Slovníkový útok - co to je a jak se mu úspěšně bránit
My jako uživatelé věříme společnostem a poskytovatelům služeb, že ochrání naše data. Doufáme, že ve svém softwaru nenechají žádná zadní vrátka, řádně zaškolí své zaměstnance a neukládají uživatelská jména a hesla v nezašifrovaném formátu.
Ale všechno není tak jednoduché, jak by se mohlo zdát. Útoky na kybernetické bezpečnosti mohou mít vliv na kohokoli a někdy může být obtížné chránit sebe nebo své podnikání. Jedním z nejčastějších typů útoků je takzvaný slovníkový útok. Ve článku se podíváme, co to slovníkový útok je a jak mu snadno zabránit.
📝Obsah
Co je to slovníkový útok?
Slovníkový útok je systematická metoda zjišťování hesla zkoušením běžných slov a jejich jednoduchých variant. Útočníci používají rozsáhlé seznamy nejčastěji používaných hesel, populárních jmen domácích mazlíčků, fiktivních postav nebo běžných slov ze slovníku – odtud také název útoku. Slovníkový útok počítá také s tím, že uživatelé některá písmena mění například za velká, ale také nahrazují písmena speciálními znaky. Ze slova „password“ se tak může stát „P@ssw0rd“. Vzhledem k výpočetním schopnostem počítačů nebývá vyzkoušení všech možných variant problém.
Hackeři tento útok používají k získání přístupu k online účtům, ale také k dešifrování. Většina lidí vynaložila alespoň určité úsilí na zabezpečení svých e-mailových schránek nebo účtů na sociálních sítích. Vybírají si však jednoduchá a snadno zapamatovatelná běžná slova, což nahrává slovníkovým útokům, které tato hesla poměrně snadno odhadnou.
Jak funguje slovníkový útok?
Během slovníkového útoku program systematicky zadává slova ze seznamu jako hesla, aby získal přístup k systému, účtu nebo šifrovanému souboru. Slovníkový útok lze provádět online i offline.
Při online útoku se útočník opakovaně pokouší přihlásit nebo získat přístup jako kterýkoli jiný uživatel. Tento typ útoku funguje lépe, pokud má hacker seznam pravděpodobných hesel. Pokud útok trvá příliš dlouho, může si ho všimnout správce systému nebo původní uživatel.
Útočníci bývají velmi chytří a o uživatelích si zjišťují soukromé informace. To vzhledem k rozšířenosti sociálních sítí nebývá problém. Pravděpodobnost uhádnutí hesel se zvyšuje, protože mohou snadněji zkoušet hesla typu data narození, výročí, ale také jména domácích mazlíčků, rodičů nebo partnerů či partnerek. Jakákoliv tato soukromá informace by se neměla vyskytovat v heslech, a rozhodně ne jako celé heslo.
Jaký je rozdíl mezi útokem hrubou silou a slovníkový útokem?
Útoky hrubou silou se také používají k hádání hesel. Většinou se spoléhají na výpočetní výkon počítače útočníka. Během útoku hrubou silou program také automaticky zadává kombinace písmen, symbolů a čísel, ale v tomto případě jsou zcela náhodné
V češtině existuje přibližně 300 tisíc slovních kořenů slov, tedy v praxi desítky milionů variant slov, pokud započítáme předpony, přípony a skloňování. Desítky milionů variant ovšem pro počítače není složité rozlousknout.
Zatímco útok hrubou silou by náhodně zkoušel zadávat změť znaků, tak slovníkový útok je mnohem systematičtější a efektivnější, protože mnoho hesel se ze slov skládá. V principu jde ale také o útok hrubou silou, ovšem v potaz bere informace a tendence uživatelů.
Pokud heslo není složené z běžných slov, tak slovníkový útok nebude fungovat, a musí přijít na řadu útok hrubou silou, ovšem při zvolení dlouhého hesla, doporučujeme alespoň o 12 znacích, tak i tento útok pohoří.
To neznamená, že se k heslům útočník nikdy nedostane, protože může využít phishingu nebo keyloggerů, ale to už typicky vyžaduje nepozornosti uživatele.
Jak zabránit slovníkovému útoku?
Online útoky lze poměrně snadno zastavit. Weby nebo aplikace typicky používají captchas, mohou implementovat povinné dvoufaktorové ověřování a hlavně omezit, kolikrát se může jeden uživatel pokusit přihlásit, než je jeho účet uzamčen. Díky tomu má útočník vlastně jen jednotky pokusů o přihlášení, což útoky hrubou silou velmi úspěšně odrazí.
Ale co můžete jako uživatel udělat, abyste zabránili hackerství vašich účtů? Nejdůležitější – nebuďte předvídatelní. Nejlepší hesla jsou slova, která nemají pro širokou veřejnost žádný význam. Mějte na paměti, že jedno velmi dlouhé slovo není zase tak moc silné heslo. Nezáleží na tom, zda si jako heslo zvolíte „anodontosaurus“ (což je skutečný dinosaurus) nebo „kočka“. Počítači trvá stejnou dobu, než vyzkouší některou z nich.
Vytvořte tedy nová slova, použijte speciální znaky nebo, nejlépe, použijte náhodné řetězce velkých a malých písmen, symbolů a čísel.
K bezpečnému uložení všech svých hesel použijte správce hesel, například NordPass. Přístup k nim budete mít pouze vy, takže si můžete být jisti, že vaše online účty jsou v bezpečí.