Un studiu recent evidențiază vulnerabilitatea parolelor, arătând că atacurile reușite se bazează adesea pe tehnici simple, precum construirea de liste de termeni specifici organizației pentru a sparge autentificarea. Deși reguli stricte de complexitate nu sunt suficiente, multe breșe apar din cauza parolelor create în funcție de vocabularul și contextul intern al companiilor.

De unde provin listele de cuvinte țintite și de ce sunt eficiente

Listele de termeni relevanți pentru o organizație sunt extrase din comunicarea publică a companiei. Hidite din paginile web, documente, comunicate sau materiale interne, aceste liste conțin nume de produse, acronime, locații și alte expresii frecvent utilizate. Crawleri precum CeWL sunt folosiți pentru a dezvolta aceste liste, care reflectă limbajul zilnic al angajaților și informațiile publice ale organizației.

Pentru atacatori, selectarea unor termeni specifici reduce considerabil spațiul de încercări, fiind mai eficientă decât utilizarea unor dicționare generice. Fiind familiarizați cu vocabularul intern, aceștia pot transforma rapid acei termeni în parole probabile, aplicând reguli simple de mutație.

Transformarea termenilor publici în parole plauzibile

Termenii extrasi sunt modificați prin adăugare de cifre, schimbare de litere cu simboluri sau inserție de sufixe sezo­nere. Exemple precum „NumeSpital2026!” sau „Cardio2025!” ilustrează aceste pattern-uri, ușor de testat de atacatori cu liste țintite. În cazul compromiterii hash-urilor, utilizarea de instrumente precum Hashcat facilitează testarea rapidă a acestor variante.

Pentru atacurile online, strategia „low and slow” implică încercări rare, pentru a evita blocările sau detectarea rapidă, utilizând metode precum testarea voastră a parolelor în mod discret și distribuit.

De ce regulile clasice de complexitate nu sunt suficiente

Politicile care impun mărimea parolei și lista de caractere speciale nu protejează împotriva parolelor bazate pe termeni contextuali. Simplu, o parolă precum „SpitalNume#1” fiind conformă, rămâne ușor de spart pentru un atacator care cunoaște vocabularul organizației.

Din acest motiv, diferența între o parolă validă și una rezistentă constă în relevanța și imprevizibilitatea acesteia. Împingerea utilizatorilor să schimbe parolele fără alternative moderne duce la recurgerea la structuri ușor de modificat, care totuși pot fi descoperite dacă atacatorii dispun de liste adaptate.

Soluții pentru reducerea riscului real

Pentru protecție eficientă, trebuie interzise în mod explicit parolele derivate din vocabularul organizației, precum nume de companie, produse sau acronime interne. Se impune utilizarea de dicționare de excludere personalizate.

Este vitală verificarea continuă a listelor de credentiale compromise, pentru a preveni reutilizarea acestora. În plus, recomandarea este de a opta pentru parole lungi, preferabil passphrase-uri de peste 15 caractere, și de a implementa autentificare multifactor pe toate punctele critice, precum logon la Windows, VPN sau aplicații externe.

Măsuri imediate pentru organizații

Organizațiile trebuie să trateze gestionarea parolelor ca pe un control activ, nu doar ca pe o formalitate. Se recomandă inventarierea termenilor sensibili, actualizarea dicționarelor de blocare, extinderea lungimii parolelor și validarea lor față de baza de credentiale expuse.

Implementarea și verificarea periodică a controalelor, inclusiv simulări mimând atacurile, sunt esențiale pentru ajustarea măsurilor. Extinderea MFA pe toate punctele critice și controlul riguros al parolelor compromise sunt pași obligatorii.

Concluzia rămâne clară: atacatorii nu necesită AI avansat pentru a sparge parole slabe, iar organizațiile trebuie să-și adapteze politicile pentru a ține cont de context și metodele actuale de atac.