quando você ouve “quebra de segurança”, o que me vem à mente? Um hacker malévolo sentado à frente de ecrãs coberto de texto digital ao estilo de matriz? Ou um adolescente que vive na cave que não vê a luz do dia há três semanas? Que tal um supercomputador poderoso a tentar invadir o mundo inteiro?
Hacking é tudo sobre uma coisa: a sua senha. Se alguém pode adivinhar a sua senha, não precisa de técnicas de hacking sofisticadas e supercomputadores. Eles vão fazer login, agindo como você. Se a sua senha é curta e simples, é o fim do jogo.,
existem oito táticas comuns que os hackers usam para hackear a sua senha. Vamos dar uma vista de olhos.
1. Dictionary Hack
First up in the common password hacking tactics guide is the dictionary attack. Por que se chama um ataque de dicionário? Porque ele automaticamente tenta cada palavra em um “dicionário” definido contra a senha. O dicionário não é propriamente o que usaste na escola. não., Este dicionário é na verdade um pequeno arquivo que também contém as combinações de senha mais comumente usadas. Isso inclui 123456, qwerty, password, iLove You, e o clássico de todos os tempos, hunter2. A tabela acima detalha as senhas mais vazadas em 2016.
a tabela abaixo indica as senhas mais divulgadas em 2020. Observe as semelhanças entre os dois—e certifique-se de não usar essas opções incrivelmente simples.
Prós: Rápido, normalmente irá desbloquear alguns, lamentavelmente contas protegidas.,
Cons: palavras-passe ainda ligeiramente mais fortes permanecerão seguras.
Stay safe: Use uma senha forte de uso único para cada conta, em conjunto com um aplicativo de gerenciamento de senha. O Gestor de senhas permite-lhe armazenar as suas outras senhas num repositório. Então, você pode usar uma única e ridiculamente forte senha para cada site. Veja nossa visão geral do Gerenciador de senha do Google para começar com ele.
precisam de um gestor de senhas seguro para o Linux?, Estes aplicativos são fáceis de usar e manter suas senhas on-line seguras.
2. Força bruta
a seguir, o ataque de Força bruta, em que um atacante tenta cada combinação de caracteres possível. As senhas tentadas irão corresponder às especificações para as regras de complexidade, por exemplo, incluindo uma caixa superior, uma caixa inferior, casas decimais de Pi, a sua encomenda de pizza, e assim por diante.
um ataque de Força bruta também tentará as combinações de caracteres alfanuméricos mais usadas primeiro, também. Estes incluem as senhas listadas anteriormente, bem como 1q2w3e4r5t, zxcvbnm, e qwertyuiop., Pode levar muito tempo para descobrir uma senha usando este método, mas isso depende inteiramente da complexidade da senha.
prós: teoricamente, irá quebrar qualquer senha por meio de tentar cada combinação.
Cons: dependendo do comprimento da senha e da dificuldade, pode levar um tempo extremamente longo. Adicione algumas variáveis como$, &, {, or ], e descobrir a senha torna-se extremamente difícil.
Mantenha-se seguro: utilize sempre uma combinação variável de caracteres e, sempre que possível, introduza símbolos adicionais para aumentar a complexidade.
3., Phishing
This isn’t strictly a “hack,” but falling prey to a phishing or spear-phishing attempt will usually end badly. Os e-mails de phishing em geral enviam milhares de milhões para todos os tipos de Usuários de internet em todo o mundo.,um falsificados e-mail que supostamente ser a partir de uma grande organização ou empresa
O volume do diário de spam enviado no mundo continua a ser elevada, representando mais de metade de todos os e-mails enviados globalmente., Além disso, o volume de ligações maliciosas também é elevado, com Kaspersky observando mais de 92 milhões de ligações maliciosas de Janeiro a junho de 2020. Lembre-se, isto é só para Kaspersky, então o número real é muito maior.
de volta em 2017, A maior atração de phishing foi uma fatura falsa. No entanto, em 2020, a pandemia COVID-19 proporcionou uma nova ameaça de phishing.,
Em abril de 2020, pouco tempo depois de muitos países entrarem em confinamento pandémico, o Google anunciou que estava bloqueando mais de 18 milhões de spam malicioso COVID-19 E E-mails de phishing por dia. Muitos desses e-mails usam o governo oficial ou organização de saúde marcando por legitimidade e para capturar vítimas desprevenidas.
prós: o utilizador entrega literalmente as suas informações de autenticação, incluindo a senha. Taxa de sucesso relativamente alta, facilmente adaptada a serviços específicos, ou pessoas específicas em um ataque de phishing lança.,
Cons: os e-mails de Spam são facilmente filtrados, os domínios de spam estão na lista negra, e os principais provedores como o Google constantemente atualizam proteções. Stay safe: nós cobrimos como detectar um e-mail de phishing. Além disso, aumente o seu filtro de spam para a sua configuração mais alta ou, melhor ainda, use uma whitelist proativa. Use um verificador de link para verificar se um link de E-mail é legítimo antes de clicar. 4. A engenharia Social é essencialmente o phishing no mundo real, longe da tela., Leia o meu pequeno e básico exemplo abaixo (e aqui estão mais alguns para ter cuidado!). uma parte fundamental de qualquer auditoria de segurança é aferir o que toda a força de trabalho entende. Neste caso, uma empresa de segurança telefonará para o negócio que está a auditar. O “atacante” diz à pessoa no telefone que eles são a nova equipe de suporte técnico de escritório, e eles precisam da última senha para algo específico. Um indivíduo insuspeito pode entregar as chaves do Reino sem uma pausa para pensar. a coisa assustadora é a frequência com que isto funciona. A engenharia Social existe há séculos., Ser dúplice para entrar em uma área segura é um método comum de ataque e que só é guardado contra com educação. Isso é porque o ataque nem sempre vai pedir uma senha diretamente. Pode ser um falso canalizador ou electricista a pedir entrada num edifício seguro, e assim por diante. profissionais: engenheiros sociais qualificados podem extrair informações de alto valor de uma gama de alvos. Pode ser usado contra quase qualquer um, em qualquer lugar. Extremamente furtivo.,
Cons: uma falha de engenharia social pode levantar suspeitas sobre um ataque iminente, incerteza sobre se a informação correta é obtida.
Stay safe: This is a tricky one. Um ataque bem sucedido de engenharia social estará completo quando você perceber que algo está errado. Educação e consciência de segurança são uma tática de mitigação fundamental. Evite postar informações pessoais que poderiam ser usadas mais tarde contra você.
5. Tabela arco-íris
uma tabela arco-íris é geralmente um ataque de senha offline., Por exemplo, um atacante adquiriu uma lista de nomes de usuário e senhas, mas eles estão criptografados. A senha encriptada está escondida. Isto significa que parece completamente diferente da senha original.
Por exemplo, a sua senha é (Esperemos que não!) logmein. A hash MD5 conhecida para esta senha é ” 8f4047e3233b39e4444e1aef240e80aa.”
sem sentido para você e I., Mas em certos casos, o atacante irá executar uma lista de senhas de texto simples através de um algoritmo de hashing, comparando os resultados com um arquivo de senha criptografada. Em outros casos, o algoritmo de criptografia é vulnerável, e a maioria das senhas já estão rachadas, como MD5 (daí por que nós sabemos o hash específico para logmein.”
aqui onde a tabela arco-íris vem em seu próprio. Em vez de ter que processar centenas de milhares de senhas potenciais e corresponder ao seu hash resultante, uma tabela arco-íris é um enorme conjunto de valores de hash específicos de algoritmos pré-computados.,
usar uma tabela arco-íris diminui drasticamente o tempo que leva para quebrar uma senha hashed – – – – mas não é perfeito. Os Hackers podem comprar mesas rainbow pré-cheias com milhões de combinações potenciais.
prós: pode descobrir senhas complexas em um curto período de tempo, concede ao hacker muito poder sobre certos cenários de segurança.
Cons: requer uma enorme quantidade de espaço para armazenar a enorme tabela arco-íris (às vezes terabytes). Além disso, os atacantes estão limitados aos valores contidos na tabela (caso contrário, eles devem adicionar outra tabela inteira).,
Stay safe: Another tricky one. As mesas arco-íris oferecem uma ampla gama de potencial de ataque. Evite quaisquer sites que usem SHA1 ou MD5 como seu algoritmo de lavagem de senha. Evite quaisquer sites que o limitem a senhas curtas ou restrinja os caracteres que pode usar. Use sempre uma senha complexa. como saber se um site armazena senhas no texto? Confira este guia para descobrir.
6. Malware / Keylogger
outra maneira segura de perder suas credenciais de login é cair falta de malware. Malware está em toda parte, com o potencial de fazer danos maciços., Se a variante de malware possui um keylogger, você pode encontrar todas as suas contas comprometidas.
Alternativamente, o malware pode visar especificamente dados privados ou introduzir um Trojan de acesso remoto para roubar as suas credenciais.
Pros: milhares de variantes de malware, muitas personalizáveis, com vários métodos de entrega fáceis. Uma boa chance de um elevado número de alvos sucumbirão a pelo menos uma variante. Ele pode ir sem ser detectado, permitindo a coleta de dados privados e credenciais de login.,
Cons: Chance de que o malware não vai funcionar, ou está em quarentena antes de acessar os dados, nenhuma garantia de que os dados são úteis.
Stay safe: instale e actualize regularmente o seu software antivírus e antimalware. Considere cuidadosamente as suas fontes de download. Não clique em pacotes de instalação contendo pacotes de bundleware e muito mais. Mantenha-se afastado de sites nefastos (eu sei, mais fácil dito do que feito). Usar as ferramentas de bloqueio de programas para parar os programas maliciosos.
7. Spidering
spidering liga-se ao ataque do dicionário que cobrimos anteriormente., Se um hacker tem como alvo uma instituição ou negócio específico, pode tentar uma série de senhas relacionadas com o próprio negócio. O hacker podia ler e Reunir uma série de termos relacionados –ou usar uma aranha de busca para fazer o trabalho por eles. você deve ter ouvido o termo “aranha” antes. Estas aranhas de busca são extremamente semelhantes às que rastejam pela internet, indexando conteúdo para os motores de busca. A lista de palavras personalizadas é então usada contra contas de usuário na esperança de encontrar uma correspondência.,
prós: pode potencialmente desbloquear contas para indivíduos de alta patente dentro de uma organização. Relativamente fácil de montar e adiciona uma dimensão extra a um ataque de dicionário.
Cons: pode muito bem acabar sem resultados se a segurança da rede organizacional estiver bem configurada.
Mantenha-se seguro por: Mais uma vez, use apenas palavras-passe fortes, de uso único, compostas de strings aleatórias– – nada ligando à sua persona, empresa, organização, e assim por diante.
8. Surfar no ombro
OK, a opção final é uma das mais básicas., E se alguém olhar para o teu dever enquanto Digitas a tua palavra-passe? surfar no ombro parece um pouco ridículo, mas acontece. Se você está trabalhando em um café ocupado no centro da cidade e não prestar atenção ao seu entorno, alguém pode chegar perto o suficiente para anotar a sua senha como você digita. prós: abordagem de baixa tecnologia para roubar uma senha.
Cons: deve identificar o alvo antes de descobrir a senha, pode revelar-se no processo de roubo.,
Mantenha-se seguro: Mantenha-se atento aos que o rodeiam ao escrever a sua senha, cubra o seu teclado, obscureça as suas teclas durante a entrada.
Use sempre uma senha forte, única e de uso único
então, como é que se impede um hacker de roubar a sua senha? A resposta realmente curta é que você não pode ser 100% seguro. As ferramentas que os hackers usam para roubar seus dados estão mudando o tempo todo. Mas podes atenuar a tua exposição à vulnerabilidade.
uma coisa é certa: usar uma senha forte, única e única nunca fez mal a ninguém., Se quiser ferramentas para criar senhas e frases-passe fortes, nós podemos ajudar!
- Segurança
- Senha
- Segurança Online
- Hacking
- Dicas de Segurança
Sobre O Autor
Gavin é o Junior Editor para Windows e Tecnologia Explicado, um colaborador regular de a Realmente Útil Podcast, e foi o Editor MakeUseOf do crypto-focado irmã site, Blocos Decodificado., Ele tem um BA (Hons) escrita contemporânea com práticas de Arte Digital pilhadas das colinas de Devon, bem como mais de uma década de experiência profissional de escrita. Ele gosta de montes de chá, jogos de tabuleiro e futebol.
mais de Gavin Phillips
