Dirbtinis intelektas (DI) kasdienybėje padeda automatizuoti darbus, greičiau atrasti informaciją ir analizuoti duomenis. Tačiau ta pati technologija vis dažniau pasitelkiama ir kenkėjiškais tikslais – pavyzdžiui, slaptažodžių spėjimui bei nulaužimui. DI įrankiai gali per labai trumpą laiką sugeneruoti milžinišką kiekį bandymų, prisitaikyti prie įprastų žmonių įpročių ir parinkti tikėtinas kombinacijas gerokai efektyviau nei tradiciniai metodai.
Viename tyrime, kuriame buvo išbandyta daugiau nei 15,6 mln. dažnai pasitaikančių slaptažodžių, DI tipo slaptažodžių spėjimo programa gebėjo atrasti bet kokį 7 simbolių slaptažodį per trumpiau nei 6 minutes – net jei jame buvo skaičių, simbolių ir didžiųjų bei mažųjų raidžių. Tokie rezultatai parodo paprastą dėsningumą: kuo slaptažodis trumpesnis ir labiau nuspėjamas, tuo greičiau jis tampa pažeidžiamas.
Ar dirbtinis intelektas gali nulaužti slaptažodžius
Taip. Skirtumas tarp įprasto įsilaužimo ir DI paremtų atakų dažnai slypi greityje ir automatizacijoje. Ten, kur anksčiau reikėjo daugiau rankinio darbo, patirties ir laiko, DI gali:
- automatizuoti slaptažodžių spėjimo procesą ir greitai keisti strategijas;
- parinkti prioritetinius taikinius (pvz., pagal tai, kas atrodo labiausiai pažeidžiama);
- padėti išgauti prisijungimo duomenis iš įvairių šaltinių ar nutekėjimų;
- ieškoti programinės įrangos spragų, kurios dar nėra plačiai žinomos.
Slaptažodžio „atsparumas“ labiausiai priklauso nuo dviejų dalykų: ilgio ir sudėtingumo. Ilgesnės kombinacijos užtrunka gerokai ilgiau, tačiau rizika išlieka, jei slaptažodis yra nuspėjamas. Pavyzdžiui, jei frazę ar žodžių derinį galima atspėti iš jūsų viešų įrašų internete, DI gali tai išnaudoti ir sudaryti itin tikėtinų variantų sąrašą.
Kaip DI padeda įsilaužėliams taikyti slaptažodžių atakas
Theininkauta socialinė inžinerija
Vienas dažnas scenarijus – itin tiksliai pritaikytos apgaulingos žinutės ar laiškai, skirti konkrečiam žmogui. Tokiose atakose gali būti naudojama informacija, kuri jums aktuali: temos apie darbą, finansus, neseniai vykusius įvykius ar net jūsų pomėgiai. Tikslas paprastas – priversti jus atskleisti prisijungimo duomenis arba paspausti kenksmingą nuorodą ir taip atverti kelią paskyros perėmimui.
Jus gali sudominti
Viešos informacijos analizė (OSINT)
Viešai prieinama informacija internete – nuo socialinių tinklų iki publikacijų ar įvairių duomenų bazių – gali būti panaudota kuriant „spėjimų profilį“. DI gali padėti automatizuoti tokį rinkimą ir analizę: pastebėti pasikartojančius žodžius, vardus (pvz., augintinio), mėgstamas frazes, datas ar kitus jums būdingus šablonus. Vėliau tai paverčiama slaptažodžių kandidatų sąrašu.
Atakos prieš daugiau taikinių vienu metu
DI suteikia galimybę vienu metu taikyti atakas prieš daug paskyrų ar organizacijų, parenkant skirtingas taktikas skirtingoms grupėms. Tai sumažina poreikį dideliam žmonių skaičiui ir leidžia bandyti „prasiskverbti“ plačiau – tikrinant daugiau sistemų, daugiau vartotojų ir daugiau prisijungimo variantų.
Kaip apsaugoti slaptažodžius nuo DI paremtų atakų
Naudokite skirtingus slaptažodžius kiekvienai paskyrai
Vienas svarbiausių principų – jokio pakartotinio slaptažodžių naudojimo. Jei tas pats slaptažodis tinka kelioms paskyroms, vienas nutekėjimas gali atverti duris į viską. Kad nereikėtų visko atsiminti mintinai, verta naudoti slaptažodžių tvarkyklę, kuri gali saugoti ir generuoti unikalias kombinacijas.
Rinkitės ilgus ir sunkiai nuspėjamus slaptažodžius
Gera praktika – ilgesni slaptažodžiai, kuriuose yra:
- didžiosios ir mažosios raidės;
- skaičiai;
- simboliai;
- ir (svarbiausia) nėra lengvai atspėjamo žodžio, datos ar frazės, susijusios su jumis.
Ribokite asmeninę informaciją viešumoje
Kuo daugiau detalių apie save skelbiate viešai, tuo lengviau sudaryti spėjimų sąrašą. Įrašai apie atostogas, buvimo vietą, šeimos narius, augintinius, pirkinius ar kasdienius įpročius gali tapti ne tik socialinės inžinerijos „kuru“, bet ir užuominomis apie slaptažodžius. Be to, vieši pranešimai apie išvykimą gali padėti piktavaliams pasirinkti momentą, kai esate mažiau budrūs ar mažiau pasiekiami.
Ką daryti, jei įtariate, kad jūsų paskyra ar įrenginys nulaužtas
Jei kyla įtarimas, kad įvyko įsilaužimas, pirmas žingsnis – jei įmanoma, atsijungti nuo interneto ir tik tuomet imtis tvarkymo veiksmų. Dažniausiai verta:
- patikrinti įrenginį dėl kenkėjiškų programų;
- nedelsiant pakeisti slaptažodžius (pirmiausia el. pašto ir pagrindinių paskyrų);
- įjungti dviejų veiksnių autentifikavimą (2FA), jei jis dar neįjungtas.
Stebėkite finansinius ir tapatybės duomenis
Jei yra rizika, kad buvo pasiekti asmeniniai ar finansiniai duomenys, verta aktyviai stebėti, ar neatsiranda įtartinų veiksmų: netikėtų prisijungimų, keistų pirkimų, neįprastų pranešimų iš paslaugų teikėjų.
Apsvarstykite naują paskyrą vietoje seno slaptažodžio keitimo
Kai kuriais atvejais, jei paskyra buvo stipriai kompromituota, gali būti saugiau sukurti visiškai naują paskyrą, o senąją uždaryti ar palikti nenaudojamą. Naujos paskyros dažnai leidžia iš karto pritaikyti griežtesnius nustatymus ir pradėti „švariai“.
