8 -те най -често срещани трика, използвани за хакване на пароли

8 -те най -често срещани трика, използвани за хакване на пароли

Когато чуете „нарушение на сигурността“, какво ви идва на ум? Злостен хакер, седнал пред екрани, покрити с цифров текст в стил Матрица? Или тийнейджър в мазе, който не е виждал дневна светлина от три седмици? Какво ще кажете за мощен суперкомпютър, който се опитва да хакне целия свят?





Хакерството е свързано с едно: вашата парола. Ако някой може да познае паролата ви, той не се нуждае от фантастични техники за хакерство и суперкомпютри. Те просто ще влязат, действайки като вас. Ако вашата парола е кратка и проста, играта приключи.





Има осем общи тактики, които хакерите използват, за да хакнат паролата ви.



1. Речник Hack

Първо в общото ръководство за тактики за хакване на парола е атаката в речника. Защо се нарича атака по речник? Тъй като автоматично изпробва всяка дума в дефиниран „речник“ срещу паролата. Речникът не е строго този, който сте използвали в училище.

Не. Този речник всъщност е малък файл, съдържащ и най -често използваните комбинации от пароли. Това включва 123456, qwerty, парола, iloveyou и класика за всички времена, hunter2.



уебсайтове, които ви позволяват да гледате филми безплатно

Таблицата по -горе описва най -много изтекли пароли през 2016 г. Таблицата по -долу описва най -много изтекли пароли през 2020 г.

Обърнете внимание на приликите между двете - и се уверете, че не използвате тези невероятно прости опции.





Професионалисти: Бърз; обикновено ще отключва някои ужасно защитени акаунти.

Минуси: Дори малко по -силните пароли ще останат сигурни.





Пази се: Използвайте силна парола за еднократна употреба за всеки акаунт, заедно с приложение за управление на пароли . Мениджърът на пароли ви позволява да съхранявате другите си пароли в хранилище. След това можете да използвате една, нелепо силна парола за всеки сайт.

Свързани: Google Password Manager: Как да започнете

2. Груба сила

Следва атаката с груба сила, при която нападателят опитва всяка възможна комбинация от символи. Опитаните пароли ще съответстват на спецификациите за правилата за сложност, напр. включително една главна буква, една малка буква, десетични знаци на Pi, вашата поръчка за пица и т.н.

Атаката с груба сила също ще опита първо най -често използваните буквено -цифрови символни комбинации. Те включват изброените по -рано пароли, както и 1q2w3e4r5t, zxcvbnm и qwertyuiop. Разбирането на парола с този метод може да отнеме много време, но това зависи изцяло от сложността на паролата.

Професионалисти: Теоретично, той ще разбие всяка парола, като изпробва всяка комбинация.

Минуси: В зависимост от дължината на паролата и трудността, това може да отнеме изключително дълго време. Въведете няколко променливи като $, &, {, или] и определянето на паролата става изключително трудно.

Пази се: Винаги използвайте променлива комбинация от знаци и когато е възможно, въведете допълнителни символи, за да увеличите сложността .

3. Фишинг

Това не е строго „хакване“, но жертвата на опит за фишинг или фишинг с копие обикновено завършва зле. Общи имейли за фишинг, изпращани от милиардите на всички видове интернет потребители по целия свят.

Фишинг имейл обикновено работи по следния начин:

  1. Целевият потребител получава подправен имейл, за който се твърди, че е от голяма организация или бизнес.
  2. Измаменият имейл изисква незабавно внимание, включващ връзка към уебсайт.
  3. Тази връзка всъщност се свързва с фалшив портал за вход, маскиран да изглежда точно същият като легитимния сайт.
  4. Нищо неподозиращият целеви потребител въвежда своите идентификационни данни за вход и е или пренасочен, или му е казано да опита отново.
  5. Удостоверенията на потребителите се крадат, продават или използват злонамерено (или и двете).

Дневният обем на спама, изпращан в световен мащаб, остава висок и представлява над половината от всички имейли, изпратени в световен мащаб. Освен това обемът на злонамерени прикачени файлове също е голям при Kaspersky отбелязвайки над 92 милиона злонамерени прикачени файлове от януари до юни 2020 г. Не забравяйте, че това е само за Kaspersky, така че реалното число е много по -високо .

През 2017 г. най -голямата фишинг примамка беше фалшива фактура. Въпреки това през 2020 г. пандемията COVID-19 предостави нова фишинг заплаха.

През април 2020 г., не след дълго много държави изпаднаха в блокиране на пандемията, Google обявено той блокираше над 18 милиона имейл със злонамерен спам и фишинг на тема COVID-19. Огромният брой от тези имейли използват официалната марка на правителството или здравната организация за легитимност и улавят жертвите неочаквано.

Професионалисти: Потребителят буквално предава своята информация за вход, включително пароли-относително висока честота на посещения, лесно приспособена за конкретни услуги или конкретни хора в атака с фишинг с копие.

Минуси: Спам имейлите се филтрират лесно, спам домейните са включени в черния списък, а големи доставчици като Google постоянно актуализират защитите.

Пази се: Останете скептични към имейлите и увеличете филтъра си за спам до най -високата му настройка или, още по -добре, използвайте проактивен бял списък. Използвайте проверка на връзки, за да се установи ако връзката по имейл е легитимна, преди да щракнете.

4. Социално инженерство

Социалното инженерство е по същество фишинг в реалния свят, далеч от екрана.

Основна част от всеки одит на сигурността е да се прецени какво разбира цялата работна сила. Например, охранителна компания ще се обади на бизнеса, който одитира. „Нападателят“ казва на човека по телефона, че той е новият екип за техническа поддръжка на офиса и се нуждае от най -новата парола за нещо конкретно.

Нищо неподозиращ човек може да предаде ключовете без пауза за размисъл.

Страшното е колко често това работи. Социалното инженерство съществува от векове. Да бъдеш двуличен за влизане в защитена зона е често срещан метод за атака и този, който се предпазва само с образование.

Това е така, защото атаката не винаги иска директно парола. Това може да е фалшив водопроводчик или електротехник, който иска влизане в защитена сграда и т.н.

Когато някой каже, че е измамен да разкрие паролата си, това често е резултат от социалното инженерство.

Професионалисти: Квалифицираните социални инженери могат да извлекат информация с висока стойност от редица цели. Може да се използва срещу почти всеки, навсякъде. Изключително крадлив е.

Минуси: Провалът в социалното инженерство може да породи подозрения за предстояща атака и несигурност дали се набавя правилната информация.

Пази се : Това е сложен въпрос. Успешната атака на социалното инженерство ще бъде завършена, докато осъзнаете, че нещо не е наред. Информираността за образованието и сигурността е основна тактика за смекчаване. Избягвайте да публикувате лична информация, която по -късно може да бъде използвана срещу вас.

5. Дъгова маса

Дъговата маса обикновено е офлайн атака с парола. Например, нападателят е придобил списък с потребителски имена и пароли, но те са криптирани. Шифрованата парола е хеширана. Това означава, че изглежда напълно различно от оригиналната парола.

Например вашата парола е (надявам се, че не!) Logmein. Известният хеш на MD5 за тази парола е „8f4047e3233b39e4444e1aef240e80aa“.

Приказки за вас и мен. Но в определени случаи атакуващият ще пусне списък с пароли с открит текст чрез алгоритъм за хеширане, сравнявайки резултатите с шифрован файл с парола. В други случаи алгоритъмът за криптиране е уязвим и повечето пароли вече са напукани, като MD5 (следователно защо знаем специфичния хеш за „logmein“.

Тук масата на дъгата си идва на мястото. Вместо да се налага да обработвате стотици хиляди потенциални пароли и да съпоставяте получения хеш, таблицата на дъгата представлява огромен набор от предварително изчислени специфични за алгоритъма хеш стойности.

Използването на дъгова маса драстично намалява времето, необходимо за разбиване на хеширана парола - но това не е перфектно. Хакерите могат да закупят предварително напълнени дъгови маси, пълни с милиони потенциални комбинации.

Професионалисти: Може да разбере сложни пароли за кратък период от време; дава на хакера много власт над определени сценарии за сигурност.

Минуси: Изисква огромно пространство за съхранение на огромната (понякога терабайтова) дъгова маса. Също така, нападателите са ограничени до стойностите, съдържащи се в таблицата (в противен случай те трябва да добавят друга цяла таблица).

когато форматирате устройство, трябва да изберете размера на кой от следните атрибути на файловата система?

Пази се: Още една сложна. Масите Rainbow предлагат широк спектър от атакуващи възможности. Избягвайте сайтове, които използват SHA1 или MD5 като алгоритъм за хеширане на паролата. Избягвайте всякакви сайтове, които ви ограничават до кратки пароли или ограничават знаците, които можете да използвате. Винаги използвайте сложна парола.

Свързани: Как да разберете дали даден сайт съхранява пароли като открит текст (и какво да правите)

6. Зловреден софтуер/Keylogger

Друг сигурен начин да загубите идентификационните си данни за влизане е да се провалите в злонамерен софтуер. Зловредният софтуер е навсякъде, с потенциал да причини огромни щети. Ако вариантът на зловреден софтуер включва кейлогър, можете да намерите всичко компрометирани от вашите акаунти.

Като алтернатива, зловредният софтуер може да е насочен конкретно към лични данни или да въведе троянец за отдалечен достъп, за да открадне вашите идентификационни данни.

Професионалисти: Хиляди варианти на зловреден софтуер, много персонализирани, с няколко лесни начина на доставка. Добър шанс голям брой цели да се поддадат на поне един вариант. Той може да остане незабелязан, което позволява по -нататъшно събиране на лични данни и идентификационни данни за вход.

Минуси: Вероятност зловредният софтуер да не работи или е поставен под карантина преди достъп до данни; няма гаранция, че данните са полезни.

Пази се : Инсталирайте и редовно актуализирайте своя антивирус и антималуер софтуер. Внимателно обмислете източниците си за изтегляне. Не щракнете върху инсталационни пакети, съдържащи пакет и др. Избягвайте злонамерените сайтове (по -лесно да се каже, отколкото да се направи). Използвайте инструменти за блокиране на скриптове, за да спрете злонамерени скриптове.

7. Паяк

Спайдър връзки в атаката на речника. Ако хакерът е насочен към конкретна институция или бизнес, той може да опита серия от пароли, свързани със самия бизнес. Хакерът може да прочете и съпостави серия от свързани термини - или да използва паяк за търсене, за да свърши работата вместо тях.

Може би сте чували термина „паяк“ и преди. Тези паяци за търсене са изключително подобни на тези, които пълзят из интернет, индексирайки съдържанието за търсачките. След това персонализираният списък с думи се използва срещу потребителски акаунти с надеждата да намери съвпадение.

Професионалисти: Може потенциално да отключва акаунти за високопоставени лица в дадена организация. Сравнително лесен за сглобяване и добавя допълнително измерение към атака по речник.

Минуси: Може да се окаже безплодно, ако защитата на организационната мрежа е добре конфигурирана.

Пази се: Отново използвайте само силни пароли за еднократна употреба, състоящи се от произволни низове; нищо, свързващо с вашата персона, бизнес, организация и т.н.

как да взривите изображение

8. Рамен сърф

Крайният вариант е един от най -основните. Ами ако някой просто погледне през рамото ви, докато въвеждате паролата си?

Сърфирането през рамо звучи малко смешно, но се случва. Ако работите в оживено кафене в центъра и не обръщате внимание на обкръжението си, някой може да се доближи достатъчно, за да отбележи паролата ви, докато пишете.

Професионалисти: Нискотехнологичен подход за кражба на парола.

Минуси: Трябва да идентифицира целта, преди да разбере паролата; могат да се разкрият в процеса на кражба.

Пази се: Бъдете внимателни към хората около вас, когато въвеждате паролата си. Покрийте клавиатурата си и скрийте ключовете си по време на въвеждане.

Винаги използвайте силна, уникална парола за еднократна употреба

И така, как да спрете хакер да открадне вашата парола? Наистина краткият отговор е, че не можете наистина да сте на 100 процента в безопасност . Инструментите, които хакерите използват, за да откраднат вашите данни, се променят непрекъснато и има безброй видеоклипове и уроци за отгатване на пароли или научаване как да хакнете парола.

Едно е сигурно: използването на силна, уникална парола за еднократна употреба никога не наранява никого.

Дял Дял Туит електронна поща 5 инструменти за пароли за създаване на силни пароли и актуализиране на вашата сигурност

Създайте силна парола, която можете да запомните по -късно. Използвайте тези приложения, за да надстроите сигурността си с нови силни пароли днес.

Прочетете Напред
Свързани теми
  • Сигурност
  • Съвети за парола
  • Онлайн сигурност
  • Хакване
  • Съвети за сигурност
За автора Гавин Филипс(945 статии са публикувани)

Гавин е младши редактор за Windows и обяснени технологии, редовен сътрудник на наистина полезен подкаст и редовен рецензент на продукти. Той има бакалавърска степен „Съвременно писане“ с дигитални арт практики, ограбен от хълмовете на Девън, както и над десетилетие професионален опит в писането. Той се радва на обилно количество чай, настолни игри и футбол.

Още от Гавин Филипс

Абонирайте се за нашия бюлетин

Присъединете се към нашия бюлетин за технически съвети, рецензии, безплатни електронни книги и изключителни оферти!

Щракнете тук, за да се абонирате