvěryhodný zdroj. Alternativně mohou kyberzločinci poslat e-mail, který tvrdí, že pochází z legitimního webu, s odkazem na přihlášení k jejich účtu. Odkaz však vede na podvodnou přihlašovací stránku identickou s tou skutečnou, kde zločinci vidí, co uživatelé zadávají.

Takové útoky se mohou zdát samozřejmé, ale 298 878 lidí podlehlo pokusům o phishing jen v roce 2023. To je více než jakákoli jiná forma kybernetické kriminality a naznačuje, že sociální inženýrství je stále vysoce účinné.

Keylogging a útoky typu Man-in-the-Middle

Dalším způsobem, jak se útočníci mohou vyhnout uzamčení účtů, je sledování uživatelů, jak zadávají hesla. Existují dva hlavní přístupy – software pro záznam kláves a útoky typu man-in-the-middle (MITM).

Keyloggery jsou formou malwaru, kterou mohou kyberzločinci doručit prostřednictvím phishingu, škodlivých webových stránek nebo jinými prostředky. Po instalaci sledují, co uživatelé zadávají, včetně hesel, která mohou hackeři použít k přihlášení do účtů lidí na jediný pokus.

Útoky MITM jsou podobné, ale zahrnují zachycení vstupů uživatelů – které mohou zahrnovat hesla – předtím, než se dostanou na server. Šifrování může tyto útoky zastavit, ale veřejná Wi-Fi nebo nezabezpečené webové stránky jsou vůči nim náchylné.

Jak mohou uživatelé zůstat v bezpečí?

Dá se s jistotou říci, že uzamčení účtů k zastavení hackerů nestačí. Naštěstí se uživatelé mohou chránit pomocí několika dalších osvědčených postupů. Lepší bezpečnost začíná používáním silnějších hesel. Odborníci doporučujeme používat generátory náhodných hesel , protože tyto vytvářejí složitější řetězce znaků, které je těžší použít hrubou silou.

Nikdy znovu nepoužívat hesla a pravidelně je měnit je také dobrý nápad. Tyto kroky způsobí, že plnění pověření bude méně efektivní.

Uživatelé by také měli povolit vícefaktorové ověřování (MFA), kdekoli je k dispozici. Je to pořád možné hrubou silou za MZV , ale je to mnohem těžší než překonat jednoduchou kombinaci uživatelského jména a hesla.

Zastavení kyberzločinců není zdaleka jednoduché

Útoky hrubou silou nejsou tak jednoduché, jak se na první pohled zdá, a obrana proti nim je málokdy přímočará. Zatímco systém uzamčení účtů teoreticky dává smysl, není dostatečně bezpečný, aby byl jedinou obranou v praxi.

Kyberzločinci mají k dispozici mnoho nástrojů, takže silná ochrana rovněž využívá několik způsobů, jak zůstat v bezpečí. Spárování limitů přihlášení s dlouhými, složitými a jedinečnými hesly, MFA a častými změnami přihlašovacích údajů nabídne nejvyšší bezpečnost.