Разбирането на техниките за взлом на пароли, които хакерите използват, за да раздухат широко отворените ви онлайн акаунти, е чудесен начин да гарантирате, че никога няма да ви се случи.
как да форматирате cd r
Със сигурност винаги ще трябва да промените паролата си, а понякога и по-спешно, отколкото си мислите, но смекчаването срещу кражба е чудесен начин да останете на върха на сигурността на вашия акаунт. Винаги можете да се насочите към www.haveibeenpwned.com за да проверите дали сте изложени на риск, но просто да мислите, че паролата ви е достатъчно сигурна, за да не бъдете хакнати, е лошо мислене.
И така, за да ви помогнем да разберете как хакерите получават паролите ви - защитени или по друг начин - ние съставихме списък с първите десет техники за разбиване на пароли, използвани от хакерите. Някои от методите по-долу със сигурност са остарели, но това не означава, че все още не се използват. Прочетете внимателно и научете срещу какво да се смекчите.
Десетте най-добри техники за взлом на пароли, използвани от хакерите
1. Речник атака
Речниковата атака използва прост файл, съдържащ думи, които могат да бъдат намерени в речник, откъдето идва и доста простото му име. С други думи, тази атака използва точно вида думи, които много хора използват като своя парола.
Умното групиране на думи заедно, като letmein или superadministratorguy, няма да попречи на вашата парола да бъде взломена по този начин - добре, не повече от няколко допълнителни секунди.
2. Атака с груба сила
Подобно на атаката на речника, атаката с груба сила идва с допълнителен бонус за хакера. Вместо просто да използва думи, атаката с груба сила им позволява да откриват неречникови думи, като работят чрез всички възможни буквено-цифрови комбинации от aaa1 до zzz10.
Не е бърз, при условие че паролата ви е над шепа знаци, но в крайна сметка ще разкрие паролата ви. Атаките с груба сила могат да бъдат съкратени, като се хвърлят допълнителни изчислителни конски сили, както по отношение на процесорната мощност - включително използване на мощността на видеокартата на вашата видеокарта - така и на машинните номера, като например използване на разпределени изчислителни модели като онлайн биткойн миньори.
3. Атака на дъгата
Масите на Rainbow не са толкова цветни, колкото може да се подразбира от името им, но за хакери паролата ви може да е в края му. По възможно най-ясния начин можете да свалите дъговата таблица в списък с предварително изчислени хешове - числовата стойност, използвана при криптиране на парола. Тази таблица съдържа хешове на всички възможни комбинации от пароли за даден алгоритъм за хеширане. Таблиците Rainbow са привлекателни, тъй като намаляват времето, необходимо за разбиване на хеш парола, само за да търсите нещо в списъка.
Масите на дъгата обаче са огромни, тромави неща. Те се нуждаят от сериозна изчислителна мощност, за да стартират и таблицата става безполезна, ако хешът, който се опитва да намери, е посолен чрез добавяне на случайни знаци към паролата си преди хеширането на алгоритъма.
Говори се за съществуващи солени дъгови маси, но те биха били толкова големи, че да бъдат трудни за използване на практика. Те вероятно биха работили само с предварително дефиниран набор от произволни символи и низове на пароли под 12 знака, тъй като в противен случай размерът на таблицата би бил непосилен дори за хакери на държавно ниво.
4. Фишинг
Има лесен начин за хакване, попитайте потребителя за неговата парола. Фишинг имейл води нищо неподозиращия читател до фалшива страница за влизане, свързана с каквато и услуга, до която хакерът иска да осъществи достъп, обикновено като поиска от потребителя да отстрани някакъв ужасен проблем със сигурността си. След това тази страница променя паролата им и хакерът може да я използва за собствени цели.
Защо да си правим труда да пробием паролата, когато потребителят все пак с радост ще ви я даде?
5. Социално инженерство
Социалното инженерство извежда цялостната концепция за потребител извън входящата поща, която фишингът обикновено се придържа към и в реалния свят.
Любимо на социалния инженер е да се обади в офис, представящ се за техник за ИТ сигурност и просто да поиска парола за достъп до мрежата. Ще бъдете изумени колко често работи това. Някои дори разполагат с необходимите полови жлези, за да облекат костюм и значка с име, преди да влязат в бизнес, за да зададат на рецепцията същия въпрос лице в лице.
6. Зловреден софтуер
Keylogger или скрепер за екран може да бъде инсталиран от злонамерен софтуер, който записва всичко, което въвеждате или прави екранни снимки по време на процеса на влизане, и след това препраща копие на този файл в хакерския център.
Някои злонамерени програми ще търсят съществуването на файл с парола за клиент на уеб браузър и ще копират този, който, освен ако не е правилно кодиран, ще съдържа лесно достъпни запазени пароли от историята на сърфиране на потребителя.
7. Офлайн крекинг
Лесно е да си представим, че паролите са безопасни, когато системите, които те защитават, блокират потребителите след три или четири грешни предположения, блокирайки автоматични приложения за отгатване. Е, това би било вярно, ако не беше фактът, че повечето хакване на пароли се извършват офлайн, като се използва набор от хешове във файл с парола, който е „получен“ от компрометирана система.
Често въпросната цел е компрометирана чрез хакване на трета страна, която след това осигурява достъп до системните сървъри и тези най-важни хеш файлове на потребителската парола. Тогава програмата за разбиване на пароли може да отнеме толкова дълго, колкото е необходимо, за да опита да пробие кода, без да предупреждава целевата система или отделен потребител.
8. Сърфиране през рамо
Друга форма на социално инженерство, сърфирането през рамо, точно както предполага, наднича над раменете на човек, докато той въвежда идентификационни данни, пароли и др. Въпреки че концепцията е много нискотехнологична, бихте се изненадали колко пароли и чувствителна информация е откраднат по този начин, така че бъдете наясно със заобикалящата ви среда при достъп до банкови сметки и др. в движение.
Най-уверените от хакерите ще приемат маската на куриер на колети, техник за обслужване на въздуха или каквото и да било друго, което им дава достъп до офис сграда. След като влязат, униформата на обслужващия персонал предоставя един вид безплатна карта за безпрепятствено скитане и отбелязване на паролите, въведени от истински членове на персонала. Той също така предоставя отлична възможност да очите всички онези бележки след нея, залепени в предната част на LCD екраните с надписи върху тях.
9. Паяк
Опитните хакери осъзнаха, че много корпоративни пароли са съставени от думи, които са свързани със самия бизнес. Изучаването на корпоративна литература, материали за продажби на уебсайтове и дори уебсайтове на конкуренти и клиенти в списъка може да осигури боеприпаси за създаване на персонализиран списък с думи, който да се използва при атака с груба сила.
Наистина разумни хакери автоматизират процеса и пускат приложение за паяци, подобно на уеб роботите, използвани от водещи търсачки, за да идентифицират ключови думи, да събират и съпоставят списъците за тях.
10. Познай
Най-добрият приятел на взломниците на пароли, разбира се, е предвидимостта на потребителя. Освен ако не е създадена наистина случайна парола с помощта на софтуер, посветен на задачата, генерирана от потребителя „случайна“ парола е малко вероятно да бъде нещо подобно.
Вместо това, благодарение на емоционалната привързаност на мозъка ни към неща, които харесваме, шансовете са тези случайни пароли да се основават на нашите интереси, хобита, домашни любимци, семейство и т.н. Всъщност паролите са склонни да се основават на всички неща, за които обичаме да си говорим в социалните мрежи и дори да ги включваме в нашите профили. Пакетите за разбиване на пароли са много склонни да разгледат тази информация и да направят няколко - често правилни - образовани предположения, когато се опитват да пробият парола на потребителско ниво, без да прибягват до речникови или груби атаки.
Други атаки, от които да се пазите
Ако хакерите нямат нищо, това не е креативност. Използвайки разнообразни техники и приспособявайки се към постоянно променящите се протоколи за сигурност, тези интерлопери продължават да успеят.
Например, всеки в социалните медии вероятно е виждал забавните викторини и шаблони, които ви молят да говорите за първата си кола, любимата си храна и песен номер едно на 14-ия си рожден ден. Въпреки че тези игри изглеждат безобидни и със сигурност са забавни за публикуване, те всъщност са отворен шаблон за въпроси за сигурност и отговори за проверка на достъпа до акаунти.
Когато създавате акаунт, може би опитайте да използвате отговори, които всъщност не се отнасят до вас, но които лесно можете да запомните. Коя беше първата ти кола? Вместо да отговорите честно, вместо това поставете мечтаната от вас кола. В противен случай просто не публикувайте отговори за сигурност онлайн.
Друг начин за получаване на достъп е просто нулиране на паролата ви. Най-добрата линия на защита срещу interloper, който рестартира паролата ви, е да използвате имейл адрес, който проверявате често, и да поддържате информацията за контакт актуализирана. Ако е налично, винаги разрешавайте двуфакторно удостоверяване. Дори ако хакерът научи паролата ви, той няма достъп до акаунта без уникален код за потвърждение.
често задавани въпроси
Защо се нуждая от различна парола за всеки сайт?
Вероятно знаете, че не трябва да издавате паролите си и не трябва да изтегляте съдържание, с което не сте запознати, но какво ще кажете за акаунтите, в които влизате всеки ден? Да предположим, че използвате същата парола за банковата си сметка, която използвате за произволна сметка като Grammarly. Ако Grammarly е хакнат, потребителят има и вашата банкова парола (и евентуално вашата електронна поща, което прави още по-лесно получаването на достъп до всички ваши финансови ресурси).
Какво мога да направя, за да защитя акаунтите си?
Използването на 2FA за всички акаунти, които предлагат функцията, използване на уникални пароли за всеки акаунт и използване на комбинация от букви и символи е най-добрата линия за защита срещу хакери. Както беше посочено по-рано, има много различни начини, по които хакерите получават достъп до вашите акаунти, така че други неща, които трябва да сте сигурни, че правите редовно, са да поддържате софтуера и приложенията си актуални (за корекции за сигурност) и избягване на всякакви изтегляния, с които не сте запознати.
Кой е най-безопасният начин за запазване на пароли?
Поддържането на няколко уникално странни пароли може да бъде невероятно трудно. Въпреки че е много по-добре да преминете през процеса на нулиране на паролата, отколкото да имате компрометирани акаунти, това отнема много време. За да запазите паролите си в безопасност, можете да използвате услуга като Last Pass или KeePass, за да запазите всичките си пароли за акаунта.
Можете също така да използвате уникален алгоритъм, за да запазите паролите си, като същевременно ги улесните за запомняне. Например PayPal може да бъде нещо като hwpp + c832. По същество тази парола е първата буква от всяко прекъсване в URL адреса (https://www.paypal.com) с последното число в годината на раждане на всички в дома ви (само като пример). Когато отидете да влезете в акаунта си, прегледайте URL адреса, който ще ви даде първите няколко букви от тази парола.
Добавете символи, за да направите вашата парола още по-трудна за хакване, но ги организирайте, така че да бъдат по-лесни за запомняне. Например, символът + може да бъде за всички акаунти, свързани със забавление, докато! може да се използва за финансови сметки.
