Lösenordsskydd är en effektiv åtkomstkontrollteknik som vi alla använder dagligen. Det kommer sannolikt att förbli en viktig pelare för cybersäkerhet under många år framöver.
Cyberkriminella, å andra sidan, använder olika metoder för att knäcka lösenord och få obehörig åtkomst. Detta inkluderar attacker från regnbågsbord. Men vad är regnbågsbordsattacker och hur farliga är de? Ännu viktigare, vad kan du göra för att skydda dig mot dem?
Hur lagras lösenord?
Ingen plattform eller applikation som tar säkerhet på allvar lagrar lösenord i vanlig text. Det betyder att om ditt lösenord är "password123" (och det borde det absolut inte vara, av förklarliga skäl), så kommer det inte att lagras som sådant, utan snarare som en kombination av bokstäver och siffror.
Denna process att konvertera vanlig text till en till synes slumpmässig kombination av tecken kallas lösenordshasning. Och
lösenord hashas med hjälp av algoritmer, automatiserade program som använder matematiska formler för att randomisera och skymma klartext. Några av de mest kända hashalgoritmerna är: MD5, SHA, Whirlpool, BCrypt och PBKDF2.Så, om du tar lösenordet "password123" och kör det genom MD5 algoritm, det här är vad du får: 482c811da5d5b4bc6d497ffa98491e38. Denna teckensträng är den hashade versionen av "password123" och formatet som ditt lösenord skulle lagras i online.
Så låt oss säga att du loggar in på ditt e-postkonto. Du skriver in ditt användarnamn eller e-postadress och sedan lösenordet. E-postleverantören konverterar automatiskt den oformaterade texten du skrev till dess hashade värde och jämför den med det hashade värde som den ursprungligen hade lagrat när du först ställde in ditt lösenord. Om värdena matchar är du autentiserad och får tillgång till ditt konto.
Hur skulle en typisk regnbågsbordsattack utvecklas då? Hotaktören måste först skaffa hash för lösenord. För att göra detta skulle de utföra någon typ av cyberattack, eller hitta ett sätt att kringgå en organisations säkerhetsstruktur. Eller de skulle köpa en soptipp av stulna hash på den mörka webben.
Hur Rainbow Table Attacks fungerar
Nästa steg skulle vara att konvertera hasharna till vanlig text. Uppenbarligen, i en regnbågsbordsattack, skulle angriparen göra detta med hjälp av ett regnbågsbord.
Regnbågsbord uppfanns av IT-experten Philippe Oechslin, vars arbete baserades på kryptologen och matematikern Martin Hellmans forskning. Regnbågstabeller är uppkallade efter färgerna som representerar olika funktioner i en tabell och minskar tiden behövs för att konvertera en hash till vanlig text, vilket gör det möjligt för cyberbrottslingen att utföra attacken mer effektivt.
I en vanlig brute force attack, till exempel skulle hotaktören behöva avkoda varje hashat lösenord separat, beräkna tusentals ordkombinationer och sedan jämföra dem. Denna trial-and-error-metod fungerar fortfarande och kommer förmodligen alltid att göra det, men kräver mycket tid och enorm datorkraft. Men i en regnbågstabellattack skulle en angripare bara behöva köra en erhållen lösenordshash genom en databas med hash, sedan upprepade gånger dela upp och minska den, tills vanlig text avslöjas.
Detta, i ett nötskal, är hur regnbågsbordsattacker fungerar. Efter att ha knäckt ett lösenord har en hotaktör otaliga alternativ för hur han ska gå vidare. De kan rikta in sig på sitt offer på ett antal olika sätt, få obehörig åtkomst till alla typer av känsliga uppgifter, inklusive information relaterad till onlinebakning och sådant.
Hur man skyddar sig mot regnbågebordsattacker
Rainbow table attacker är inte lika vanliga som de en gång var, men de utgör fortfarande ett betydande hot mot organisationer av alla storlekar, och även mot individer. Lyckligtvis finns det sätt att skydda sig mot dem. Här är fem saker du kan göra för att förhindra en regnbågsbordsattack.
1. Ställ in komplexa lösenord
Att använda långa, komplexa lösenord är ett absolut måste. Ett bra lösenord bör vara unikt och innehålla små och stora bokstäver, siffror och specialtecken. De flesta plattformar och appar idag kräver att användare gör det ändå, så se till att du skapa ett okrossbart lösenord som du inte kommer att glömma.
2. Använd multifaktorautentisering
Multi-factor authentication (MFA) är en enkel men kraftfull säkerhetsmekanism som gör de flesta lösenordsattacker meningslösa. Med MFA inställt kan du inte komma åt ett konto med bara ditt användarnamn och lösenord. Istället måste du uppvisa ytterligare bevis på din identitet. Detta kan sträcka sig från att bekräfta ditt telefonnummer och ange en tillfällig PIN-kod, till att verifiera ditt fingeravtryck och svara på en personlig säkerhetsfråga.
3. Diversifiera dina lösenord
Om du använder samma lösenord överallt räcker det med bara ett brott för att äventyra alla dina konton, oavsett hur bra det lösenordet kan vara. Det är därför det är viktigt att använda olika lösenord för varje konto. Om det är ett alternativ att gå lösenordslöst, tänk på det också: om du inte använder ett lösenord kan du inte falla offer för en regnbågsbordsattack, eller någon annan lösenordsbaserad attack för den delen.
4. Undvik svaga hashalgoritmer
Vissa hashalgoritmer, som MD5, är svaga, vilket gör dem till ett enkelt mål. Organisationer bör hålla sig till toppmoderna algoritmer som SHA-256, som är så säker att den används av statliga myndigheter i USA, Australien och på andra håll. Som en vanlig människa bör du försöka undvika plattformar och appar som använder föråldrad teknik.
5. Använd lösenordssaltning
Lösenordshashing är en stor och nödvändig säkerhetsåtgärd, men vad händer om du och en annan person använder samma lösenord? Deras hashade versioner skulle också vara identiska. Det är här en process som kallas saltning kommer in. Lösenordssaltning går i huvudsak ut på att lägga till slumpmässiga tecken till varje hashat lösenord, så att det blir helt unikt. Även detta tips gäller både organisationer och individer.
Förstå lösenordssäkerhet för att vara säker
Lösenordssäkerhet som sådan är nyckeln när det gäller att förhindra obehörig åtkomst och olika typer av cyberattacker. Men det handlar om mer än att bara komma på en unik, lätt att komma ihåg fras.
För att öka din övergripande cybersäkerhet måste du förstå hur lösenordsskydd verkligen fungerar och sedan vidta åtgärder för att säkra dina konton. Detta kan vara lite överväldigande för vissa, men att använda pålitliga autentiseringsmetoder och en lösenordshanterare kan göra en enorm skillnad.
