Kata sandi tetap menjadi titik ketegangan antara kegunaan dan keamanan. Kontrol yang dirancang untuk memperkuat autentikasi sering kali menimbulkan kompleksitas, yang mendorong pengguna untuk mengandalkan pola yang sudah dikenal dibandingkan kredensial yang benar-benar tidak dapat diprediksi. Dalam praktiknya, hal ini sering kali menghasilkan kata sandi yang berasal dari bahasa organisasi itu sendiri.
Para penyerang telah lama menyadari hal ini pola perilaku dan terus mengeksploitasinya. Daripada mengandalkan kecerdasan buatan atau algoritme tebakan yang canggih, banyak serangan kredensial dimulai dengan sesuatu yang jauh lebih sederhana: mengambil bahasa kontekstual dan mengubahnya menjadi tebakan kata sandi yang sangat bertarget.
Alat seperti generator Daftar Kata Kustom (CeWL) menjadikan proses ini efisien dan dapat diulang tanpa menimbulkan kerumitan teknis tambahan, sehingga secara signifikan meningkatkan tingkat keberhasilan sekaligus mengurangi kebisingan dan risiko deteksi.
Perilaku penyerang ini membantu menjelaskan alasannya NIST SP 800-63B secara eksplisit menyarankan agar tidak menggunakan kata-kata khusus konteks dalam kata sandi, termasuk nama layanan, nama pengguna, dan turunan terkait. Namun, untuk menerapkan panduan tersebut, diperlukan pemahaman tentang bagaimana penyerang menyusun dan mengoperasionalkan daftar kata ini dalam serangan di dunia nyata.
Perbedaan ini penting karena banyak strategi defensif masih berasumsi bahwa tebakan kata sandi bergantung pada kumpulan data yang luas dan umum.
Dari mana sebenarnya daftar kata yang ditargetkan berasal
CeWL adalah perayap web sumber terbuka yang mengekstrak kata-kata dari situs web dan menyusunnya ke dalam daftar terstruktur. Ini disertakan secara default dalam distribusi pengujian penetrasi yang banyak digunakan seperti Kali Linux dan Parrot OS, yang menurunkan hambatan masuk bagi penyerang dan pembela.
Penyerang menggunakan CeWL untuk merayapi kehadiran digital suatu organisasi yang dapat dilihat publik dan mengumpulkan terminologi yang mencerminkan cara organisasi tersebut berkomunikasi secara eksternal.
Hal ini biasanya mencakup deskripsi layanan perusahaan, ungkapan internal yang muncul dalam dokumentasi, dan bahasa khusus industri yang tidak akan muncul dalam bahasa umum. kamus kata sandi.
Efektivitas pendekatan ini bukan terletak pada kebaruannya, namun pada relevansinya. Daftar kata yang dihasilkan sangat mencerminkan kosakata yang sudah ditemui pengguna dalam pekerjaan mereka sehari-hari dan oleh karena itu lebih cenderung memengaruhi pembuatan kata sandi.
Dari konten yang dapat dilihat publik hingga tebakan kata sandi
CeWL dapat dikonfigurasi untuk mengontrol kedalaman perayapan dan panjang kata minimum, memungkinkan penyerang mengecualikan hasil bernilai rendah. Ketika dipanen dengan cara ini, keluarannya membentuk kandidat kata sandi yang realistis transformasi yang dapat diprediksi.
Untuk a organisasi kesehatanMisalnya, rumah sakit, konten yang dapat dilihat oleh publik mungkin menampilkan istilah-istilah seperti nama organisasi, referensi ke lokasinya, atau layanan atau perawatan yang ditawarkan.
Istilah-istilah ini jarang digunakan sebagai kata sandi secara terpisah, melainkan berfungsi sebagai kumpulan kandidat dasar yang digunakan oleh penyerang untuk memodifikasinya secara sistematis pola umum seperti sufiks numerik, huruf besar, atau simbol tambahan untuk menghasilkan tebakan kata sandi yang masuk akal.
Setelah penyerang mendapatkan hash kata sandi, sering kali melalui pelanggaran pihak ketiga atau infeksi pencuri info, alat seperti Hashcat menerapkan aturan mutasi ini dalam skala besar. Jutaan kandidat yang ditargetkan dapat dihasilkan dan diuji secara efisien terhadap data yang telah dikompromikan.
Daftar kata yang sama juga dapat digunakan terhadap layanan autentikasi langsung, di mana penyerang mungkin mengandalkan teknik pembatasan, pengaturan waktu, atau tebakan rendah dan lambat untuk mengurangi kemungkinan deteksi atau penguncian akun.
Mengapa aturan kompleksitas kata sandi masih gagal
Tantangan utamanya adalah banyak kata sandi yang dihasilkan dengan cara ini memenuhi standar persyaratan kompleksitas.
Analisis Specops lebih dari enam miliar kata sandi yang disusupi menunjukkan bahwa organisasi terus berjuang dengan perbedaan ini, bahkan ketika program kesadaran dan pelatihan sudah ada. Ketika kata sandi dibuat dari bahasa organisasi yang familiar, penambahan panjang atau variasi karakter tidak banyak mengimbangi berkurangnya ketidakpastian yang disebabkan oleh istilah dasar yang sangat kontekstual.
Kata sandi seperti HospitalName123! menggambarkan masalah ini dengan lebih jelas. Meskipun melebihi persyaratan kompleksitas Direktori Aktif default, ini masih merupakan pilihan yang lemah dalam lingkungan layanan kesehatan.
Daftar kata yang diturunkan dari CeWL dengan mudah mengidentifikasi nama dan singkatan organisasi yang diambil dari konten publik, sehingga memungkinkan penyerang mendapatkan varian kata sandi yang masuk akal melalui modifikasi minimal dan sistematis.
Bertahan dari serangan daftar kata yang ditargetkan
Mengurangi paparan terhadap serangan berbasis daftar kata memerlukan kontrol yang menangani konstruksi kata sandi, bukan kompleksitasnya saja.
Blokir kata sandi yang berasal dari konteks dan kata sandi yang diketahui telah disusupi
Mencegah pengguna membuat kata sandi berdasarkan bahasa spesifik organisasi seperti nama perusahaan dan produk, istilah proyek internal, kosakata industri, dan pergantian penyerang yang umum, sekaligus memblokir kredensial yang telah muncul dalam pelanggaran data.
Kebijakan Kata Sandi Specops dapat menegakkan adat kamus pengecualian dan terus memindai Direktori Aktif terhadap lebih dari 5,4 miliar kata sandi yang diketahui telah disusupi, mengganggu serangan daftar kata gaya CeWL dan mengurangi penggunaan kembali kredensial yang terekspos.
Terapkan panjang dan kompleksitas minimum
Membutuhkan setidaknya 15 karakter frasa sandi, seperti panjang dan tidak dapat diprediksi menawarkan perlindungan terbaik terhadap teknik brute force. Frasa sandi adalah cara terbaik untuk membuat pengguna membuat kata sandi yang kuat dan panjang.
Aktifkan autentikasi multifaktor (MFA)
Jika Anda belum melakukannya, ini adalah tempat yang tepat untuk memulai. Pertimbangkan solusi MFA yang sederhana dan efektif seperti Akses Aman Specops yang dapat melindungi koneksi Windows Logon, VPN, dan RDP.
Meskipun MFA tidak mencegah penyusupan kata sandi, MFA secara signifikan membatasi dampak paparan kredensial dengan mencegah kata sandi digunakan sebagai faktor autentikasi mandiri.
Selaraskan kebijakan kata sandi dengan serangan dunia nyata
Perlakukan kata sandi sebagai kontrol keamanan aktif, bukan sebagai persyaratan kepatuhan statis. Menerapkan kebijakan yang mencegah kata sandi yang berasal dari konteks, terekspos sebelumnya, atau mudah disimpulkan akan mengurangi nilai yang diperoleh penyerang dari daftar kata yang ditargetkan, sementara MFA memberikan garis pertahanan kedua yang diperlukan ketika kredensial disusupi.
Bersama-sama, kontrol-kontrol ini membentuk strategi autentikasi yang lebih tangguh yang mencerminkan bagaimana serangan kata sandi sebenarnya terjadi.
Bicaralah dengan salah satu pakar kami untuk mempelajari bagaimana Specops dapat mendukung keamanan kata sandi yang lebih kuat dan tangguh tanpa menambah kerumitan yang tidak perlu bagi pengguna.
Disponsori dan ditulis oleh Perangkat Lunak Specops.
