8 najczęstszych sztuczek używanych do hakowania haseł

8 najczęstszych sztuczek używanych do hakowania haseł

Kiedy słyszysz „naruszenie bezpieczeństwa”, co przychodzi ci na myśl? Złowrogi haker siedzący przed ekranami pokrytymi cyfrowym tekstem w stylu Matrix? Albo nastolatka mieszkającego w piwnicy, który nie widział światła dziennego od trzech tygodni? Co powiesz na potężny superkomputer próbujący zhakować cały świat?





W hakowaniu chodzi o jedno: Twoje hasło. Jeśli ktoś może odgadnąć Twoje hasło, nie potrzebuje wymyślnych technik hakerskich i superkomputerów. Po prostu się zalogują, zachowując się jak ty. Jeśli Twoje hasło jest krótkie i proste, to koniec gry.





Istnieje osiem typowych taktyk stosowanych przez hakerów do włamywania się do Twojego hasła.





1. Słownik Hack

Pierwszym krokiem w powszechnym przewodniku po taktykach hakowania haseł jest atak słownikowy. Dlaczego nazywa się to atakiem słownikowym? Ponieważ automatycznie sprawdza każde słowo ze zdefiniowanego „słownika” z hasłem. Słownik nie jest dokładnie tym, którego używałeś w szkole.

Nie. Ten słownik jest w rzeczywistości małym plikiem zawierającym również najczęściej używane kombinacje haseł. Obejmuje to 123456, qwerty, hasło, iloveyou i wszech czasów klasyczny, hunter2.



Przycisk Windows 10 i wyszukiwanie nie działa

Powyższa tabela zawiera informacje o najczęściej wyciekanych hasłach w 2016 roku. Poniższa tabela zawiera informacje o najbardziej wyciekających hasłach w 2020 roku.

Zwróć uwagę na podobieństwa między nimi i upewnij się, że nie korzystasz z tych niewiarygodnie prostych opcji.





Plusy: Szybko; zazwyczaj odblokowuje niektóre żałośnie chronione konta.

Cons: Nawet nieco silniejsze hasła pozostaną bezpieczne.





Bądź bezpieczny: Użyj silnego hasła jednorazowego dla każdego konta w połączeniu z aplikacja do zarządzania hasłami . Menedżer haseł umożliwia przechowywanie pozostałych haseł w repozytorium. Następnie możesz użyć jednego, absurdalnie silnego hasła dla każdej witryny.

Związane z: Menedżer haseł Google: jak zacząć

2. Brutalna siła

Następnie atak brute force, w którym atakujący próbuje każdej możliwej kombinacji znaków. Próbowane hasła będą zgodne ze specyfikacją reguł złożoności, np. w tym jedną wielką literę, jedną małą literę, dziesiętne liczby Pi, zamówienie pizzy i tak dalej.

Atak brute force spróbuje również najpierw wypróbować najczęściej używane kombinacje znaków alfanumerycznych. Należą do nich wcześniej wymienione hasła, a także 1q2w3e4r5t, zxcvbnm i qwertyuiop. Ustalenie hasła przy użyciu tej metody może zająć bardzo dużo czasu, ale zależy to wyłącznie od złożoności hasła.

Plusy: Teoretycznie złamie każde hasło, próbując każdej kombinacji.

Cons: W zależności od długości i trudności hasła może to zająć bardzo dużo czasu. Dodaj kilka zmiennych, takich jak $, &, { lub ], a ustalenie hasła stanie się niezwykle trudne.

Bądź bezpieczny: Zawsze używaj zmiennej kombinacji znaków i jeśli to możliwe, wprowadzić dodatkowe symbole, aby zwiększyć złożoność .

3. Phishing

Nie jest to wyłącznie „hack”, ale padnięcie ofiarą phishingu lub spear phishingu zazwyczaj źle się kończy. Ogólne wiadomości phishingowe wysyłane przez miliardy do wszystkich użytkowników Internetu na całym świecie.

Wiadomość phishingowa zazwyczaj działa tak:

  1. Użytkownik docelowy otrzymuje sfałszowaną wiadomość e-mail, która rzekomo pochodzi z dużej organizacji lub firmy.
  2. Sfałszowany e-mail wymaga natychmiastowej uwagi i zawiera link do strony internetowej.
  3. Ten link faktycznie łączy się z fałszywym portalem logowania, wyszydzonym tak, aby wyglądał dokładnie tak samo, jak legalna witryna.
  4. Niczego niepodejrzewający użytkownik docelowy wprowadza swoje dane logowania i zostaje przekierowany lub poproszony o ponowną próbę.
  5. Poświadczenia użytkownika są kradzione, sprzedawane lub wykorzystywane w sposób niecny (lub jedno i drugie).

Dzienna ilość spamu wysyłanego na całym świecie pozostaje wysoka, stanowiąc ponad połowę wszystkich wiadomości e-mail wysyłanych na całym świecie. Ponadto liczba szkodliwych załączników jest również wysoka dzięki Kaspersky zauważając ponad 92 miliony szkodliwych załączników od stycznia do czerwca 2020 r. Pamiętaj, że to tylko dla Kaspersky, więc rzeczywista liczba jest znacznie wyższa .

W 2017 roku największą przynętą phishingową była fałszywa faktura. Jednak w 2020 r. pandemia COVID-19 stanowiła nowe zagrożenie phishingiem.

W kwietniu 2020 r., niedługo po tym, jak wiele krajów pogrążyło się w pandemii, Google ogłoszony codziennie blokował ponad 18 milionów złośliwych wiadomości spamowych i phishingowych związanych z COVID-19. Ogromna liczba tych e-maili wykorzystuje oficjalne oznakowanie rządu lub organizacji zdrowia w celu uzyskania legalności i złapania ofiar z zaskoczenia.

Plusy: Użytkownik dosłownie przekazuje swoje dane logowania, w tym hasła — stosunkowo wysoki współczynnik trafień, łatwo dostosowany do konkretnych usług lub konkretnych osób w ataku typu spear-phishing .

Cons: E-maile ze spamem są łatwo filtrowane, domeny spamowe są umieszczane na czarnej liście, a najwięksi dostawcy, tacy jak Google, stale aktualizują zabezpieczenia.

Bądź bezpieczny: Pozostań sceptyczny wobec wiadomości e-mail i zwiększ filtr spamu do najwyższego poziomu lub, jeszcze lepiej, użyj proaktywnej białej listy. Posługiwać się narzędzie do sprawdzania linków do ustalenia jeśli link w wiadomości e-mail jest prawidłowy przed kliknięciem.

4. Inżynieria społeczna

Inżynieria społeczna to zasadniczo phishing w prawdziwym świecie, z dala od ekranu.

Podstawową częścią każdego audytu bezpieczeństwa jest sprawdzenie, co rozumie cała siła robocza. Na przykład firma ochroniarska zadzwoni do firmy, którą kontroluje. „Atakujący” mówi osobie przez telefon, że jest nowym biurowym zespołem pomocy technicznej i potrzebuje najnowszego hasła do czegoś konkretnego.

Niczego niepodejrzewająca osoba może oddać klucze bez chwili zastanowienia.

Przerażające jest to, jak często to działa. Inżynieria społeczna istnieje od wieków. Bycie obłudnym w celu uzyskania dostępu do bezpiecznego obszaru jest powszechną metodą ataku, przed którą chroni tylko edukacja.

Dzieje się tak, ponieważ atak nie zawsze wymaga bezpośredniego podania hasła. Może to być fałszywy hydraulik lub elektryk proszący o wejście do zabezpieczonego budynku i tak dalej.

Kiedy ktoś mówi, że został oszukany w celu ujawnienia hasła, często jest to wynikiem socjotechniki.

Plusy: Wykwalifikowani inżynierowie społeczni mogą wydobyć cenne informacje z różnych celów. Może być stosowany przeciwko prawie każdemu i wszędzie. Jest niezwykle ukradkowy.

Cons: Awaria socjotechniki może wzbudzić podejrzenia co do zbliżającego się ataku i niepewność, czy pozyskiwane są prawidłowe informacje.

Bądź bezpieczny : To jest podchwytliwe. Udany atak socjotechniczny zostanie zakończony, zanim zdasz sobie sprawę, że coś jest nie tak. Edukacja i świadomość bezpieczeństwa to podstawowa taktyka łagodząca. Unikaj publikowania danych osobowych, które mogą być później wykorzystane przeciwko Tobie.

5. Tęczowy stół

Tęczowa tabela jest zwykle atakiem na hasło w trybie offline. Na przykład atakujący zdobył listę nazw użytkowników i haseł, ale są one zaszyfrowane. Zaszyfrowane hasło jest haszowane. Oznacza to, że wygląda zupełnie inaczej niż oryginalne hasło.

Na przykład twoje hasło to (mam nadzieję, że nie!) logmein. Znany skrót MD5 dla tego hasła to „8f4047e3233b39e4444e1aef240e80aa”.

Bełkot do ciebie i do mnie. Ale w niektórych przypadkach atakujący uruchomi listę haseł w postaci zwykłego tekstu za pomocą algorytmu mieszającego, porównując wyniki z zaszyfrowanym plikiem haseł. W innych przypadkach algorytm szyfrowania jest podatny na ataki, a większość haseł jest już złamana, tak jak MD5 (stąd znamy konkretny skrót dla „logmein”).

W tym miejscu tęczowy stół ma swoje własne. Zamiast konieczności przetwarzania setek tysięcy potencjalnych haseł i dopasowywania ich wynikowego skrótu, tęczowa tabela to ogromny zestaw wstępnie obliczonych wartości skrótów specyficznych dla algorytmu.

Korzystanie z tęczowej tabeli drastycznie skraca czas potrzebny do złamania zaszyfrowanego hasła — ale nie jest to idealne rozwiązanie. Hakerzy mogą kupować wstępnie wypełnione tęczowe tabele wypełnione milionami potencjalnych kombinacji.

Plusy: Potrafi znaleźć złożone hasła w krótkim czasie; daje hakerowi dużą władzę nad pewnymi scenariuszami bezpieczeństwa.

Cons: Wymaga ogromnej ilości miejsca do przechowywania ogromnej (czasem terabajtów) tęczowej tabeli. Ponadto atakujący są ograniczeni do wartości zawartych w tabeli (w przeciwnym razie muszą dodać kolejną całą tabelę).

jak oglądać telewizję na moim komputerze

Bądź bezpieczny: Kolejny trudny. Stoły Rainbow oferują szeroki zakres potencjału ofensywnego. Unikaj witryn, które używają SHA1 lub MD5 jako algorytmu haszowania haseł. Unikaj witryn, które ograniczają Cię do krótkich haseł lub ograniczają znaki, których możesz użyć. Zawsze używaj złożonego hasła.

Powiązane: Jak stwierdzić, czy witryna przechowuje hasła jako zwykły tekst (i co robić)

6. Złośliwe oprogramowanie/Keylogger

Innym pewnym sposobem na utratę danych logowania jest wpadnięcie w złośliwe oprogramowanie. Złośliwe oprogramowanie jest wszędzie i może spowodować ogromne szkody. Jeśli wariant złośliwego oprogramowania zawiera keylogger, możesz znaleźć wszystko z Twoich kont zostało naruszone.

Alternatywnie złośliwe oprogramowanie może celować w prywatne dane lub wprowadzić trojana zdalnego dostępu w celu kradzieży danych uwierzytelniających.

Plusy: Tysiące wariantów złośliwego oprogramowania, wiele z możliwością dostosowania, z kilkoma łatwymi metodami dostarczania. Duża szansa, że ​​duża liczba celów ulegnie przynajmniej jednemu wariantowi. Może pozostać niewykryty, umożliwiając dalsze zbieranie prywatnych danych i danych logowania.

Cons: Szansa, że ​​złośliwe oprogramowanie nie będzie działać lub zostanie poddane kwarantannie przed uzyskaniem dostępu do danych; nie ma gwarancji, że dane są przydatne.

Bądź bezpieczny : Instaluj i regularnie aktualizuj swój program antywirusowy i antymalware oprogramowanie. Uważnie rozważ źródła pobierania. Nie klikaj pakietów instalacyjnych zawierających bundleware i nie tylko. Unikaj nikczemnych witryn (łatwiej powiedzieć niż zrobić). Użyj narzędzi do blokowania skryptów, aby zatrzymać złośliwe skrypty.

7. Pająk

Pająk wiąże się z atakiem słownikowym. Jeśli haker atakuje konkretną instytucję lub firmę, może wypróbować serię haseł odnoszących się do samej firmy. Haker może przeczytać i zestawić szereg powiązanych terminów lub użyć pająka wyszukiwania, aby wykonać za nich pracę.

Być może słyszeliście już określenie „pająk”. Te pająki wyszukiwania są bardzo podobne do tych, które przemierzają Internet, indeksując treści dla wyszukiwarek. Niestandardowa lista słów jest następnie używana przeciwko kontom użytkowników w nadziei na znalezienie dopasowania.

Plusy: Może potencjalnie odblokować konta dla osób o wysokiej randze w organizacji. Stosunkowo łatwy do złożenia i dodaje dodatkowy wymiar atakowi słownikowemu.

Cons: Może skończyć się bezowocnie, jeśli zabezpieczenia sieci organizacji są dobrze skonfigurowane.

Bądź bezpieczny: Ponownie używaj tylko silnych, jednorazowych haseł składających się z losowych ciągów; nic nie łączy się z twoją osobą, biznesem, organizacją i tak dalej.

jak wyczyścić dysk windows 10

8. Surfowanie na ramieniu

Ostatnia opcja jest jedną z najbardziej podstawowych. Co się stanie, jeśli ktoś po prostu zajrzy Ci przez ramię podczas wpisywania hasła?

Surfowanie przez ramię brzmi trochę śmiesznie, ale tak się dzieje. Jeśli pracujesz w ruchliwej kawiarni w centrum miasta i nie zwracasz uwagi na otoczenie, ktoś może podejść na tyle blisko, aby zanotować Twoje hasło podczas pisania.

Plusy: Niskotechnologiczne podejście do kradzieży hasła.

Cons: Musi zidentyfikować cel przed ustaleniem hasła; mogą ujawnić się w procesie kradzieży.

Bądź bezpieczny: Podczas wpisywania hasła zachowaj czujność na otoczenie. Zakryj klawiaturę i zasłoń klawisze podczas wprowadzania.

Zawsze używaj silnego, unikalnego, jednorazowego hasła

Jak więc powstrzymać hakera przed kradzieżą hasła? Naprawdę krótka odpowiedź brzmi: nie możesz być naprawdę bezpieczny w 100 procentach . Narzędzia, których hakerzy używają do kradzieży danych, cały czas się zmieniają. Istnieje niezliczona ilość filmów i samouczków na temat odgadywania haseł lub uczenia się, jak włamywać się do hasła.

Jedno jest pewne: używanie silnego, unikalnego, jednorazowego hasła nigdy nikomu nie zaszkodzi.

Udział Udział Ćwierkać E-mail 5 narzędzi do tworzenia haseł do tworzenia silnych haseł i aktualizowania bezpieczeństwa

Utwórz silne hasło, które będziesz później pamiętać. Użyj tych aplikacji, aby zwiększyć swoje bezpieczeństwo dzięki nowym silnym hasłom już dziś.

Czytaj dalej
Powiązane tematy
  • Bezpieczeństwo
  • Wskazówki dotyczące hasła
  • Bezpieczeństwo w Internecie
  • Hakerstwo
  • Wskazówki dotyczące bezpieczeństwa
O autorze Gavin Phillips(945 opublikowanych artykułów)

Gavin jest młodszym redaktorem ds. Windows i technologii, stałym współpracownikiem podcastu Really Useful i regularnym recenzentem produktów. Posiada tytuł licencjata (z wyróżnieniem) współczesnego pisania z praktykami sztuki cyfrowej splądrowanej ze wzgórz Devon, a także ponad dziesięcioletnie doświadczenie zawodowe w pisaniu. Lubi obfite ilości herbaty, gry planszowe i piłkę nożną.

Więcej od Gavina Phillipsa

Zapisz się do naszego newslettera

Dołącz do naszego newslettera, aby otrzymywać porady techniczne, recenzje, bezpłatne e-booki i ekskluzywne oferty!

Kliknij tutaj, aby zasubskrybować