8 najbežnejších trikov používaných na hackovanie hesiel

8 najbežnejších trikov používaných na hackovanie hesiel

Čo sa vám vybaví, keď sa povie „narušenie bezpečnosti“? Zlý hacker sediaci pred obrazovkami pokrytými digitálnym textom v štýle Matrix? Alebo tínedžer žijúci v suteréne, ktorý tri týždne nevidel denné svetlo? Čo hovoríte na výkonný superpočítač, ktorý sa pokúsi hacknúť celý svet?





Hacking je o jednej veci: vaše heslo. Ak niekto vie uhádnuť vaše heslo, nepotrebuje ozdobné hackerské techniky a superpočítače. Jednoducho sa prihlásia a budú sa správať ako vy. Ak je vaše heslo krátke a jednoduché, hra sa skončila.



Hackeri používajú na hackovanie vášho hesla osem bežných taktík.





1. Slovník Hack

Najprv v príručke bežných taktík hackovania hesiel je útok na slovník. Prečo sa to nazýva slovníkový útok? Pretože automaticky skúša každé slovo v definovanom „slovníku“ proti heslu. Slovník nie je striktne ten, ktorý ste používali v škole.

Nie. Tento slovník je vlastne malý súbor obsahujúci aj najčastejšie používané kombinácie hesiel. To zahŕňa 123456, qwerty, heslo, milovanú osobu a klasiku všetkých čias, hunter2.



najlepší spôsob, ako naskenovať veľa fotografií

Vyššie uvedená tabuľka obsahuje podrobnejšie informácie o heslách, ktoré boli najčastejšie uniknuté v roku 2016. Nasledujúca tabuľka uvádza údaje o najrozšírenejších heslách v roku 2020.

Všimnite si podobnosti medzi týmito dvoma - a uistite sa, že nepoužívate tieto neuveriteľne jednoduché možnosti.



Klady: Rýchlo; zvyčajne odomkne niektoré žalostne chránené účty.

Zápory: Aj mierne silnejšie heslá zostanú v bezpečí.



Zostať v bezpečí: Pre každý účet používajte silné heslo na jedno použitie v spojení s a aplikácia na správu hesiel . Správca hesiel vám umožňuje uložiť ďalšie heslá do úložiska. Potom môžete pre každé stránky použiť jedno, smiešne silné heslo.

Súvisiace: Správca hesiel Google: Ako začať

2. Brute Force

Ďalej nasleduje útok hrubou silou, pričom útočník skúša všetky možné kombinácie postáv. Pokus o zadanie hesla bude zodpovedať špecifikáciám pre pravidlá zložitosti, napr. vrátane jedného veľkého písmena, jedného malého písmena, desatinných miest Pi, vašej objednávky pizze a podobne.

Útok hrubou silou tiež najskôr vyskúša najbežnejšie používané alfanumerické kombinácie znakov. Patria sem predtým uvedené heslá, ako aj 1q2w3e4r5t, zxcvbnm a qwertyuiop. Zistenie hesla pomocou tejto metódy môže trvať veľmi dlho, ale to závisí úplne od zložitosti hesla.

Klady: Teoreticky to prelomí akékoľvek heslo vyskúšaním každej kombinácie.

Zápory: V závislosti od dĺžky hesla a náročnosti to môže trvať veľmi dlho. Vložte niekoľko premenných, ako sú $, &, {, alebo], a zistiť heslo je veľmi ťažké.

Zostať v bezpečí: Vždy používajte variabilnú kombináciu znakov a pokiaľ je to možné, zaviesť ďalšie symboly na zvýšenie zložitosti .

3. Phishing

Nie je to striktne „hack“, ale prepadnutie pokusu o phishing alebo spear-phishing zvyčajne skončí zle. Všeobecné e -maily s neoprávneným získavaním údajov (phishing) odoslané v miliardách miliónom všetkým používateľom internetu na celom svete.

Phishingový e -mail vo všeobecnosti funguje takto:

  1. Cieľový používateľ dostane falošný e -mail údajne od veľkej organizácie alebo firmy.
  2. Falošný e -mail vyžaduje okamžitú pozornosť a obsahuje odkaz na webovú stránku.
  3. Tento odkaz sa v skutočnosti pripája k falošnému prihlasovaciemu portálu, ktorý je zosmiešňovaný tak, aby vyzeral úplne rovnako ako legitímna stránka.
  4. Nič netušiaci cieľový používateľ zadá svoje prihlasovacie poverenia a bude buď presmerovaný, alebo mu povie, aby to skúsil znova.
  5. Používateľské poverenia sú odcudzené, predané alebo sú zneužívané (alebo oboje).

Denný objem spamu odoslaný do celého sveta je stále vysoký a predstavuje viac ako polovicu všetkých e -mailov odoslaných globálne. Okrem toho je pri Kaspersky vysoký aj objem škodlivých príloh zaznamenanie viac ako 92 miliónov škodlivých príloh od januára do júna 2020. Pamätajte si, že toto je len pre spoločnosť Kaspersky, takže skutočné číslo je oveľa vyššie .

Ešte v roku 2017 bola najväčšou lákadlom na phishing falošná faktúra. V roku 2020 však pandémia COVID-19 predstavovala novú hrozbu phishingu.

V apríli 2020, krátko potom, čo sa mnohé krajiny dostali do pandemického zablokovania, spoločnosť Google oznámil denne blokovalo viac ako 18 miliónov škodlivých e-mailov s tematikou COVID-19 a nevyžiadanej pošty. Obrovské množstvo týchto e-mailov používa na legitimitu oficiálnu značku vlády alebo zdravotníckych organizácií a zasahuje obete mimo stráž.

Klady: Užívateľ doslova odovzdá svoje prihlasovacie informácie vrátane hesiel-relatívne vysokú úspešnosť zásahov, ktoré je možné ľahko prispôsobiť konkrétnym službám alebo konkrétnym ľuďom pri útoku typu spear-phishing.

Zápory: E -maily so spamom sa dajú ľahko filtrovať, spamové domény sú na čiernej listine a hlavní poskytovatelia, ako napríklad Google, neustále aktualizujú ochranu.

Zostať v bezpečí: Zostaňte skeptickí voči e -mailom a zvýšte svoj spamový filter na najvyššie hodnoty, alebo ešte lepšie, použite proaktívny zoznam povolených adries. Použite kontrola odkazov na zistenie ak je odkaz na e -mail legitímny pred kliknutím.

4. Sociálne inžinierstvo

Sociálne inžinierstvo je v podstate phishing v reálnom svete, mimo obrazovky.

Hlavnou súčasťou akéhokoľvek bezpečnostného auditu je meranie toho, čomu rozumie celá pracovná sila. Bezpečnostná spoločnosť napríklad zatelefonuje do firmy, ktorú audituje. „Útočník“ hovorí osobe v telefóne, že je novým tímom technickej podpory kancelárie, a pre niečo konkrétne potrebuje najnovšie heslo.

Nič netušiaci jednotlivec môže odovzdať kľúče bez prestávky na zamyslenie.

Desivé je, ako často to funguje. Sociálne inžinierstvo existuje už niekoľko storočí. Duplicitné získanie vstupu do bezpečnej oblasti je bežný spôsob útoku, pred ktorým sa bráni iba vzdelávaním.

Dôvodom je, že útok vždy nevyžaduje heslo priamo. Môže to byť falošný inštalatér alebo elektrikár, ktorý žiada o vstup do zabezpečenej budovy a podobne.

Keď niekto hovorí, že bol podvedený, aby odhalil svoje heslo, je to často dôsledok sociálneho inžinierstva.

Klady: Kvalifikovaní sociálni inžinieri dokážu extrahovať hodnotné informácie z celého radu cieľov. Dá sa nasadiť takmer proti komukoľvek a kdekoľvek. Je to mimoriadne nenápadné.

Zápory: Zlyhanie sociálneho inžinierstva môže vzbudiť podozrenie z hroziaceho útoku a neistotu, či sú získané správne informácie.

Zostať v bezpečí : Toto je ošemetné. Úspešný útok sociálneho inžinierstva bude dokončený, keď si uvedomíte, že niečo nie je v poriadku. Vzdelávanie a informovanosť o bezpečnosti je základnou zmierňujúcou taktikou. Vyhnite sa zverejňovaniu osobných údajov, ktoré by mohli byť neskôr použité proti vám.

5. Dúhový stôl

Dúhový stôl je zvyčajne offline útokom na heslo. Útočník napríklad získal zoznam používateľských mien a hesiel, ale sú šifrované. Šifrované heslo je hašované. To znamená, že vyzerá úplne inak ako pôvodné heslo.

Napríklad vaše heslo je (dúfajme, že nie!) Logmein. Známy hash MD5 pre toto heslo je „8f4047e3233b39e4444e1aef240e80aa“.

Je to na vás a na mne. V niektorých prípadoch však útočník spustí zoznam hesiel vo formáte obyčajného textu pomocou algoritmu hash a porovná výsledky so šifrovaným súborom hesiel. V iných prípadoch je šifrovací algoritmus zraniteľný a väčšina hesiel je už prelomená, napríklad MD5 (preto poznáme konkrétny hash pre „logmein“.

Tu si na svoje príde aj dúhový stôl. Namiesto toho, aby sme museli spracovať státisíce potenciálnych hesiel a priradiť ich výsledný hash, je dúhová tabuľka obrovskou sadou vopred vypočítaných hodnôt hash špecifických pre algoritmus.

Použitie dúhovej tabuľky drasticky skracuje čas potrebný na prelomenie hašovaného hesla - nie je to však dokonalé. Hackeri si môžu kúpiť predplnené dúhové stoly obsadené miliónmi potenciálnych kombinácií.

Klady: Dokáže v krátkom čase zistiť zložité heslá; poskytuje hackerovi veľkú moc nad určitými bezpečnostnými scenármi.

Zápory: Na uloženie obrovského (niekedy terabajtového) dúhového stolu potrebujete obrovské množstvo priestoru. Útočníci sú tiež obmedzení na hodnoty uvedené v tabuľke (v opačnom prípade musia pridať ďalšiu celú tabuľku).

spodný panel systému Windows 10 nereaguje

Zostať v bezpečí: Ďalší chúlostivý. Dúhové stoly ponúkajú široký rozsah útočného potenciálu. Vyhnite sa akýmkoľvek stránkam, ktoré ako algoritmus hashovania hesiel používajú SHA1 alebo MD5. Vyhnite sa akýmkoľvek stránkam, ktoré vás obmedzujú na krátke heslá alebo obmedzujú znaky, ktoré môžete použiť. Vždy používajte komplexné heslo.

Súvisiace články: Ako zistiť, či stránka ukladá heslá ako obyčajný text (a čo robiť)

6. Malware/Keylogger

Ďalším istým spôsobom, ako prísť o svoje prihlasovacie údaje, je napadnúť malware. Škodlivý softvér je všade, s potenciálom spôsobiť obrovské škody. Ak je verzia škodlivého softvéru vybavená nástrojom na zaznamenávanie klávesov, môžete ho nájsť všetky vašich účtov ohrozených.

Alternatívne by malvér mohol konkrétne zacieliť na súkromné ​​údaje alebo zaviesť trójskeho koňa na vzdialený prístup, aby ukradol vaše poverenia.

Klady: Tisíce variantov škodlivého softvéru, mnohé prispôsobiteľné, s niekoľkými jednoduchými spôsobmi doručenia. Dobrá šanca, že vysoký počet cieľov podľahne aspoň jednému variantu. Môže zostať nezistený, čo umožní ďalší zber súkromných údajov a prihlasovacích údajov.

Zápory: Šanca, že malware nebude fungovať alebo bude v karanténe pred prístupom k údajom; žiadna záruka, že údaje sú užitočné.

Zostať v bezpečí : Nainštalujte si a pravidelne aktualizujte svoj antivírus a antimalware softvér. Starostlivo zvážte svoje zdroje sťahovania. Neklikajte na inštalačné balíky obsahujúce bundleware a ďalšie. Vyhnite sa hanebným webom (ľahšie sa to hovorí, ako robí). Na zastavenie škodlivých skriptov použite nástroje na blokovanie skriptov.

7. Spidering

Pavúčie väzby na slovníkový útok. Ak sa hacker zameria na konkrétnu inštitúciu alebo firmu, môže skúsiť sériu hesiel týkajúcich sa samotného podnikania. Hacker mohol prečítať a porovnať sériu príbuzných výrazov - alebo použiť na ich prácu vyhľadávacieho pavúka.

Možno ste už počuli výraz „pavúk“. Tieto vyhľadávacie pavúky sú veľmi podobné tým, ktoré prehľadávajú internet a indexujú obsah pre vyhľadávače. Zoznam vlastných slov sa potom použije proti používateľským účtom v nádeji, že nájde zhodu.

Klady: Môže potenciálne odomknúť účty pre vysoko postavených jednotlivcov v rámci organizácie. Pomerne ľahko sa skladá a dodáva útoku slovníka ďalší rozmer.

Zápory: Mohlo by to skončiť bezvýsledne, ak je dobre nakonfigurované zabezpečenie siete organizácie.

Zostať v bezpečí: Opäť používajte iba silné heslá na jedno použitie pozostávajúce z náhodných reťazcov; nič nespája s vašou osobou, podnikom, organizáciou a podobne.

ako nainštalovať linux na flash disk

8. Surfovanie na ramene

Posledná možnosť je jednou z najzákladnejších. Čo keď sa vám niekto pri zadávaní hesla len pozerá cez plece?

Surfovanie na ramene znie trochu smiešne, ale stáva sa. Ak pracujete v rušnej kaviarni v centre mesta a nevenujete pozornosť svojmu okoliu, niekto sa môže k vám dostať dostatočne blízko a pri písaní si všimnúť vaše heslo.

Klady: Prístup s nízkou technológiou ku krádeži hesla.

Zápory: Pred zistením hesla musíte identifikovať cieľ; sa mohli odhaliť v procese krádeže.

Zostať v bezpečí: Pri zadávaní hesla buďte pozorní k ľuďom okolo vás. Počas zadávania zakryte klávesnicu a zakryte klávesy.

Vždy používajte silné, jedinečné a jednorazové heslo

Ako teda zabránite tomu, aby vám hacker ukradol heslo? Skutočne krátka odpoveď je, že nemôžete byť skutočne stopercentne v bezpečí . Nástroje, ktoré hackeri používajú na ukradnutie vašich údajov, sa neustále menia a k dispozícii je nespočetné množstvo videí a návodov na uhádnutie hesiel alebo naučenie sa hackovať heslo.

Jedna vec je istá: používanie silného, ​​jedinečného a jednorazového hesla nikdy nikomu neublížilo.

zdieľam zdieľam Tweet E -mail 5 nástrojov na vytváranie hesiel na vytváranie silných prístupových fráz a aktualizáciu zabezpečenia

Vytvorte silné heslo, ktoré si budete neskôr pamätať. Pomocou týchto aplikácií môžete dnes zvýšiť svoje zabezpečenie pomocou nových silných hesiel.

Čítajte ďalej Súvisiace témy
  • Zabezpečenie
  • Tipy pre heslo
  • Zabezpečenie online
  • Hackovanie
  • Bezpečnostné tipy
O autorovi Gavin Phillips(945 publikovaných článkov)

Gavin je juniorský editor pre Windows a vysvetlené technológie, pravidelný prispievateľ do skutočne užitočného podcastu a pravidelný recenzent produktov. Má súčasné písanie BA (Hons) s digitálnymi umeleckými postupmi vyplenené z kopcov Devonu a viac ako desať rokov profesionálnych skúseností s písaním. Má rád veľa čaju, stolné hry a futbal.

Viac od Gavina Phillipsa

prihlásiť sa ku odberu noviniek

Pripojte sa k nášmu bulletinu a získajte technické tipy, recenzie, bezplatné elektronické knihy a exkluzívne ponuky!

Kliknutím sem sa prihlásite na odber