Hvorfor hackere ikke stoppes af kontolåse

Brugere, der bliver låst ude af deres egne konti, er et alt for almindeligt scenarie. Efter blot et par tastefejl kan de ikke længere prøve igen, før tiden går, eller de nulstiller deres adgangskoder med en e-mail. Hvor frustrerende det end er, stopper det i det mindste hackere - eller gør det?

Statistikker tyder på noget andet. Over en tredjedel af alle amerikanere har fået hacket deres sociale mediekonti på trods af standardforsøgsgrænser. Hvorfor stopper disse beskyttelser ikke cyberkriminelle, hvis de selv kan låse brugerne ude, og hvordan kan folk forblive sikre?

Hvordan kontolockouts formodes at stoppe hackere

Kontolåsninger formodes at stoppe en type hack kendt som et "brute-force" angreb. På det enkleste indebærer brute forcering at prøve en række tilfældige input, indtil noget virker. Oftere end ikke bruger cyberkriminelle automatiserede værktøjer til at gøre dette, som er meget hurtigere end manuelt at gætte adgangskoder.

Ideen bag grænserne for loginforsøg er, at det kræver langt mere end tre eller deromkring gæt at få en rigtig adgangskode. Derfor stopper låsning af kontoen efter så mange forsøg teoretisk brute-force-angreb, før de lykkes. Men tingene foregår sjældent på denne måde.

Hvordan hackere kommer uden om kontolåse

Cyberkriminelle kan komme ind på en adgangskodebeskyttet konto på flere måder. Her er et par strategier, de bruger til at komme forbi kontolockouts, selv i et brute-force-angreb.

Offline Brute-Force-angreb

Kontolåsning ville virke, hvis hackere forsøgte at gætte en adgangskode på loginskærmen. Problemet er, at de ikke gør det ofte. I stedet udfører de offline brute-force-angreb, hvor de stjæler adgangskodedata og forsøger at bryde igennem dem i et andet miljø, hvor der ikke er nogen forsøgsgrænser.

Angribere kan ikke låses ude efter flere mislykkede forsøg, når de besidder de rå krypterede data. Det er fordi de ikke forsøger at dekryptere det online, hvor serveren har disse beskyttelser. I stedet tager de kun kontodataene og råtvinger dem på deres egen computer eller på en anden, usikret server.

Disse angreb kræver først at stjæle adgangskoderne fra et websted og derefter bruge brute force-værktøjer til at bryde igennem krypteringen. Selvom det er mere kompliceret end blot at gætte legitimationsoplysninger på stedet, giver det kriminelle tid. Selvom det tager millioner af forsøg, kan de afsløre adgangskoden på få dage og derefter logge ind som en normal bruger på det legitime websted.

Desværre behøver det ofte ikke tage millioner af forsøg. På trods af mange års advarsler fra sikkerhedseksperter er "adgangskode" stadig den mest almindelige basisbetegnelse bruges i adgangskoder, og 18 % af adgangskoder indeholder kun små bogstaver. Offline brute-force-angreb gøres ofte nemmere for hackere, simpelthen fordi brugerne ikke følger bedste praksis for adgangskodelængde og kompleksitet.

Credential Stuffing

En anden mulighed er at bruge legitimationsfyld. Her tager hackere loginoplysninger, som de ved virkede for én konto, og bruger dem til at komme ind på en anden. De får ofte disse legitimationsoplysninger fra tidligere databrud, hvor andre cyberkriminelle har solgt stjålne brugernavne og adgangskoder på det mørke web.

Lige12 % af globale internetbrugere brug altid nye legitimationsoplysninger, når du åbner en ny konto. De fleste mennesker bruger de samme adgangskoder på tværs af flere websteder - nogle gange dem alle. Som et resultat er det et sikkert spil, at en stjålet adgangskode vil fungere et andet sted, så hackere kan bruge en til at logge ind på en konto på blot et eller to forsøg.

Social Engineering

Hackere kan også omgå kontolåse gennem social engineering. Dette er en så bred kategori af angreb, så den kan dække flere strategier til at stjæle eller omgå login-legitimationsoplysninger.

Den mest direkte måde er at narre brugere til at fortælle angribere deres adgangskoder ved at udgive sig for at være en pålidelig kilde. Alternativt kan cyberkriminelle sende en e-mail, der hævder at være fra et legitimt websted med et link til at logge ind på deres konto. Linket fører dog til en svigagtig login-side, der er identisk med den rigtige, hvor kriminelle kan se, hvad brugerne indtaster.

Sådanne angreb kan virke indlysende, men 298.878 mennesker faldt for phishing-forsøg alene i 2023. Det er mere end nogen anden form for cyberkriminalitet og antyder, at social engineering stadig er yderst effektiv.

Keylogging og Man-in-the-Middle-angreb

En anden måde, angribere kan undgå kontolåsning på, er ved at se brugere, mens de indtaster adgangskoder. Der er to hovedtilgange her - keylogging-software og man-in-the-middle (MITM)-angreb.

Keyloggere er en form for malware, som cyberkriminelle kan levere gennem phishing, ondsindede websteder eller andre midler. Når de er installeret, sporer de, hvad brugere skriver, inklusive adgangskoder, som hackere kan bruge til at logge ind på folks konti i et enkelt forsøg.

MITM-angreb ligner hinanden, men involverer aflytning af brugernes input - som kan omfatte adgangskoder - før de når serveren. Kryptering kan stoppe disse angreb, men offentlige Wi-Fi eller usikrede websteder er modtagelige for dem.

Hvordan kan brugere forblive sikre?

Det er sikkert at sige, at kontolåsning ikke er nok til at stoppe hackere. Heldigvis kan brugere beskytte sig selv ved at følge et par andre bedste fremgangsmåder. Bedre sikkerhed starter med at bruge stærkere adgangskoder. Eksperter anbefaler at bruge tilfældige adgangskodegeneratorer , da disse skaber mere komplekse rækker af karakterer, der er sværere at brute force.

Det er også en god idé at aldrig genbruge adgangskoder og regelmæssigt ændre dem. Disse trin vil gøre legitimationsfyldning mindre effektiv.

Brugere bør også aktivere multifaktorautentificering (MFA), hvor det er muligt. Det er stadig muligt at brute force forbi MFA , men det er meget sværere end at komme forbi en simpel brugernavn-adgangskode-kombination.

Det er langtfra nemt at stoppe cyberkriminelle

Brute force-angreb er ikke så enkle, som de ser ud til i første omgang, og det er sjældent ligetil at forsvare sig mod dem. Selvom et kontolåsningssystem giver mening i teorien, er det ikke sikkert nok til at være det eneste forsvar i praksis.

Cyberkriminelle har mange værktøjer til deres rådighed, så stærke beskyttelser bruger også flere måder at forblive sikker på. Parring af login-grænser med lange, komplekse og unikke adgangskoder, MFA og hyppige legitimationsændringer vil give den største sikkerhed.