De fleste mennesker er har sunde sikkerhedsvaner på nettet. Men de bruger dem sjældent nok, hvorfor de er sårbare for ordbogsangreb. Selvom de fleste godt ved, at de bør passe godt på deres webkonti, undlader mange stadig at følge nogle simple ting, som at bruge stærke adgangskoder. Faktisk viste en Google-undersøgelse, at op mod 65 % af mennesker bruger de samme adgangskoder på flere forskellige konti. Desuden bruger 59 % personlige oplysninger i deres adgangskoder, som altså er nemme at gætte eller opdage - som fx kæledyrs navne og fødselsdatoer.
Derudover bruger folk ofte simple, indlysende adgangskoder, som er rigtigt nemme at knække. Undersøgelser har vist, at tastaturets rækkefølger som "123456" og "qwerty" eller bare "Password", "iloveyou" og "velkommen" er blandt de aller mest brugte, som jævnligt ses, når data går tabt.
Det betyder altså, at de angreb sker ofte – og typisk lykkes – bare fordi folk ikke er opmærksomme på ordbogsangreb.
Ordbogsangreb: En definition
I sin enkleste form, er et ordbogsangreb en form for brute force angreb, hvor hackerne forsøger at gætte brugernes adgangskoder, til deres webkonti, via en liste med de mest brugte ord, sætninger og talkombinationer. Når et ordbogsangreb knækker en adgangskode, får hackerne typisk adgang til bankkonti, profiler på sociale medier og selv adgangskodebeskyttede filer. Det er her, det kan blive et rigtigt stort problem for offeret.
Hvordan fungerer et ordbogsangreb?
Denne form for hacking bruger en systemisk måde at knække adgangskoder på. Angrebet består grundlæggende af tre trin, som er vigtige at forstå for at vide, hvordan man forhindrer et ordbogsangreb.
- Typisk laver angriberen en foruddefineret liste med potentielle adgangskoder - en ’brute force’ ordbog - der indeholder kombinationer af populære ord og tal.
- Så bruger en automatiseret software brute-force ordbogen til at forsøge at hacke sig ind på brugernes konti.
- Når ordbogsangrebet kommer ind på en sårbar konto, udnytter hackeren alle profilens eller kontoens følsomme data i videst muligt omfang. Det kan være til at begå svindel, foretage skadelige handlinger eller blot stjæle penge fra diverse konti.
Når angriberne laver listen med potentielle adgangskoder, bruger de ofte almindelige navne på kæledyr, genkendelige personer eller figurer fra popkulturen, store sportshold eller kendte sportsfolk. Rigtigt mange mennesker bruger nemlig den slags ord til adgangskoder, der betyder noget for dem, og som de så kan huske. Listen indeholder også variationer af dem, som forskellige kombinationer af ord eller ekstra specialtegn.
Når de kombinerer listen med deres automatiserede værktøjer, lykkes deres ordbogsangreb naturligvis endnu lettere. Kombinationen af listen med adgangskoder og det automatiserede værktøj, gør det meget hurtigere at knække en adgangskode og hacke sig ind på webkonti. Hvis man skulle gøre det manuelt, ville det tage alt for lang tid og give kontoens ejer – eller systemadministratoren – tid til at registrere angrebet og forsvare sig mod det.
På grund af måden, de virker på, bruger ordbogsangreb sjældent specifikke mål. Her håber svindlerne bare på, at en af listens adgangskoder rammer noget rigtigt. Hvis angriberne alligevel går efter et bestemt sted eller organisation, laver de ofte en mere fokuseret og lokal liste med ord. Hvis de fx vil angribe noget i Spanien, bruger de ergo almindelige spanske ord - i stedet for engelske. Hvis de går efter en bestemt organisation, bruger de naturligvis ord, der er knyttet til den pågældende virksomhed.
Ordbogsangreb vs brute force: Hvad er forskellen?
Selvom ordbogshacking er en form for brute force-angreb, er der en vigtig forskel på dem. Mens ordbogsangreb bruger en given liste med ord til systematisk at forsøge at knække adgangskoderne med, bruger brute force-angreb ingen lister. De gennemgår bare enhver, helt tilfældig kombination af bogstaver, symboler og tal, der kan bruges i en adgangskode. Grundlæggende er ordbogsangreb mere effektive - og har større chance for at lykkes - fordi de kræver langt færre kombinationer.
Alfabetets 28 bogstaver og 10 enkeltcifrede tal - som samlet giver 38 tegn - gør brute force-angrebets nærmest utallige, mulige kombinationer det ekstremt upraktisk. I det store perspektiv, skal et brute force-angreb, som forsøger hacke et adgangskode på 10 tegn, gennemgå mere end 4 kvadrillioner potentielle, alfanumeriske adgangskoder.
Fordelen ved brute force-angreb er dog, at de oftere knækker svære og unikke adgangskoder, med deres trial-and-error-tilgang. Fordi de gennemgår det enorme antal mulige adgangskoder, er der større sandsynlighed for, at de, før eller siden, finde den rigtige kombination af tegn, som findes i en given adgangskode.
Sådan forhindrer du ordbogsangreb
Forståelsen af, hvad ordbogsangreb er, og hvordan de virker, er et skridt på vejen til at forhindre, at de opstår. Men for dem, der seriøst ønsker at undgå ordbogsangreb, er det en god ide et tjekke følgende tip:
- Undgå adgangskoder helt, når det er muligt: Den nemmeste og mest idiotsikre måde at undgå ordbogsangreb på er helt at undgå brugen af adgangskoder. Når muligheden findes, bør man altid bruge godkendelser uden adgangskoder samt biometriske logins til at beskytte sine konti med.
- Brug tilfældige adgangskoder: Undgå at bruge adgangskoder, der benytter personlige oplysninger, som fødselsdatoer, kæledyrs navne eller andre oplysninger, der let kan findes et sted. En password manager eller adgangskodeadministrator kan også hjælpe med at oprette, gemme og indtaste koderne på en sikker måde.
- Undgå det åbenlyse: Overraskende nok bruger mange stadig simple ord- og talkombinationer, der er nemme at hacke, i deres adgangskoder, som fx "Password123" eller "abcd1234". Det er det nemmeste at hacke med ordbogsangreb, fordi de netop er designet til at knække adgangskoder, som er nemme at gætte.
- Vælg en adgangssætning: I stedet for at vælge en kombination af ord og tal, som adgangskode, bør du bruge hele sætninger, der giver adgang til dine konti. De er meget sværere at gætte, selvom de kan være nemme at huske for brugerne. Person, der elsker fodbold, kan fx bruge sætningen "Jeg vil spille angriber på landsholdet". For at gøre adgangssætningen endnu mere sikker, bør du tilføje tilfældige tal, tegn og store bogstaver og fx forvandle den til "J3gv1l§p1ll3Angr1b3rpålAnd§hold3t!".
- Brug to-faktor-godkendelse: Konfigurer dine konti, så alle logins kræver to (eller flere) godkendelsesfaktorer. Det kan fx være en fast adgangskode, en engangsadgangskode fra en godkendelsesapp og et fingeraftryk.
- Prøv authenticator- eller godkendelsesapps: Når det er muligt, så prøv at bruge en godkendelsesapp i stedet for eller sammen med dine adgangskoder. De er nemme at downloade på en mobiltelefon, hvor de knyttes til en bestemt konto og leverer tilfældigt genererede engangs-adgangskoder til hvert nyt login.
- Begræns antallet af loginforsøg: Nogle sider og apps begrænser nu antallet af tilladte loginforsøg, inden for en given tidsramme. Hvis det er en mulighed, bør du klart aktivere det på dine konti, for at undgå ordbogshack.
- Obligatoriske nulstillinger: Ordbogshacking kræver ofte mange forsøg for at knække en adgangskode. Minimer sandsynligheden for et vellykket angreb ved at kræve at adgangskoderne nulstilles efter et bestemt antal mislykkede forsøg. Hvis det ikke er muligt at indstille automatisk, kan du muligvis bruge en mere manuel version, ved at sætte dine konti til at e-maile dig, hvis de oplever et mislykket loginforsøg. Hvis du får besked om, at nogen forsøger at få adgang til en konto, og især hvis du får flere af disse meddelelser hurtigt efter hinanden, kan du gå ind og ændre adgangskoden og dermed sikre dig yderligere.
- Undgå at bruge bestemte ord: Undgå at bruge almindelige ord i dine adgangskoder - det føjer et ekstra sikkerhedslag til dine konti.
Kan password managere eller adgangskodeadministratorer hjælpe med at forhindre ordbogsangreb?
Password managere er en god og effektiv måde at styre dine kontooplysninger sikkert på, som også minimerer faren for at blive offer for ordbogshacking. Apps som Kaspersky Password Manager tilbyder flere fordele, der hjælpe med at sikre dine adgangskoder. Her er flere gode grunde til at bruge dem:
- Brug én enkelt adgangskode: Når du bruger en password manager, skal du bare huske én primær adgangskode for at logge ind på din konto, hvor du styrer alle andre logins til diverse konti.
- De generer stærke, tilfældige adgangskoder: De fleste programmer giver brugerne mulighed for at generere ekstremt stærke, tilfældigt genererede adgangskoder. Fordi de ikke bruger almindelige ord eller sætninger, er de normalt sikre ift. ordbogshacking. De kan dog stadig rammes af et brute force-angreb.
- Få nem adgang til dine konti: Password managere kan ofte mulighed gemme loginoplysningerne til hver enkelt konto, på en sikker og tryg måde. Så udfylder de dem automatisk, når du logger ind på en side, en konto eller en app.
- De kan dele adgangskoder sikkert: Hvis det er nødvendigt at dele visse adgangskoder - fx med venner, familie eller kolleger - giver password managere brugerne mulighed for at gøre det på en sikker måde, mens de stadig styrer adgangen.
- Sikker opbevaring: Mange password managere eller adgangskodeadministratorer kan nu også gemme personlige dokumenter, lægejournaler, fotos etc i krypteret format, så alle de følsomme data er sikre.
Kom i gang med at forhindre ordbogsangreb
Ordbogshacking er en meget almindelig type af cybersvindel, som hackerne bruger til at ramme personlige konti, som bankkonti, profiler på sociale medier eller e-mails. Når hackerne får adgang til det, udfører de en lang række forbrydelser, lige fra økonomisk svindel og skadelige opslag på sociale medier til yderligere cybersvindel, som fx phishing. Ordbogsangreb kan dog forebygges ved at implementere nogle sikkerhedsforanstaltninger, der minimerer faren for at blive ramt af dem. Smarte vaner omkring adgangskoder, forskellige former for godkendelser og let tilgængelige password managere bidrager til at beskytte og sikre adgangskoder og konti.
Kaspersky Endpoint Security vandt tre AV-testpriser for den bedste ydeevne, beskyttelse og brugbarhed for et endpoint sikkerhedsprodukt til virksomheder i 2021. I alle tests, viste Kaspersky Endpoint Security fremragende ydeevne, beskyttelse og brugbarhed for virksomheder.
Relaterede artikler og links:
- Hvor ofte bør du ændre dine adgangskoder?
- Gode råd om cyberhygiejne, der sikrer dig på nettet
- Tip til generering af stærke og unikke adgangskoder
- Sådan beskytter du dine data online med en adgangskodeadministrator
Relaterede produkter og tjenester: