Adgangskodebeskyttelse er en effektiv adgangskontrolteknik, vi alle bruger på daglig basis. Det vil sandsynligvis forblive en vigtig søjle for cybersikkerhed i de kommende år.
Cyberkriminelle anvender på den anden side forskellige metoder til at knække adgangskoder og få uautoriseret adgang. Dette inkluderer regnbuebordsangreb. Men hvad er regnbuebordsangreb, og hvor farlige er de? Endnu vigtigere, hvad kan du gøre for at beskytte dig selv mod dem?
Hvordan opbevares adgangskoder?
Ingen platform eller applikation, der tager sikkerhed seriøst, gemmer adgangskoder i almindelig tekst. Det betyder, at hvis dit kodeord er "password123" (og det burde det absolut ikke være, af indlysende årsager), vil det ikke blive gemt som sådan, men snarere som en kombination af bogstaver og tal.
Denne proces med at konvertere almindelig tekst til en tilsyneladende tilfældig kombination af tegn kaldes password hashing. Og
adgangskoder hash ved hjælp af algoritmer, automatiserede programmer, der bruger matematiske formler til at randomisere og skjule almindelig tekst. Nogle af de mest kendte hashing-algoritmer er: MD5, SHA, Whirlpool, BCrypt og PBKDF2.Så hvis du tager adgangskoden "password123" og kører den igennem MD5 algoritme, dette er hvad du får: 482c811da5d5b4bc6d497ffa98491e38. Denne streng af tegn er den hasherede version af "password123", og det format, som din adgangskode vil blive gemt i online.
Så lad os sige, at du logger ind på din e-mail-konto. Du indtaster dit brugernavn eller din e-mailadresse og derefter adgangskoden. E-mail-udbyderen konverterer automatisk den almindelige tekst, du indtastede, til dens hash-værdi og sammenligner den med den hash-værdi, som den oprindeligt havde gemt, da du første gang oprettede din adgangskode. Hvis værdierne matcher, bliver du autentificeret og får adgang til din konto.
Hvordan ville et typisk regnbuebordsangreb så udvikle sig? Trusselsaktøren skulle først få adgangskode-hash. For at gøre dette ville de udføre en eller anden form for cyberangreb eller finde en måde at omgå en organisations sikkerhedsstruktur. Eller de ville købe en dump af stjålne hash på det mørke web.
Sådan fungerer Rainbow Table-angreb
Det næste trin ville være at konvertere hasherne til almindelig tekst. Det er klart, at i et regnbuebordsangreb ville angriberen gøre dette ved at bruge et regnbuebord.
Regnbueborde blev opfundet af it-ekspert Philippe Oechslin, hvis arbejde var baseret på kryptolog og matematiker Martin Hellmans forskning. Opkaldt efter farverne, der repræsenterer forskellige funktioner i en tabel, reducerer regnbuetabeller tiden nødvendig for at konvertere en hash til almindelig tekst, hvilket gør det muligt for cyberkriminelle at udføre angrebet mere effektivt.
I en alm brute force angreb, for eksempel ville trusselsaktøren skulle afkode hver hashed adgangskode separat, beregne tusindvis af ordkombinationer og derefter sammenligne dem. Denne trial-and-error-metode virker stadig og vil formentlig altid, men kræver meget tid og enorm computerkraft. Men i et regnbuebordsangreb skal en angriber blot køre en opnået adgangskodehash gennem en database med hashes og derefter gentagne gange opdele og reducere den, indtil almindelig tekst afsløres.
Dette er i en nøddeskal, hvordan regnbuebordsangreb fungerer. Efter at have knækket en adgangskode, har en trusselaktør utallige muligheder for, hvordan man fortsætter. De kan målrette deres offer på en række forskellige måder og få uautoriseret adgang til alle former for følsomme data, inklusive information relateret til online bagning og sådan.
Sådan beskytter du mod regnbuebordsangreb
Regnbuebordsangreb er ikke så almindelige, som de engang var, men de udgør stadig en betydelig trussel mod organisationer af alle størrelser og også for enkeltpersoner. Heldigvis er der måder at beskytte sig mod dem. Her er fem ting, du kan gøre for at forhindre et regnbuebordsangreb.
1. Konfigurer komplekse adgangskoder
Brug af lange, komplekse adgangskoder er et absolut must. En god adgangskode skal være unik og indeholde små og store bogstaver, tal og specialtegn. De fleste platforme og apps kræver i disse dage, at brugerne gør det alligevel, så sørg for at du oprette en ubrydelig adgangskode som du ikke glemmer.
2. Brug Multi-Factor Authentication
Multi-factor authentication (MFA) er en enkel, men kraftfuld sikkerhedsmekanisme, der gør de fleste adgangskodeangreb meningsløse. Med MFA opsat, kan du ikke få adgang til en konto ved blot at bruge dit brugernavn og din adgangskode. I stedet skal du fremlægge yderligere bevis for din identitet. Dette kan variere fra bekræftelse af dit telefonnummer og indtastning af en midlertidig pinkode, til bekræftelse af dit fingeraftryk og besvarelse af et personligt sikkerhedsspørgsmål.
3. Diversificer dine adgangskoder
Hvis du bruger den samme adgangskode overalt, er kun ét brud nok til at kompromittere alle dine konti, uanset hvor god adgangskoden måtte være. Derfor er det vigtigt at bruge en anden adgangskode for hver konto. Hvis det er en mulighed at gå uden adgangskode, overvej det også: Hvis du ikke bruger en adgangskode, kan du ikke blive offer for et regnbuebordsangreb eller noget andet password-baseret angreb for den sags skyld.
4. Undgå svage hashing-algoritmer
Nogle hashing-algoritmer, som MD5, er svage, hvilket gør dem til et let mål. Organisationer bør holde sig til state-of-the-art algoritmer såsom SHA-256, som er så sikker, at den bruges af offentlige myndigheder i USA, Australien og andre steder. Som en almindelig person bør du prøve at undgå platforme og apps, der bruger forældet teknologi.
5. Brug Password Salting
Password hashing er en stor og nødvendig sikkerhedsforanstaltning, men hvad nu hvis du og en anden person bruger den samme adgangskode? Deres hashed-versioner ville også være identiske. Det er her en proces kaldet saltning kommer ind. Adgangskodesaltning går i bund og grund ned til at tilføje tilfældige tegn til hver hashed adgangskode, så den bliver helt unik. Dette tip gælder også for både organisationer og enkeltpersoner.
Forstå adgangskodesikkerhed for at forblive sikker
Adgangskodesikkerhed som sådan er nøglen, når det kommer til at forhindre uautoriseret adgang og forskellige typer cyberangreb. Men det involverer mere end blot at finde på en unik, let at huske sætning.
For at øge din overordnede cybersikkerhed skal du forstå, hvordan adgangskodebeskyttelse virkelig fungerer, og derefter tage skridt til at sikre dine konti. Dette kan være en smule overvældende for nogle, men at bruge pålidelige autentificeringsmetoder og en adgangskodemanager kan gøre en kæmpe forskel.
