Разбирането на техниките за пробиване на пароли, които хакерите използват, за да отворят широко вашите онлайн акаунти, е чудесен начин да гарантирате, че никога няма да ви се случи.
Със сигурност винаги ще трябва да променяте паролата си, а понякога и по -спешно, отколкото си мислите, но смекчаването срещу кражба е чудесен начин да останете на върха на сигурността на профила си. Винаги можете да отидете на www.haveibeenpwned.com, за да проверите дали сте изложени на риск, но просто мисленето, че паролата ви е достатъчно сигурна, за да не бъде хакната, е лошо мислене.
Така че, за да ви помогнем да разберете как хакерите получават вашите пароли-защитени или по друг начин-ние съставихме списък с първите десет техники за разбиване на пароли, използвани от хакерите. Някои от методите по -долу със сигурност са остарели, но това не означава, че все още не се използват. Прочетете внимателно и научете срещу какво да се смекчите.
Десетте най-добри техники за разбиване на пароли, използвани от хакерите
1. Атака на речника
Атаката в речника използва прост файл, съдържащ думи, които могат да бъдат намерени в речника, оттук и неговото доста просто име. С други думи, тази атака използва точно думите, които много хора използват като парола.
Умно групиране на думи като „letmein“ или „superadministratorguy“ няма да попречи на паролата ви да бъде пробита по този начин - добре, не за повече от няколко допълнителни секунди.
2. Brute Force Attack
Подобно на атаката в речника, атаката с груба сила идва с допълнителен бонус за хакера. Вместо просто да използват думи, атаката с груба сила им позволява да откриват думи без речник, като работят чрез всички възможни буквено-цифрови комбинации от aaa1 до zzz10.
Това не е бързо, при условие че паролата ви е над шепа знаци, но в крайна сметка ще разкрие паролата ви. Атаките с груба сила могат да бъдат съкратени чрез добавяне на допълнителни изчислителни конски сили, както по отношение на процесорната мощност - включително използване на мощността на графичния процесор на вашата видеокарта - така и на номерата на машините, като например използване на разпределени изчислителни модели като онлайн биткойн миньори.
3. Rainbow Table Attack
Масите Rainbow не са толкова цветни, колкото подсказва името им, но за хакер паролата ви може да е в края му. По възможно най-ясния начин можете да свалите таблицата на дъгата в списък с предварително изчислени хешове-числовата стойност, използвана при шифроване на парола. Тази таблица съдържа хешове на всички възможни комбинации от пароли за всеки даден алгоритъм за хеширане. Масите Rainbow са атрактивни, тъй като намаляват времето, необходимо за разбиване на хеш на парола, за да се търси просто нещо в списък.
Дъговите маси обаче са огромни, тромави неща. Те се нуждаят от сериозни изчислителни мощности за изпълнение и таблица става безполезна, ако хешът, който се опитва да намери, е „осолен“ чрез добавяне на случайни символи към паролата си преди хеширането на алгоритъма.
Говори се за съществуващи солени дъгови маси, но те биха били толкова големи, че да бъдат трудни за използване на практика. Те вероятно биха работили само с предварително дефиниран набор от „произволни символи“ и низове на пароли под 12 знака, тъй като в противен случай размерът на таблицата би бил непосилен дори за хакери на държавно ниво.
4. Фишинг
Има лесен начин да хакнете, да попитате потребителя за неговата парола. Фишинг имейл отвежда нищо неподозиращия читател до измамена страница за вход, свързана с каквато и услуга, до която хакерът иска да получи достъп, обикновено като поиска от потребителя да отстрани някакъв ужасен проблем с тяхната сигурност. След това тази страница прехвърля паролата им и хакерът може да я използва за собствени цели.
Защо да си правите труда да пробиете паролата, когато потребителят така или иначе с радост ще ви я даде?
5. Социално инженерство
Социалното инженерство отнема цялата концепция „попитайте потребителя“ извън входящата поща, която фишингът има тенденция да се придържа към и в реалния свят.
Любимец на социалния инженер е да се обади в офис, представящ се за специалист по ИТ сигурност и просто да поиска паролата за достъп до мрежата. Ще се изненадате колко често това работи. Някои дори имат необходимите полови жлези, за да носят костюм и значка, преди да влязат в бизнес, за да зададат същия въпрос лице в лице на рецепционистката.
6. Зловреден софтуер
Keylogger или екранен скрепер може да бъде инсталиран от злонамерен софтуер, който записва всичко, което въвеждате или прави екранни снимки по време на процеса на влизане, и след това препраща копие от този файл до централата на хакера.
Някои злонамерени програми ще търсят наличието на файл с парола на клиент на уеб браузър и ще копират този, който, освен ако не е правилно шифрован, ще съдържа лесно достъпни запазени пароли от историята на сърфиране на потребителя.
7. Офлайн напукване
Лесно е да си представим, че паролите са безопасни, когато защитените от тях системи блокират потребителите след три или четири грешни предположения, блокирайки приложенията за автоматизирано отгатване. Е, това би било вярно, ако не беше фактът, че повечето хакерски атаки се извършват офлайн, като се използва набор от хешове във файл с парола, който е „получен“ от компрометирана система.
Често въпросната цел е била компрометирана чрез хакване на трета страна, което след това осигурява достъп до системните сървъри и тези важни хеш файлове на потребителска парола. След това разбиването на пароли може да отнеме толкова време, колкото е необходимо, за да се опитат да разбият кода, без да предупреждават целевата система или отделния потребител.
8. Рамен сърф
Друга форма на социално инженерство, сърфирането през рамо, точно както предполага, води до надникване през раменете на човек, докато той въвежда идентификационни данни, пароли и т.н. Въпреки че концепцията е много ниска технология, ще се изненадате колко пароли и чувствителна информация е откраднат по този начин, така че бъдете наясно с обкръжението си, когато осъществявате достъп до банкови сметки и т.н. в движение.
Най -уверените от хакерите ще поемат прикритието на куриер за колети, техник за обслужване на климатици или нещо друго, което им дава достъп до офис сграда. След като са влезли, „униформата” на обслужващия персонал осигурява един вид безплатен пропуск, за да се разхождате безпрепятствено и да отбелязвате пароли, въведени от истински членове на персонала. Той също така предоставя отлична възможност да разгледате всички онези бележки след него, залепени в предната част на LCD екраните с надписи, изписани върху тях.
9. Паяк
Находчивите хакери осъзнаха, че много корпоративни пароли се състоят от думи, които са свързани със самия бизнес. Изучаването на корпоративна литература, материали за продажби на уебсайтове и дори уебсайтовете на конкуренти и регистрирани клиенти могат да предоставят боеприпасите за изграждане на персонализиран списък с думи, който да се използва при атака с груба сила.
Наистина разбирани хакери са автоматизирали процеса и са пуснали приложение за паяци, подобно на уеб роботите, използвани от водещи търсачки за идентифициране на ключови думи, събиране и съпоставяне на списъците за тях.
10. Познайте
Най -добрият приятел на хакерите за пароли, разбира се, е предвидимостта на потребителя. Освен ако не е създадена наистина случайна парола с помощта на софтуер, предназначен за задачата, генерираната от потребителя „произволна“ парола е малко вероятно да бъде нещо подобно.
Вместо това, благодарение на емоционалната привързаност на мозъка ни към нещата, които харесваме, има вероятност тези случайни пароли да се основават на нашите интереси, хобита, домашни любимци, семейство и т.н. Всъщност паролите обикновено се основават на всички неща, за които обичаме да разговаряме в социалните мрежи и дори включваме в профилите си. Крекерите на пароли са много склонни да разгледат тази информация и да направят няколко-често правилни-предположения, когато се опитват да пробият парола на потребителско ниво, без да прибягват до речникови или груби атаки.
Други атаки, от които трябва да се пазите
Ако на хакерите им липсва нещо, това не е творчество. Използвайки различни техники и се адаптирайки към постоянно променящите се протоколи за сигурност, тези престъпници продължават да успяват.
Например всеки в социалните медии вероятно е виждал забавните викторини и шаблони, които ви молят да говорите за първата си кола, любимата си храна, песен номер едно на 14 -ия си рожден ден. Въпреки че тези игри изглеждат безобидни и със сигурност са забавни за публикуване, те всъщност са отворен шаблон за въпроси за сигурност и отговори за проверка на достъпа до акаунта.
Когато създавате акаунт, може би опитайте да използвате отговори, които всъщност не се отнасят до вас, но които лесно можете да запомните. - Коя беше първата ти кола? Вместо да отговаряте истинно, вместо това поставете мечтаната кола. В противен случай просто не публикувайте отговори за сигурност онлайн.
Друг начин да получите достъп е просто да зададете нова парола. Най -добрата линия на защита срещу престъпник, който възстановява паролата ви, е да използвате имейл адрес, който проверявате често и да актуализирате данните си за контакт. Ако е налично, винаги активирайте двуфакторно удостоверяване. Дори ако хакерът научи вашата парола, той няма достъп до акаунта без уникален код за потвърждение.
често задавани въпроси
Защо се нуждая от различна парола за всеки сайт?
Вероятно знаете, че не трябва да давате паролите си и не трябва да изтегляте съдържание, което не сте запознати, но какво ще кажете за акаунтите, в които влизате всеки ден? Да предположим, че използвате същата парола за банковата си сметка, която използвате за произволна сметка като Grammarly. Ако Grammarly е хакнат, тогава потребителят също има вашата банкова парола (и евентуално вашия имейл, което улеснява още повече достъпа до всички ваши финансови ресурси).
Какво мога да направя, за да защитя акаунтите си?
Използването на 2FA във всички акаунти, които предлагат тази функция, използването на уникални пароли за всеки акаунт и комбинация от букви и символи е най -добрата линия на защита срещу хакери. Както бе посочено по-горе, има много различни начини, по които хакерите получават достъп до вашите акаунти, така че други неща, които трябва да сте сигурни, че правите редовно, са да актуализирате вашия софтуер и приложения (за кръпки за сигурност) и избягвайте изтеглянията, които не сте запознати.
Кой е най -сигурният начин за запазване на пароли?
Поддържането на няколко уникално странни пароли може да бъде невероятно трудно. Въпреки че е много по-добре да преминете през процеса на нулиране на паролата, отколкото да компрометирате акаунтите си, това отнема много време. За да запазите паролите си в безопасност, можете да използвате услуга като Last Pass или KeePass, за да запазите всички пароли за вашия акаунт.
Можете също да използвате уникален алгоритъм, за да запазите паролите си, като същевременно ги направите по -лесни за запомняне. Например PayPal може да бъде нещо като hwpp+c832. По същество тази парола е първата буква от всяко прекъсване в URL адреса (//www.paypal.com) с последното число в годината на раждане на всички в дома ви (само като пример). Когато влезете в акаунта си, прегледайте URL адреса, който ще ви даде първите няколко букви от тази парола.
Добавете символи, за да направите паролата ви още по -трудна за хакване, но ги организирайте така, че да се запомнят по -лесно. Например символът „+“ може да бъде за всички акаунти, свързани с развлечения, докато „!“ може да се използва за финансови сметки.
