Zmieniajcież hasła! Bo 1,2,3,4,5 to nie jest dobry pomysł
Zespół badawczy firmy Specops przeanalizował 15 milionów haseł wykorzystywanych podczas rzeczywistych ataków na porty RDP. Eksperci znaleźli dziesięć haseł najczęściej używanych podczas ataku i sprawdzili, czy spełniają one wymagania dotyczących złożoności oraz długości haseł. No cóż… Nie spełniają.
Jednym z najczęstszych zastosowań protokołu Remote Desktop Protocol (RDP) na porcie TCP 3389 jest zapewnienie dostępu zdalnym i hybrydowym pracownikom. Port RDP umożliwia również zdalne wykonywanie konserwacji serwrów, konfiguracji oraz rozwiązywanie problemów, niezależnie od ich lokalizacji. Zapewnia zatem łatwy sposób na połączenie z firmowym środowiskiem, co niestety czyni go także atrakcyjnym celem dla hakerów.
Zespół badawczy Specops przeanalizował podzbiór skrótów NTLMv2 (NT LAN Manager version 2 to ulepszona wersja protokołu uwierzytelniania NTLM stosowanego w systemach Windows do zabezpieczania procesu logowania i wymiany danych między użytkownikiem a serwerem) zebranych w systemie honeypotów przygotowanym przez Specops. Badanie dowodzi, że to właśnie słabe hasła stanowią główną lukę w zabezpieczeniach.
Analiza wykazała, że dziesięć najczęściej używanych haseł w atakach na RDP to:
- 123456
- 1234
- Password1
- 12345
- P@ssw0rd
- password
- Password123
- Welcome1
- 12345678
- Aa123456
Te wyniki pokazują, że atakujący często polegają na podstawowych sekwencjach numerycznych i przewidywalnych wariantach słowa „password”.
Popularne hasła są bardzo niebezpieczne
Analiza dziesięciu najczęstszych haseł używanych do atakowania RDP pokazuje kilka interesujących trendów:
- „123456” zajęło pierwsze miejsce. To oznacza, że wielu użytkowników wciąż używa bardzo prostych i podatnych na ataki haseł, będących po prostu kolejnymi klawiszami na klawiaturze.
- W zestawieniu znajduje się kilka wariantów słowa „password”. Hakerzy doskonale wiedzą, że użytkownicy często spełniają wymagania dotyczące złożoności w najprostszy możliwy sposób. Przykładowo, P@ssw0rd spełnia standardowe wymogi (osiem znaków, jedna wielka litera, jedna cyfra i jeden znak specjalny), ale nadal jest słabym hasłem ze względu na swoją przewidywalność.
- Ciekawym przypadkiem jest również „Welcome1”. Ostatnie badania Specops sugerują, że wielu użytkowników otrzymuje słabe tymczasowe hasła przy dołączaniu do organizacji i nie są zmuszani do ich zmiany.
Złożoność haseł
Tylko 7,56% haseł używanych w tych atakach zawierało przynajmniej jeden znak z każdej z powyższych kategorii. Prawie połowa (45%) haseł składała się wyłącznie z samych cyfr lub małych liter. Fakt, że atakujący nadal wykorzystują tak proste hasła w atakach typu password spraying, pokazuje, jak wielu użytkowników nadal wybiera słabe kombinacje.
Użytkownik, który wybrałby choćby krótkie, ale złożone hasło, byłby odporny na ponad 92% haseł używanych w tych atakach na RDP. Jednak, aby hasło było naprawdę silne, należy uwzględnić również jego długość.
Czym jest password spraying
Wspomniany wcześniej password spraying to technika ataku polegająca na próbowaniu tej samej popularnej lub przewidywalnej frazy jako hasła dla wielu różnych kont zamiast wielokrotnych prób odgadnięcia hasła dla jednego konta.
Jak działa password spraying? Haker wybiera jedno lub kilka popularnych haseł, np. „123456”, „password”, „Welcome1” lub „P@ssw0rd”. Następnie próbuje zalogować się na wiele różnych kont użytkowników, ale tylko raz lub kilka razy na jedno konto, aby uniknąć blokady, będącej skutkiem dużej liczby nieudanych prób. Jeśli hasło jest poprawne dla któregoś z kont, atakujący uzyskuje dostęp. A dlaczego działa? Z prostego powodu – wiele osób używa prostych i przewidywalnych haseł. A Systemy zabezpieczeń często blokują konto po wielu nieudanych próbach, lecz nie reagują na pojedyncze błędne logowanie na wielu kontach.
Jak się bronić?
Teoretycznie reguły są proste i wszyscy je znają lub znać powinni. Rzecz w tym, że wiele osób z różnych przyczyn reguły te lekceważy. Nie pomaga też stosowana w wielu firmach zasada, że hasło powinno być bardzo skomplikowane, co powoduje, że użytkownicy, nie mogąc takiego hasła zapamiętać, obchodzą tę zasadę szerokim łukiem. Nie zmienia to jednak faktu, że hasła winny być silne i unikalne. O tym, jak je tworzyć pisaliśmy w artykule Najlepsza polityka: zero zaufania.
Dobrą praktyką jest także:
- Stosowanie uwierzytelniania wieloskładnikowego (MFA).
- Monitorowanie nietypowych prób logowania (np. wiele prób z jednego adresu IP).
- Blokowanie znanych skompromitowanych haseł
