Интернет

Десять основных методов взлома паролей, используемых хакерами

Понимание методов взлома паролей, которые используют хакеры, чтобы взорвать ваши онлайн-аккаунты, - отличный способ гарантировать, что с вами этого никогда не случится.

Десять основных методов взлома паролей, используемых хакерами

Вам, безусловно, всегда придется менять пароль, а иногда и более срочно, чем вы думаете, но защита от кражи - отличный способ сохранить безопасность своей учетной записи. Вы всегда можете зайти на сайт www.haveibeenpwned.com, чтобы проверить, не подвержены ли вы риску, но просто думать, что ваш пароль достаточно безопасен, чтобы его не взломали, - это плохой образ мышления.

Итак, чтобы помочь вам понять, как хакеры получают ваши пароли - безопасные или иные - мы составили список из десяти самых популярных методов взлома паролей, используемых хакерами. Некоторые из перечисленных ниже методов явно устарели, но это не значит, что они до сих пор не используются. Прочтите внимательно и узнайте, от чего бороться.

Десять основных методов взлома паролей, используемых хакерами

1. Атака по словарю

password_cracking _-_ словарь

Атака по словарю использует простой файл, содержащий слова, которые можно найти в словаре, отсюда и его довольно простое название. Другими словами, в этой атаке используются именно те слова, которые многие люди используют в качестве пароля.

Умелое объединение слов, таких как «letmein» или «superadministratorguy», не предотвратит взлом вашего пароля таким образом - ну, не более чем на несколько дополнительных секунд.

2. Атака грубой силой

Подобно атаке по словарю, атака грубой силой дает хакеру дополнительный бонус. Вместо простого использования слов атака методом перебора позволяет им обнаруживать не словарные слова, перебирая все возможные буквенно-цифровые комбинации от aaa1 до zzz10.

Это не быстро, если ваш пароль состоит из нескольких символов, но в конечном итоге он откроет ваш пароль. Атаки методом грубой силы можно сократить, добавив дополнительные вычислительные мощности с точки зрения как вычислительной мощности, включая использование мощности графического процессора видеокарты, так и количества машин, например, с использованием моделей распределенных вычислений, таких как онлайн-майнеры биткойнов.

3. Атака по радужному столу

Радужные таблицы не так красочны, как может предполагать их название, но для хакера ваш пароль вполне может быть в конце таблицы. Самым простым способом вы можете превратить радужную таблицу в список предварительно вычисленных хэшей - числовое значение, используемое при шифровании пароля. Эта таблица содержит хэши всех возможных комбинаций паролей для любого заданного алгоритма хеширования. Радужные таблицы привлекательны тем, что сокращают время, необходимое для взлома хэша пароля, до простого поиска чего-либо в списке.

Однако радужные столы - штука огромная и громоздкая. Для их работы требуются серьезные вычислительные мощности, и таблица становится бесполезной, если хэш, который она пытается найти, был «подсолен» путем добавления случайных символов к паролю перед хешированием алгоритма.

Есть разговоры о существовании соленых радужных таблиц, но они будут настолько большими, что их будет сложно использовать на практике. Скорее всего, они будут работать только с предопределенным набором «случайных символов» и строками паролей менее 12 символов, поскольку в противном случае размер таблицы был бы непозволительным даже для хакеров на уровне штата.

4. Фишинг

password_cracking _-_ фишинг

Есть простой способ взломать, спросив у пользователя его пароль. Фишинговое электронное письмо приводит ничего не подозревающего читателя к поддельной странице входа в систему, связанной с той службой, к которой он хочет получить доступ, обычно путем запроса пользователя исправить какую-то ужасную проблему с его безопасностью. Затем эта страница просматривает их пароль, и хакер может использовать его в своих целях.

Зачем вообще взламывать пароль, если пользователь все равно с радостью его вам даст?

5. Социальная инженерия

Социальная инженерия выводит всю концепцию «спроси пользователя» за пределы почтового ящика, к которому обычно прикрепляется фишинг, и в реальный мир.

Любимое дело социальных инженеров - позвонить в офис, выдавая себя за специалиста по ИТ-безопасности, и просто попросить пароль для доступа к сети. Вы будете удивлены, как часто это срабатывает. У некоторых даже есть необходимые гонады, чтобы надеть костюм и именной значок перед тем, как войти в бизнес, чтобы задать тот же вопрос секретарю лицом к лицу.

6. Вредоносное ПО

Кейлоггер или скребок экрана может быть установлен вредоносным ПО, которое записывает все, что вы вводите, или делает снимки экрана во время процесса входа в систему, а затем пересылает копию этого файла в хакерский центр.

Некоторые вредоносные программы будут искать файл паролей клиента веб-браузера и копировать его, который, если он не зашифрован должным образом, будет содержать легкодоступные сохраненные пароли из истории просмотров пользователя.

7. Автономный взлом

Легко представить, что пароли являются безопасными, если системы, которые они защищают, блокируют пользователей после трех или четырех неправильных попыток угадывания, блокируя приложения с автоматическим отгадыванием. Что ж, это было бы правдой, если бы не тот факт, что большая часть взлома паролей происходит в автономном режиме с использованием набора хэшей в файле паролей, который был «получен» из взломанной системы.

Часто рассматриваемая цель была взломана посредством взлома третьей стороны, которая затем предоставляет доступ к системным серверам и этим важнейшим файлам хэшей паролей пользователей. Затем взломщик паролей может столько времени, сколько потребуется, чтобы попытаться взломать код без предупреждения целевой системы или отдельного пользователя.

8. Серфинг через плечо.

взлом паролей _-_ плеча_серфинг

Другая форма социальной инженерии, серфинг по плечу, как и подразумевает, влечет за собой возможность заглядывать через плечо человека, когда он вводит учетные данные, пароли и т.д. был украден таким образом, поэтому при доступе к банковским счетам и т. д. на ходу не забывайте о своем окружении.

Самые уверенные в себе хакеры примут вид курьера по посылкам, специалиста по обслуживанию кондиционеров или кого-то еще, что дает им доступ в офисное здание. Войдя внутрь, «униформа» обслуживающего персонала предоставляет своего рода бесплатный пропуск, чтобы беспрепятственно бродить и записывать пароли, вводимые настоящими сотрудниками. Это также дает прекрасную возможность взглянуть на все эти стикеры, приклеенные к передней части ЖК-экранов, с нацарапанными на них логинами.

9. Пауки

Опытные хакеры осознали, что многие корпоративные пароли состоят из слов, связанных с самим бизнесом. Изучение корпоративной литературы, материалов о продажах на веб-сайтах и ​​даже веб-сайтов конкурентов и перечисленных клиентов может предоставить боеприпасы для создания настраиваемого списка слов для использования в атаке методом грубой силы.

Действительно сообразительные хакеры автоматизировали этот процесс и позволили приложению-пауку, подобному поисковым роботам, используемым ведущими поисковыми системами, определять ключевые слова, собирать и сопоставлять списки для них.

10. Угадай

Лучший друг взломщиков паролей - это, конечно, предсказуемость пользователя. Если не был создан действительно случайный пароль с помощью программного обеспечения, предназначенного для данной задачи, «случайный» пароль, созданный пользователем, вряд ли будет чем-то подобным.

Вместо этого, благодаря эмоциональной привязанности нашего мозга к вещам, которые нам нравятся, скорее всего, эти случайные пароли основаны на наших интересах, хобби, домашних животных, семье и так далее. Фактически, пароли, как правило, основываются на том, о чем мы любим болтать в социальных сетях, и даже включаем их в наши профили. Взломщики паролей, скорее всего, изучат эту информацию и сделают несколько - часто верных - обоснованных предположений при попытке взломать пароль потребительского уровня, не прибегая к атакам по словарю или грубой силе.

Другие атаки, которых следует остерегаться

Если хакерам чего-то и не хватает, так это не творчества. Используя различные методы и адаптируясь к постоянно меняющимся протоколам безопасности, эти нарушители продолжают добиваться успеха.

Например, кто-нибудь в социальных сетях наверняка видел веселые викторины и шаблоны с просьбой рассказать о своей первой машине, любимой еде и песне номер один в день вашего 14-летия. Хотя эти игры кажутся безобидными и их, безусловно, интересно публиковать, на самом деле они представляют собой открытый шаблон для контрольных вопросов и ответов для подтверждения доступа к аккаунту.

При создании учетной записи, возможно, попробуйте использовать ответы, которые на самом деле не относятся к вам, но которые вы легко запомните. "Какая была ваша первая машина?" Вместо того, чтобы отвечать правдиво, поставьте машину своей мечты. В противном случае просто не публикуйте ответы на вопросы по безопасности в Интернете.

Другой способ получить доступ - просто сбросить пароль. Лучшая линия защиты от злоумышленника, сбрасывающего ваш пароль, - это использование адреса электронной почты, который вы часто проверяете, и обновление вашей контактной информации. Если возможно, всегда включайте двухфакторную аутентификацию. Даже если хакер узнает ваш пароль, он не сможет получить доступ к аккаунту без уникального кода подтверждения.

Часто задаваемые вопросы

Почему мне нужны разные пароли для каждого сайта?

Вы, наверное, знаете, что не следует сообщать свои пароли и не загружать какой-либо контент, с которым вы не знакомы, но как насчет учетных записей, в которые вы входите каждый день? Предположим, вы используете тот же пароль для своего банковского счета, что и для произвольной учетной записи, такой как Grammarly. Если Grammarly взломан, у пользователя также будет ваш банковский пароль (и, возможно, ваш адрес электронной почты, что еще больше облегчит доступ ко всем вашим финансовым ресурсам).

Что я могу сделать, чтобы защитить свои учетные записи?

Использование 2FA для любых учетных записей, которые предлагают эту функцию, использование уникальных паролей для каждой учетной записи и использование комбинации букв и символов - лучшая линия защиты от хакеров. Как указывалось ранее, существует множество различных способов получения хакерами доступа к вашим учетным записям, поэтому вам нужно регулярно следить за тем, чтобы вы регулярно обновляли свое программное обеспечение и приложения (для исправлений безопасности) и избегать любых загрузок, с которыми вы не знакомы.

Каков самый безопасный способ сохранить пароли?

Может быть невероятно сложно угнаться за несколькими уникально странными паролями. Хотя гораздо лучше пройти процедуру сброса пароля, чем взломать ваши учетные записи, на это уходит много времени. Чтобы сохранить свои пароли в безопасности, вы можете использовать такие службы, как Last Pass или KeePass, чтобы сохранить все пароли своей учетной записи.

Вы также можете использовать уникальный алгоритм, чтобы сохранить свои пароли, облегчая их запоминание. Например, PayPal может иметь вид hwpp + c832. По сути, этот пароль является первой буквой каждого разрыва в URL-адресе (//www.paypal.com) с последним числом в году рождения всех в вашем доме (как пример). Когда вы войдете в свою учетную запись, просмотрите URL-адрес, который даст вам первые несколько букв этого пароля.

Добавьте символы, чтобы было труднее взломать пароль, но упорядочивайте их так, чтобы их было легче запомнить. Например, символ «+» может быть для любых аккаунтов, связанных с развлечениями, а знак «!» можно использовать для финансовых счетов.

$config[zx-auto] not found$config[zx-overlay] not found