Parola sözlüğü saldırısı, bir sözlüğe sistematik olarak her sözcüğü parola olarak girerek parola korumalı bir bilgisayar veya sunucuya sızmak için kullanılan kaba kuvvet korsanlığı yöntemidir. Bu saldırı yöntemi aynı zamanda şifrelenmiş dosyaların şifresini çözmek için gereken anahtarı bulma aracı olarak da kullanılabilir.
Sözlükte kelimelerin yanı sıra bu kelimelerin leetspeak (alfasayısal ve alfasayısal olmayan karakterlerle karakter değiştirme) olarak bilinen türevlerinin kullanılması yaygın olsa da, bu tür saldırılarda sözlük daha önce sızdırılmış şifrelerin veya anahtarların bir koleksiyonu da olabilir.
Kimler risk altındadır?
İnsanların yaklaşık %80’inin sosyal medya, kişisel bankacılık ve hatta işle ilgili sistemler de dahil olmak üzere çevrimiçi platformlarda şifrelerini yeniden kullandığı tahmin ediliyor. Bu, önemli hesaplara ait şifrelerinizi hatırlamanıza yardımcı olacak iyi bir yol gibi görünse de aslında sizi veri ihlaline karşı savunmasız bırakıyor.
Hiç kimse bunu, bilgisayar korsanlarının hesabından tweet attığı Twitter da dahil olmak üzere sosyal medya hesaplarının ele geçirildiği Facebook CEO’su Mark Zuckerberg’den daha iyi anlayamaz. Bilgisayar korsanları, LinkedIn veri ihlalinde ünlü CEO’nun şifresinin ele geçirildiğini ortaya çıkardı. LinkedIn hesabının şifresi dadada , Twitter ve ele geçirilen diğer sosyal medya hesapları için de kullanıldı.
Bu tür saldırıların işletmeniz için büyük sonuçları olabilir. Dropbox, 2012 yılında bir çalışanın kurumsal Dropbox hesabı için kullandığı parolanın aynısını LinkedIn için kullanması nedeniyle bir ihlal yaşadı. Bu ihlal, bir bilgisayar korsanının dikkatsiz tweet’leri yerine 60 milyon kullanıcının kimlik bilgilerinin çalınmasıyla sonuçlandı.
Parola sözlüğü saldırısı nasıl önlenir?
Parolanın uzunluğu kaba kuvvet saldırılarına karşı etkili bir savunmadır. Uzun ve akılda kalıcı bir parola oluşturmanın en iyi stratejisi, onu bir parola cümlesi haline getirmektir. Parola, boşluklu veya boşluksuz, genellikle 20 karakterden uzun bir cümle veya kelime öbeğidir. Parolayı oluşturan kelimelerin sosyal mühendisliğe daha az duyarlı olması için bir arada anlamsız olması gerekir. Ancak bir parola yalnızca sızdırılan parolalar listesinde görünmediğinde iyi bir seçimdir.
Bu sızdırılan şifreleri engellemek, kuruluşunuzu şifre sözlüğü saldırısının kurbanı olmaktan korumanın etkili bir yoludur. Siber güvenlik uzmanı Troy Hunt, kimlik bilgilerinizin sızdırılıp sızdırılmadığını kişisel olarak arayabileceğiniz HaveIBeenPwned sitesinde sızdırılan şifrelerin en büyük koleksiyonlarından birini yönetiyor.
Sözlük saldırısını önlemeye yönelik bir diğer kritik önlem, farklı parola korumalı sistemler arasında parolanın yeniden kullanımını durdurmaktır. Kullanıcı eğitimi, şifrelerin tekrar kullanılmamasının önemi konusunda eğitim verilmesine yardımcı olabilir. Ancak bu olasılığı ortadan kaldırmanın tek yolu, şifre oluşturma sırasında sızdırılan şifreleri engellemektir.