Siirry pääsisältöön

Mikä sanakirjahyökkäys on?

Hakkeri tekemässä sanakirjahyökkäystä

Useimmat ihmiset tietävät, millä tavoin verkkoturvallisuudesta voi pitää huolta. Kyseisiä tapoja ei kuitenkaan aina hyödynnetä parhaalla mahdollisella tavalla, minkä vuoksi käyttäjät jäävät alttiiksi sanakirjahyökkäyksille. Monet jättävät noudattamatta yksinkertaisiakin ohjeita, jotka liittyvät esimerkiksi vahvojen salasanojen luomiseen, vaikka he tietäisivät, että verkkotilit kannattaa suojata. Itse asiassa Googlen tutkimuksessa selvisi, että arviolta 65 % ihmisistä käyttää samoja salasanoja useilla tileillä. Lisäksi 59 % ihmisistä käyttää salasanoissaan henkilökohtaisia tietoja, kuten lemmikkien nimiä tai syntymäpäiviä, jotka on helppo arvata tai löytää.

Usein käytetään myös yksinkertaisia ja ilmeisiä salasanoja, jotka on hyvin helppo murtaa. Tutkimusten mukaan yleisimpiä salasanoja ovat esimerkiksi ”123456”, ”qwerty”, ”Salasana”, ”iloveyou” ja ”Welcome”, ja näitä myös usein murretaan tietomurtojen yhteydessä.

Tällaiset hyökkäykset ovat hyvin yleisiä – ja menestyksekkäitä – juuri siitä syystä, että ihmiset eivät ota niihin varautumista tosissaan.

Sanakirjahyökkäykset: Määritelmä

Yksinkertaisimmillaan sanakirjahyökkäys on väsytyshyökkäys, jossa hakkerit yrittävät arvata käyttäjän verkkotilin salansanan kokeilemalla nopeasti usein käytettyjä sanoja, lausekkeita ja numeroyhdistelmiä. Kun salasana on saatu selville, hakkeri voi päästä sen avulla esimerkiksi pankkitilille, sosiaalisen median profiiliin tai jopa salasanasuojattuihin tiedostoihin. Tässä vaiheessa uhrille voi aiheutua todellisia ongelmia.

Miten sanakirjahyökkäys toimii?

Tämäntyyppisessä hakkeroinnissa salasanoja yritetään murtaa systemaattisin keinoin. Hakkeroinnissa on kolme vaihetta, joiden ymmärtäminen voi auttaa estämään sanakirjahyökkäyksiä.

  1. Yleensä hyökkääjä luo mahdollisista salasanoista listan (eli väsytyshyökkäyksessä käytettävän sanakirjan), joka sisältää yleisten sanojen ja numeroiden yhdistelmiä.
  2. Automatisoitu ohjelmisto pyrkii murtautumaan verkkotileille sanakirjan avulla.
  3. Kun sanakirjahyökkäyksellä on päästy haavoittuvaiselle tilille, hakkeri käyttää profiilista löytyviä arkaluontoisia tietoja omiin tarkoituksiinsa. Hän voi esimerkiksi tehdä petoksia tai jotakin muuta haitallista tai pyrkiä saamaan taloudellista hyötyä.

Usein hyökkääjä käyttää mahdollisten salasanojen listan kokoamiseen esimerkiksi yleisiä lemmikkien nimiä, tunnistettavien populaarikulttuurin hahmojen nimiä tai tunnettujen urheilujoukkueiden ja urheilijoiden nimiä. Tähän on syynä se, että monet käyttävät tämäntyyppisiä salasanoja, sillä ne ovat heille merkityksellisiä ja helposti muistettavissa. Lista sisältää yleensä tällaisten sanojen muunnelmia, kuten sanojen yhdistelmiä tai sanoja yhdistettyinä erikoismerkkeihin.

Tällaisen listan ja automatisoitujen työkalujen käyttäminen myös helpottaa onnistuneen sanakirjahyökkäyksen toteuttamista. Salasanalistan ja automatisoidun työkalun käyttäminen yhdessä nopeuttaa salasanan murtamista ja verkkotilille hakkeroitumista huomattavasti. Jos sama tehtäisiin manuaalisesti, hyökkäys kestäisi liian kauan ja tilin omistaja (tai järjestelmänvalvoja) ehtisi huomata hyökkäyksen ja suojautua siltä.

Sanakirjahyökkäysten luonteen vuoksi niillä ei yleensä ole yhtä tiettyä kohdetta. Sen sijaan niitä tehdään siinä toivossa, että edes yksi listan salasanoista olisi oikein. Jos hyökkääjä kuitenkin kohdistaa hyökkäyksen tiettyyn paikkaan tai organisaatioon, hän voi luoda tarkemman ja paikallisemman sanalistan. Esimerkiksi jos tarkoituksena kohdistaa hyökkäys Espanjaan, listaan voidaan lisätä yleisiä espanjankielisiä sanoja. Jos taas kohteena on tietty organisaatio, hyökkääjä voi käyttää kyseiseen yritykseen liittyviä sanoja.

Sanakirjahyökkäys vs. väsytyshyökkäys: Mitä eroa näillä on?

Vaikka sanakirjahyökkäys on yhdentyyppinen väsytyshyökkäys, niiden välillä on tärkeä ero. Sanakirjahyökkäyksissä käytetään ennalta määritettyä listaa, jonka avulla tilien salasanoja pyritään murtamaan systemaattisesti, kun taas väsytyshyökkäyksissä kokeillaan kirjainten, symboleiden ja numeroiden yhdistelmiä sattumanvaraisesti kaikissa mahdollisissa järjestyksissä. Sanakirjahyökkäykset ovat yleensä tehokkaampia ja onnistuvat todennäköisemmin, koska niissä käydään läpi huomattavasti pienempi määrä merkkiyhdistelmiä.

Englannin kielen aakkosten 26 kirjaintia ja 10 numeroa tekevät yhteensä 36 merkkiä, joten väsytyshyökkäyksessä kokeiltavien yhdistelmien määrä on lähes mahdoton. Esimerkiksi 10-merkkisen salasanan hakkerointi edellyttäisi 3,76 kvadriljoonan aakkosnumeerisen salasanan kokeilua.

Väsytyshyökkäysten etuna on kuitenkin se, että niillä voi todennäköisemmin murtaa hankalia ja yksilöllisiä salasanoja yrityksen ja erehdyksen kautta. Koska näissä hyökkäyksissä käydään läpi niin kattava lista mahdollisia salasanoja, niissä löydetään lopulta suuremmalla todennäköisyydellä missä tahansa salasanassa käytetty merkkiyhdistelmä.

Miten sanakirjahyökkäyksiä voi estää?

Sanakirjahyökkäysten estämiseksi on hyvä ymmärtää, mistä niissä on kyse ja miten ne toimivat. Jos niitä haluaa tosissaan estää, näistä vinkeistä voi olla hyötyä:

  1. Vältä salasanojen käyttöä aina kun mahdollista: Helpoin ja varmin tapa välttää sanakirjoihin perustuva hakkerointi on olla käyttämättä salasanoja. Niiden sijaan tilin suojaamiseen kannattaa käyttää muita todennustapoja ja biometrista tunnistusta.
  2. Käytä satunnaisia salasanoja: Pyri välttämään salasanoja, jotka sisältävät henkilökohtaisia tietoja, kuten syntymäpäiviä, lemmikkien nimiä tai muita helposti löydettävissä olevia tietoja. Salasanojen hallintaohjelman avulla voit luoda, tallentaa ja syöttää salasanoja turvallisesti.
  3. Vältä ilmiselviä salasanoja: Yllättävän monet käyttävät salasanoina tavallisia, helposti hakkeroitavia sana- ja numeroyhdistelmiä, kuten ”salasana123” tai ”abcd1234”. Nämä ovat kaikkein alttiimpia hakkeroinnille, sillä sanakirjahyökkäykset on tarkoitettu nimenomaan helposti arvattavien salasanojen murtamiseen.
  4. Käytä salasanalausetta: Valitse tilin salasanaksi sana- ja numeroyhdistelmän sijaan kokonainen lause. Ne on huomattavasti vaikeampaa arvata, mutta käyttäjien taas on helpompi muistaa ne. Esimerkiksi jalkapallofani voisi käyttää seuraavaa lausetta: ”Haluan maajoukkueeseen hyökkääjäksi”. Salasanalauseesta voi tehdä vielä turvallisemman käyttämällä siinä satunnaisia numeroita, merkkejä ja isoja kirjaimia tähän tapaan: “H@lu@nm@@joukku33sEENHyökKÄÄjäkSi!”.
  5. Käytä kaksivaiheista todennusta: Määritä tilien asetukset niin, että jokaisella kirjautumiskerralla vaaditaan (vähintään) kaksi todennusvaihetta. Salasanan lisäksi voidaan vaatia esimerkiksi todennussovelluksen luoma kertakäyttöinen salasana ja sormenjälki.
  6. Kokeile todennussovelluksia: Kokeile käyttää salasanan sijasta tai lisäksi todennussovellusta, jos sellainen on saatavilla. Usein sovellus on helposti ladattavissa puhelimeen ja linkitettävissä tiettyyn tiliin, ja se luo satunnaisen kertakäyttöisen salasanan kunkin kirjautumisyrityksen yhteydessä.
  7. Rajoita kirjautumisyritysten määrää: Jotkin verkkosivustot ja sovellukset rajoittavat nykyään sitä, kuinka monta kertaa tietyn ajan sisällä saa yrittää kirjautua sisään. Jos tämä vaihtoehto on saatavilla, ota se käyttöön kullakin tilillä sanakirjahyökkäysten välttämiseksi.
  8. Pakota salasanan nollaaminen: Sanakirjaan perustuvassa hakkeroinnissa salasanan murtamista yritetään useita kertoja. Voit minimoida hyökkäyksen onnistumisen todennäköisyyden pakottamalla salasanan nollauksen silloin, kun epäonnistuneita kirjautumiskertoja on tietty määrä. Jos tällaista vaihtoehtoa ei ole saatavilla tileilläsi, voit kokeilla toteuttaa tämän manuaalisesti määrittämällä verkkotilit lähettämään sinulle sähköpostin, jos kirjautumista yritetään epäonnistuneesti. Jos saat ilmoituksen siitä, että joku yrittää päästä tilillesi (etenkin jos saat useita ilmoituksia lyhyessä ajassa), voit käydä vaihtamassa salasanasi varmistaaksesi, että se on turvassa.
  9. Vältä tiettyjen sanojen käyttämistä: Välttämällä yleisten sanojen käyttöä kaikissa salasanoissasi voit parantaa tiliesi turvallisuutta.

Voiko salasanojen hallintaohjelmien avulla estää sanakirjahyökkäyksiä?

Salasanojen hallintaohjelmien käyttö voi olla hyödyllinen tapa hallita tilin kirjautumistietoja turvallisesti ja minimoida sanakirjahakkerointien uhriksi joutumisen todennäköisyys. Sovellukset, kuten Kaspersky Password Manager, tarjoavat useita hyötyjä, jotka auttavat pitämään salasanat turvassa. Tässä on joitakin syitä niiden käytölle:

  • Käytä vain yhtä salasanaa: Salasanojen hallintaohjelman avulla sinun tarvitsee muistaa ainoastaan pääsalasana, jolla pääset kirjautumaan tilillesi ja hallinnoimaan muita yksittäisten tilien kirjautumistietoja.
  • Luo vahvoja, satunnaisia salasanoja: Useimmissa ohjelmissa käyttäjät voivat luoda hyvin vahvoja ja satunnaisesti muodostettuja salasanoja. Niissä ei käytetä yleisiä sanoja tai lausekkeita, joten ne ovat yleensä turvassa sanakirjahyökkäyksiltä. Väsytyshyökkäyksellä ne on kuitenkin mahdollistaa murtaa.
  • Kirjaudu tileille helposti: Salasanojen hallintaohjelmat tarjoavat usein mahdollisuuden tallentaa kirjautumistiedot turvallisesti kullekin yksittäiselle tilille, minkä jälkeen ne täyttävät nämä tiedot automaattisesti aina, kun verkkosivustolle, tilille tai sovellukseen ollaan kirjautumassa.
  • Jaa salasanoja turvallisesti: Jos sinun tarvitsee jakaa tilisi salasana esimerkiksi ystävällesi, perheenjäsenellesi tai työkaverillesi, salasanojen hallintaohjelman avulla voit tehdä sen turvallisesti ja myös hallinnoida käyttöoikeuksia.
  • Käytä turvallista tallennustilaa: Moniin salasanojen hallintaohjelmiin voi nykyään tallentaa myös esimerkiksi henkilökohtaisia asiakirjoja, terveystietoja ja valokuvia salatussa muodossa, joten kaikki arkaluontoiset tiedot voi pitää niissä turvassa.

Sanakirjahyökkäyksen estäminen

Sanakirjahakkerointi on hyvin yleinen kyberrikostyyppi, jolla hakkerit pyrkivät pääsemään ihmisten henkilökohtaisille tileille, kuten pankkitileille, sosiaalisen median profiileihin ja sähköpostitileille. Saatuaan pääsyn hakkerit voivat esimerkiksi tehdä taloudellisia petoksia, julkaista haitallisia sosiaalisen median postauksia tai tehdä muita kyberrikoksia, kuten kalastella tietoja. Sanakirjahyökkäksiä voi kuitenkin pyrkiä estämään niinkin yksinkertaisesti kuin ottamalla käyttöön tiettyjä turvatoimia, jotka minimoivat hyökkäysten uhriksi joutumisen todennäköisyyden. Esimerkiksi hyvien salasanojen hallintatapojen, erityyppisten todennusten ja helposti saatavilla olevien salasanojen hallintaohjelmien käyttö voi auttaa pitämään salasanat ja tilit turvassa.

Kaspersky Endpoint Security sai kolme AV-TEST-palkintoa yrityksen päätepisteiden suojaustuotteen parhaasta suorituskyvystä, suojauksesta ja käytettävyydestä vuonna 2021. Kaspersky Endpoint Security osoitti kaikissa testeissä ensiluokkaisen suorituskykynsä, suojaustasonsa ja käytettävyytensä yrityksille.

Aiheeseen liittyviä artikkeleita ja linkkejä:

Aiheeseen liittyvät tuotteet ja palvelut:

Mikä sanakirjahyökkäys on?

Sanakirjahyökkäys on yleinen kyberrikostyyppi, joka voi johtaa tietojen ja yksityisyyden menettämiseen. Lue, miten sanakirjahakkerointi toimii ja miten voit estää sen.
Kaspersky logo

Aiheeseen liittyviä artikkeleita