Parolele „complexe” nu mai înseamnă neapărat securitate reală: de ce abordarea clasică e depășită
La un nivel fundamental, conceptul de securitate IT se reduce adesea la reguli de parole. Însă, realitatea din teren arată că aceste măsuri, în special cele bazate pe reguli de complexitate, pot fi iluzorii și de multe ori insuficiente. În ciuda recomandărilor universal acceptate, mulți utilizatori, pentru a ține pasul cu normele, aleg parole heuristice: denumirea companiei, abrevierea departamentului, câteva cifre și semne de punctuație. Rezultatul pare în siguranță pe hârtie, dar devine simplu de spart pentru atacatori bine pregătiți, mai ales când aceștia știu cum să construiască liste de parole țintite, din vocabularul intern al organizației.
Originea și pericolul listelor de cuvinte țintite
Ideea este simplă: atacatorii nu ghicesc parolele aleator, ci construiesc liste foarte relevante, bazate pe vocabularul folosit în mod uzual în organizație. Înainte să folosească un dicționar general, ei colectează termeni din comunicarea publică a companiei – descrieri, pagini de carieră, documentație tehnică și comunicări interne. Software precum CeWL (Custom Word List generator) parcurge site-urile și documentele publice, extrăgând cuvinte cheie: nume de produse, acronime, termeni specifici industriei și locații, toate reprezentând punctul de plecare pentru construirea parolelor.
Această metodă este surprinzător de eficientă, nu pentru că ar fi tehnic sofisticată, ci pentru că are în vedere comportamentul psihologic al utilizatorilor. Dacă același nume de produs sau termen intern apare frecvent în discursul zilnic, există o probabilitate mare ca angajatii să includă aceste cuvinte în parole, eventual cu modificări minime, precum adăugarea unui an sau simbol. În plus, atacatorii nu trebuie să depășească limitele brute ale unui dicționar generic, ci să folosească liste personalizate adaptate vocabularului organizației.
Mutațiile care fac parolele vulnerabile
După identificarea bazei, pasul următor este aplicarea unor reguli de mutație pentru a genera milioane de versiuni ale parolelor. Structuri simple, precum adăugarea cifrelor la final, schimbarea literelor cu simboluri sau introducerea unor sufixe sezoniere, creează variante care respectă criteriile de complexitate. Problema e că, în contextul organizației, aceste parole „complexe” devin previzibile. Spre exemplu, o instituție medicală cu nume public cunoscut poate avea parole precum „NumeSpital2026!” sau „Cardio2025!”, pe care cei interesați le testează rapid cu ajutorul unor liste țintite, construite din vocabularul public și intern.
Aceasta înseamnă că, dacă un atacator are acces la hash-urile de parole sau la breșe anterioare cu parole compromise, șansele de a le sparge cresc considerabil. Instrumente precum Hashcat pot aplica reguli de mutație pe scară largă, iar în mediul online, infractorii folosesc tactici de încercare lentă, distribuită pe timp, pentru a evita detectarea.
De ce standardele clasice de parole sunt ineficiente
De-a lungul anilor, mulți specialiști au recomandat reguli simple: cel puțin 8 caractere, cel puțin o literă mare, o cifră și un simbol. Problema este că aceste reguli condiționează forma parolei, nu și imprevizibilitatea ei. O parolă cu aspect regulat, chiar dacă e conformă, poate fi extrem de vulnerabilă dacă se bazează pe termenii specifici organizației. Prin urmare, separarea între „parola validă” și „parola rezistentă” devine crucială.
De multe ori, utilizatorii, sub presiunea de a respecta politicile, reciclează parola sau o modifică ușor, fără a deveni mai greu de spart. Regulile rigide, în acest caz, devin invadibile dacă nu sunt însoțite de controale suplimentare, precum filtrarea termenilor contextual specific și verificarea parolelor împotriva celor expuse public.
Un adevărat nou început în politica de securitate
Pentru a contracara aceste amenințări, organizațiile trebuie să abordeze o politică de parole mai realistă și adaptată specificului intern. În primul rând, trebuie interzise explicit parolele derive din vocabularul organizației: nume de produse, servicii, locații, acronime, toate acestea trebuie excluse din lista de parole permise. În plus, controlul parolelor been compromis trebuie făcut constant, pentru a evita reutilizarea parola scurse în breșe anterioare.
De asemenea, accentul trebuie mutat pe lungimea și imprevizibilitatea parolelor: frazele lungi, neasociate direct cu organizația, fiind o alternativă mai sigură decât combinațiile artificiale. Nu în ultimul rând, autentificarea multifactor (MFA) devine absolut obligatorie, reducând drastic riscul în cazul unui compromis de parolă.
Ce ar trebui să rețină orice administrator de sistem este că atacatorii nu mai trebuie de mult AI ca să spargă parole slabe. Ei știu că soluția eficientă nu e doar să înveți reguli stricte, ci să înțelegi comportamentul real și contextul în care parolele sunt create. În lumea reală, protecția adevărată începe cu o întrebare simplă dar incomodă: parolele tale sunt cu adevărat greu de ghicit în contextul organizației tale? Dacă răspunsul nu e clar, riscul nu întârziază să apară.
