Quando senti “violazione della sicurezza”, cosa ti viene in mente? Un hacker malevolo seduto davanti a schermi coperti di testo digitale in stile Matrix? O un adolescente che abita in un seminterrato che non vede la luce del giorno da tre settimane? Che ne dici di un potente supercomputer che tenta di hackerare il mondo intero?
Hacking è tutto su una cosa: la password. Se qualcuno può indovinare la password, non hanno bisogno di tecniche di hacking di fantasia e supercomputer. Faranno solo il login, in qualità di voi. Se la password è breve e semplice, è game over.,
Ci sono otto tattiche comuni hacker utilizzano per hackerare la password. Diamo un’occhiata.
1. Dictionary Hack
Il primo nella guida tattiche di hacking password comune è l’attacco dizionario. Perché si chiama un attacco dizionario? Perché cerca automaticamente ogni parola in un “dizionario” definito contro la password. Il dizionario non è strettamente quello che hai usato a scuola.
No., Questo dizionario è in realtà un piccolo file che conterrà anche le combinazioni di password più comunemente utilizzate. Che include 123456, qwerty, password, iloveyou, e di tutti i tempi classico, hunter2. La tabella sopra descrive le password più trapelate nel 2016.
La tabella sottostante descrive le password più trapelate nel 2020. Nota le somiglianze tra i due – – – e assicurati di non utilizzare queste opzioni incredibilmente semplici.
Pro: Veloce, di solito sblocca alcuni account tristemente protetti.,
Contro: Anche le password leggermente più forti rimarranno sicure.
Soggiorno sicuro: Utilizzare una forte password monouso per ogni account, in combinazione con un app di gestione delle password. Il gestore di password consente di memorizzare le altre password in un repository. Quindi, è possibile utilizzare una singola password ridicolmente forte per ogni sito. Vedi la nostra panoramica di Google Password Manager per iniziare con esso.
Hai bisogno di un gestore di password sicuro per Linux?, Queste applicazioni sono facili da usare e mantenere le password online al sicuro.
2. Forza bruta
Avanti, l’attacco di forza bruta, per cui un attaccante tenta ogni possibile combinazione di caratteri. Le password tentate corrisponderanno alle specifiche per le regole di complessità, ad esempio, tra cui una maiuscola, una minuscola, decimali di Pi, l’ordine della pizza e così via.
Un attacco di forza bruta proverà anche le combinazioni di caratteri alfanumerici più comunemente utilizzate. Questi includono le password elencate in precedenza, così come 1q2w3e4r5t, zxcvbnm e qwertyuiop., Può richiedere molto tempo per capire una password utilizzando questo metodo, ma ciò dipende interamente dalla complessità della password.
Pro: Teoricamente, si crepa qualsiasi password per mezzo di provare ogni combinazione.
Contro: A seconda della lunghezza e della difficoltà della password, potrebbe richiedere molto tempo. Inserisci alcune variabili come$, &, {o] e capire la password diventa estremamente difficile.
Stai al sicuro: usa sempre una combinazione variabile di caratteri e, ove possibile, introduce simboli aggiuntivi per aumentare la complessità.
3., Phishing
Questo non è strettamente un “hack”, ma cadere preda di un tentativo di phishing o spear-phishing di solito finisce male. Generale email di phishing inviate da miliardi a tutti i tipi di utenti di Internet in tutto il mondo.,un falsificati e-mail che sembra provenire da una grande organizzazione o azienda
Il volume di spam giornaliero inviati in tutto il mondo rimane alta, che rappresentano oltre la metà di tutti i messaggi spediti in tutto il mondo., Inoltre, anche il volume di allegati dannosi è elevato, con Kaspersky che rileva oltre 92 milioni di allegati dannosi da gennaio a giugno 2020. Ricorda, questo è solo per Kaspersky, quindi il numero reale è molto più alto.
Nel 2017, il più grande richiamo di phishing era una fattura falsa. Tuttavia, nel 2020, la pandemia di COVID-19 ha fornito una nuova minaccia di phishing.,
Nel mese di aprile 2020, non molto tempo dopo che molti paesi è andato in blocco pandemia, Google ha annunciato che stava bloccando oltre 18 milioni di COVID-19 a tema spam dannoso e le email di phishing al giorno. Un numero enorme di queste e-mail utilizza il marchio ufficiale del governo o dell’organizzazione sanitaria per la legittimità e per catturare le vittime alla sprovvista.
Pro: L’utente consegna letteralmente le proprie informazioni di accesso, inclusa la password. Relativamente alto tasso di successo, facilmente su misura per servizi specifici, o persone specifiche in un attacco di spear phishing.,
Contro: Le email di spam sono facilmente filtrate, i domini di spam nella lista nera e i principali provider come Google aggiornano costantemente le protezioni.
Soggiorno sicuro: Abbiamo coperto come individuare una e-mail di phishing. Inoltre, aumentare il filtro antispam alla sua impostazione più alta o, meglio ancora, utilizzare una whitelist proattiva. Utilizzare un correttore di link per verificare se un collegamento e-mail è legittimo prima di fare clic.
4. Ingegneria sociale
L’ingegneria sociale è essenzialmente phishing nel mondo reale, lontano dallo schermo., Leggi il mio breve esempio di base qui sotto (e qui ce ne sono altri a cui prestare attenzione!).
Una parte fondamentale di qualsiasi controllo di sicurezza è misurare ciò che l’intera forza lavoro comprende. In questo caso, una società di sicurezza telefonerà al business che stanno verificando. L ‘”attaccante” dice alla persona al telefono che sono il nuovo team di supporto tecnico dell’ufficio e hanno bisogno dell’ultima password per qualcosa di specifico. Un individuo ignaro può consegnare le chiavi del regno senza una pausa di riflessione.
La cosa spaventosa è quanto spesso funziona. L’ingegneria sociale esiste da secoli., Essere duplicati per ottenere l’ingresso in una zona sicura è un metodo comune di attacco e uno che è solo custodito contro con l’istruzione. Questo perché l’attacco non chiederà sempre direttamente una password. Potrebbe essere un falso idraulico o elettricista che chiede l’ingresso in un edificio sicuro, e così via.
Pro: ingegneri sociali qualificati possono estrarre informazioni di alto valore da una serie di obiettivi. Può essere schierato contro quasi chiunque, ovunque. Estremamente furtivo.,
Contro: Un errore di ingegneria sociale può sollevare sospetti su un attacco imminente, incertezza sul fatto che le informazioni corrette siano procurate.
Stai al sicuro: questo è difficile. Un attacco di ingegneria sociale di successo sarà completo nel momento in cui ti rendi conto che qualcosa non va. L’educazione e la consapevolezza della sicurezza sono una tattica di mitigazione fondamentale. Evita di pubblicare informazioni personali che potrebbero essere successivamente utilizzate contro di te.
5. Rainbow Table
Un rainbow table è di solito un attacco di password offline., Ad esempio, un utente malintenzionato ha acquisito un elenco di nomi utente e password, ma sono crittografati. La password crittografata è hashed. Ciò significa che sembra completamente diverso dalla password originale.
Ad esempio, la tua password è (si spera no!) logmein. L’hash MD5 noto per questa password è ” 8f4047e3233b39e4444e1aef240e80aa.”
Senza senso per te e io., Ma in alcuni casi, l’utente malintenzionato eseguirà un elenco di password in chiaro attraverso un algoritmo di hashing, confrontando i risultati con un file di password crittografato. In altri casi, l’algoritmo di crittografia è vulnerabile e la maggior parte delle password è già incrinata, come MD5 (quindi perché conosciamo l’hash specifico per “logmein.”
Questo dove la tabella arcobaleno entra in proprio. Invece di dover elaborare centinaia di migliaia di potenziali password e abbinare il loro hash risultante, una tabella arcobaleno è un enorme insieme di valori hash specifici dell’algoritmo precalcolati.,
L’utilizzo di una tabella arcobaleno riduce drasticamente il tempo necessario per decifrare una password con hash—ma non è perfetto. Gli hacker possono acquistare tabelle arcobaleno precompilate popolate con milioni di potenziali combinazioni.
Pro: Può capire le password complesse in un breve lasso di tempo, concede l’hacker un sacco di potere su alcuni scenari di sicurezza.
Contro: Richiede un’enorme quantità di spazio per memorizzare l’enorme (a volte terabyte) tabella arcobaleno. Inoltre, gli aggressori sono limitati ai valori contenuti nella tabella (altrimenti, devono aggiungere un’altra intera tabella).,
Stai al sicuro: un altro difficile. Tavoli arcobaleno offrono una vasta gamma di attacco potenziale. Evitare tutti i siti che utilizzano SHA1 o MD5 come algoritmo di hashing della password. Evitare tutti i siti che si limitano a password brevi o limita i caratteri è possibile utilizzare. Utilizzare sempre una password complessa.
Ti chiedi come sapere se un sito Web memorizza le password in chiaro? Dai un’occhiata a questa guida per scoprirlo.
6. Malware / Keylogger
Un altro modo sicuro per perdere le credenziali di accesso è quello di cadere fallo di malware. Il malware è ovunque, con il potenziale di fare danni enormi., Se la variante del malware presenta un keylogger, potresti trovare tutti i tuoi account compromessi.
In alternativa, il malware potrebbe specificamente indirizzare i dati privati o introdurre un Trojan di accesso remoto per rubare le credenziali.
Pro: Migliaia di varianti di malware, molti personalizzabili, con diversi metodi di consegna facili. Una buona probabilità un numero elevato di obiettivi soccomberà ad almeno una variante. Può passare inosservato, consentendo un’ulteriore raccolta di dati privati e credenziali di accesso.,
Contro: Possibilità che il malware non funziona, o viene messo in quarantena prima di accedere ai dati, nessuna garanzia che i dati sono utili.
Soggiorno sicuro: Installare e aggiornare regolarmente il software antivirus e antimalware. Considerare attentamente le fonti di download. Non fare clic attraverso i pacchetti di installazione contenenti bundleware e altro ancora. Evitare di siti nefasti (lo so, più facile a dirsi che a farsi). Utilizzare strumenti di blocco script per fermare gli script dannosi.
7. Spidering
Spidering lega l’attacco dizionario abbiamo coperto in precedenza., Se un hacker prende di mira un’istituzione o un’azienda specifica, potrebbe provare una serie di password relative all’azienda stessa. L’hacker potrebbe leggere e raccogliere una serie di termini correlati or o utilizzare un ragno di ricerca per fare il lavoro per loro.
Potresti aver sentito il termine “ragno” prima. Questi spider di ricerca sono estremamente simili a quelli che strisciano attraverso Internet, indicizzando i contenuti per i motori di ricerca. L’elenco di parole personalizzato viene quindi utilizzato contro gli account utente nella speranza di trovare una corrispondenza.,
Pro: può potenzialmente sbloccare account per individui di alto rango all’interno di un’organizzazione. Relativamente facile da mettere insieme e aggiunge una dimensione extra a un attacco dizionario.
Contro: Potrebbe benissimo finire infruttuoso se la sicurezza della rete organizzativa è ben configurata.
Stay safe by: Ancora una volta, usa solo password forti e monouso composte da stringhe casuali—nulla che colleghi alla tua persona, azienda, organizzazione e così via.
8. Shoulder Surfing
Ok, l’opzione finale è una delle più basilari., Che cosa succede se qualcuno guarda solo oltre il vostro dovrebbe mentre si sta digitando la password?
Surf spalla suona un po ‘ ridicolo, ma succede. Se stai lavorando in un affollato caffè del centro e non prestando attenzione a ciò che ti circonda, qualcuno potrebbe avvicinarsi abbastanza da notare la tua password durante la digitazione.
Pro: approccio a bassa tecnologia per rubare una password.
Contro: Deve identificare il bersaglio prima di capire la password, potrebbe rivelarsi nel processo di furto.,
Soggiorno sicuro: Rimanere attento di coloro che vi circondano quando si digita la password, coprire la tastiera, oscurare le chiavi durante l’input.
Usa sempre una password forte, unica e monouso
Quindi, come puoi fermare un hacker che ruba la tua password? La risposta davvero breve è che non puoi essere veramente sicuro al 100%. Gli strumenti che gli hacker usano per rubare i tuoi dati stanno cambiando continuamente. Ma puoi mitigare la tua esposizione alla vulnerabilità.
Una cosa è certa: usare una password forte, unica e monouso non fa mai male a nessuno., Se vuoi strumenti per creare password complesse e passphrase, possiamo aiutarti!
- Protezione
- Password
- Online Sicurezza
- Hacking
- Consigli di Sicurezza
Circa L’Autore:
Gavin è la Junior Editor per Windows e Tecnologia Spiegato, un assiduo collaboratore di Veramente Utile Podcast, e l’Editor per MakeUseOf della crypto-concentrato luogo della sorella, Blocchi Decodificato., Ha un BA (Hons) Scrittura contemporanea con pratiche di arte digitale saccheggiato dalle colline del Devon, così come oltre un decennio di esperienza di scrittura professionale. Egli gode di abbondanti quantità di tè, giochi da tavolo, e il calcio.
Altro da Gavin Phillips