Parolele organizațiilor românești sunt vulnerabile din cauza listelor de termeni colectați din comunicarea publică, arată specialiști în securitate IT. În timp ce reguli clasice de complexitate nu protejează împotriva celor care exploatează vocabularul intern, atacurile țintite reușesc frecvent datorită acestor liste.
De unde provin listele de cuvinte țintite și de ce sunt eficiente
Atacatorii colectează termeni din website-uri oficiale, pagini de carieră, documentație și comunicate ale organizațiilor. Pentru extragere se folosesc instrumente precum CeWL, care parcurg conținutul online și identifică cuvinte relevante, inclusiv acronime și denumiri interne.
Listele includ nume de produse, termeni de proiect, denumiri de locații sau expresii dăltuite în rutina zilnică a angajaților. Echipa umană ajută la reducerea entropiei parolelor, deoarece termenii des folosiți sunt mai probabili de a fi incluși.
Cum fac atacatorii să transforme cuvintele publice în parole plauzibile
După colectare, listelor li se aplică reguli de mutație. Se adaugă cifre, se alternează majusculele, se înlocuiesc litere cu simboluri, se adaugă ani sau sufixe sezoniere. Astfel, apar milioane de variante precum „NumeSpital2026!”, „SpitalNume#1” sau „Cardio2025!”.
Aceste variații încap în filtrele de complexitate, chiar dacă păstrează o relație apropiată de termenii autentici. Prin testare repetată cu instrumente precum Hashcat, parolele pot fi sparte rapid și eficient, fiind chiar mai ușor pentru atacatori să le ghicească în cazul breșelor care conțin și hash-uri.
De ce regulile tradiționale de complexitate sunt insuficiente
Standardele vechi cer minimum 8 caractere, o majusculă, o cifră și un simbol. Dar aceste cerințe asigură doar forma, nu și imprevizibilitatea parolei. În cazul în care parola derivă din termeni contextuali, aceste reguli nu o fac rezistentă.
Multe organizații implementează politici stricte, dar utilizatorii reciclează și modifică parola pentru a o memora. În lipsa unor controale care să blocheze termenii specifici organizației, parolele devin ușor de spart.
Soluții pentru reducerea riscului real
Primul pas este excluderea explicită a parolelor bazate pe nume de companie, produse sau acronime interne. În plus, trebuie utilizate dicționare de excludere personalizate, actualizate conform vocabularului public al organizației.
Recomandarea este de a verifica permanent dacă parolele sunt compromise și de a evita reutilizarea credentialelor scurse. Lungimea recomandată pentru parole este de minimum 15 caractere, preferabil sub formă de passphrase, pentru a oferi o protecție reală.
Autentificarea multifactor (MFA) trebuie implementată pe toate punctele critice, precum logon-ul Windows, VPN, RDP sau aplicații externe, pentru a limita impactul unui potențial compromis de parole.
Ce trebuie schimbat imediat în politicile de securitate
Organizațiile trebuie să trateze politica de parole ca pe un control activ, adaptat la metodele atacatorilor. Este crucială o inventariere rapidă a termenilor sensibili, actualizarea listelor de blocare, extinderea lungimii maxime și validarea împotriva bazelor de credentiale compromise.
Controlul continuu asupra parolelor active și testarea periodică a resistenței sunt de asemenea esențiale. La toate nivelurile critice, se recomandă implementarea și extinderea MFA și realizarea de simulări de atac bazate pe metoda wordlist-urilor țintite.
Pentru organizații, detaliile arată clar că atacatorii nu trebuie să apeleze la AI sofisticat pentru a compromite parolele slabe. Pericolul major vine din modul în care politicele și practicile de securitate rămân învechite și nestructurate pentru noile tipuri de atacuri.