când auziți „breșă de securitate”, ce îmi vine în minte? Un hacker răuvoitor așezat în fața ecranelor acoperite cu text digital în stil Matrix? Sau un adolescent care locuiește în subsol care nu a văzut lumina zilei de trei săptămâni? Ce zici de un supercomputer puternic care încearcă să pirateze întreaga lume?
Hacking este totul despre un singur lucru: parola. Dacă cineva îți poate ghici parola, nu are nevoie de tehnici de hacking fanteziste și supercomputere. Se vor conecta doar, acționând ca tine. Dacă parola este scurtă și simplă, jocul s-a terminat., există opt tactici comune pe care hackerii le folosesc pentru a-ți Pirata parola. Să aruncăm o privire.
1. Dicționar Hack
Prima până în comun parola hacking tactici ghid este dicționarul de atac. De ce se numește atac de dicționar? Pentru că încearcă automat fiecare cuvânt dintr-un „dicționar” definit împotriva parolei. Dicționarul nu este strict cel pe care l-ai folosit în școală.
nu., Acest dicționar este de fapt un fișier mic care va conține și cele mai frecvent utilizate combinații de parole. Aceasta include 123456, qwerty, parola, iloveyou, și all-time classic, hunter2. Tabelul de mai sus detaliază cele mai scurse parole din 2016. tabelul de mai jos detaliază cele mai scurse parole din 2020. Rețineți asemănările dintre cele două- – – și asigurați-vă că nu utilizați aceste opțiuni incredibil de simple.
Pro: Rapid, de obicei, vă va debloca unele extrem de conturi protejate.,
contra: parolele chiar și ușor mai puternice vor rămâne sigure. rămâneți în siguranță: utilizați o parolă puternică de unică folosință pentru fiecare cont, împreună cu o aplicație de gestionare a parolelor. Managerul de parole vă permite să stocați celelalte parole într-un depozit. Apoi, puteți utiliza o parolă unică, ridicol de puternică pentru fiecare site. Consultați prezentarea generală a Managerului de parole Google pentru a începe cu acesta.
Nevoie de o secure password manager pentru Linux?, Aceste aplicații sunt ușor de utilizat și păstrează parolele online în siguranță.
2. Forța brută
urmează atacul forței brute, prin care un atacator încearcă orice combinație de caractere posibilă. Parolele încercate se vor potrivi cu specificațiile pentru regulile de complexitate, de exemplu, inclusiv una cu majuscule, una cu minuscule, zecimale de Pi, comanda dvs. de pizza și așa mai departe.
un atac de forță brută va încerca, de asemenea, mai întâi combinațiile de caractere alfanumerice cele mai frecvent utilizate. Acestea includ parolele enumerate anterior, precum și 1q2w3e4r5t, zxcvbnm și qwertyuiop., Poate dura foarte mult timp pentru a descoperi o parolă folosind această metodă, dar asta depinde în întregime de complexitatea parolei.
Pro: teoretic, va sparge orice parolă prin încercarea fiecărei combinații.
contra: în funcție de lungimea și dificultatea parolei, ar putea dura un timp extrem de lung. Arunca în câteva variabile, cum ar fi$, &, {, sau], și imaginind parola devine extrem de dificil. rămâneți în siguranță: utilizați întotdeauna o combinație variabilă de caractere și, acolo unde este posibil, introduceți simboluri suplimentare pentru a crește complexitatea.
3., Phishing
acesta nu este strict un „hack”, dar căderea pradă unei încercări de phishing sau de tip spear-phishing se va termina de obicei prost. E-mailuri generale de phishing trimise de miliarde către TOT FELUL de utilizatori de internet din întreaga lume.,un e-mail fals pretinzând a fi de la o organizație majoră sau de afaceri
Înapoi în 2017, cea mai mare phishing nada a fost un fals factura. Cu toate acestea, în 2020, pandemia COVID-19 a oferit o nouă amenințare de phishing., în aprilie 2020, nu la mult timp după ce multe țări au intrat în blocarea pandemiei, Google a anunțat că blochează peste 18 milioane de e-mailuri spam și phishing cu tematică COVID-19 pe zi. Un număr mare de aceste e-mailuri folosesc branding oficial al Guvernului sau al organizației de sănătate pentru legitimitate și pentru a prinde victimele cu garda jos.
Pro: utilizatorul predă literalmente informațiile de conectare, inclusiv parola. Rata de succes relativ ridicată, ușor de adaptat la anumite servicii sau la anumite persoane într-un atac de phishing cu suliță.,
contra: e-mailurile Spam sunt filtrate cu ușurință, domeniile spam sunt listate pe lista neagră și furnizorii majori precum Google actualizează constant protecțiile.
rămâi în siguranță: am analizat modul în care poți identifica un e-mail de phishing. În plus, măriți filtrul de spam la cea mai înaltă setare sau, mai bine, utilizați o listă albă proactivă. Utilizați un verificator de link – uri pentru a afla dacă un link de e-mail este legitim înainte de a face clic.
4. Ingineria socială
ingineria socială este, în esență, phishing în lumea reală, departe de ecran., Citiți exemplul meu scurt, de bază de mai jos (și aici sunt mai multe de care să aveți grijă!). o parte esențială a oricărui audit de securitate este măsurarea a ceea ce înțelege întreaga forță de muncă. În acest caz, o companie de securitate va telefona afacerea pe care o auditează. „Atacatorul” îi spune persoanei de la telefon că sunt noua echipă de asistență tehnică de birou și au nevoie de cea mai recentă parolă pentru ceva specific. Un individ creduli poate preda cheile regatului fără o pauză de gândire. lucrul înfricoșător este cât de des funcționează acest lucru. Ingineria socială există de secole., A fi duplicitar pentru a obține intrarea într-o zonă sigură este o metodă comună de atac și una care este păzită doar cu educație. Acest lucru se datorează faptului că atacul nu va cere întotdeauna direct o parolă. Ar putea fi un instalator fals sau electrician care solicită intrarea într-o clădire sigură și așa mai departe.
Pro: inginerii sociali calificați pot extrage informații de mare valoare dintr-o serie de ținte. Poate fi dislocat împotriva aproape oricine, oriunde. Extrem de ascuns., Contra: un eșec de inginerie socială poate ridica suspiciuni cu privire la un atac iminent, incertitudine cu privire la achiziționarea informațiilor corecte.
rămâneți în siguranță: acesta este unul complicat. Un atac de succes de inginerie socială va fi completă de timp îți dai seama ceva este greșit. Educația și conștientizarea securității sunt o tactică de atenuare de bază. Evitați să postați informații personale care ar putea fi utilizate ulterior împotriva dvs.
5. Tabelul Rainbow
un tabel rainbow este de obicei un atac de parolă offline., De exemplu, un atacator a achiziționat o listă de nume de utilizator și parole, dar acestea sunt criptate. Parola criptată este criptată. Aceasta înseamnă că arată complet diferit de parola originală.
de exemplu, parola este (sperăm că nu!) logmein. Hash-ul MD5 cunoscut pentru această parolă este „8f4047e3233b39e4444e1aef240e80aa.”
Păsărească pentru tine și I., Dar, în anumite cazuri, atacatorul va rula o listă de parole plaintext printr-un algoritm hashing, comparând rezultatele cu un fișier de parolă criptat. În alte cazuri, algoritmul de criptare este vulnerabil, iar majoritatea parolelor sunt deja crăpate, cum ar fi MD5 (de aceea știm hash-ul specific pentru „logmein.”
Acest lucru în cazul în care tabelul curcubeu vine în propriile sale. În loc să proceseze sute de mii de parole potențiale și să se potrivească cu hash-ul rezultat, un tabel curcubeu este un set imens de valori hash specifice algoritmului precomputat.,
folosind un tabel curcubeu scade drastic timpul necesar pentru a sparge o parolă hashed—dar nu este perfect. Hackerii pot achiziționa tabele curcubeu prefabricate populate cu milioane de combinații potențiale. Pro: poate descoperi parole complexe într-o perioadă scurtă de timp, acordă hackerului multă putere asupra anumitor scenarii de securitate.
contra: necesită o cantitate mare de spațiu pentru a stoca enorm (uneori terabytes) tabelul curcubeu. De asemenea, atacatorii sunt limitați la valorile conținute în tabel (în caz contrar, trebuie să adauge un alt tabel întreg).,
rămâneți în siguranță: încă unul complicat. Tabelele Rainbow oferă o gamă largă de potențial de atac. Evitați site-urile care utilizează SHA1 sau MD5 ca algoritm de hashing a parolelor. Evitați orice site-uri care vă limitează la parole scurte sau restricționează caracterele pe care le puteți utiliza. Utilizați întotdeauna o parolă complexă.
vă întrebați cum să știți dacă un site web stochează parolele în text clar? Consultați acest ghid pentru a afla.
6. Un alt mod sigur de a pierde acreditările de conectare este de a cădea fault de malware. Malware-ul este peste tot, cu potențialul de a face daune masive., Dacă varianta malware are un keylogger, puteți găsi toate conturile compromise. în mod alternativ, malware-ul ar putea viza în mod specific date private sau ar putea introduce un troian de acces la distanță pentru a vă fura acreditările. pro: mii de variante malware, multe personalizabile, cu mai multe metode de livrare ușoare. O șansă bună un număr mare de obiective va ceda la cel puțin o variantă. Poate merge nedetectat, permițând recoltarea în continuare a datelor private și a acreditărilor de conectare.,
contra: șansa ca malware-ul să nu funcționeze sau să fie pus în carantină înainte de accesarea datelor, nu garantează că datele sunt utile. rămâneți în siguranță: instalați și actualizați în mod regulat software-ul antivirus și antimalware. Luați în considerare cu atenție sursele de descărcare. Nu faceți clic pe pachetele de instalare care conțin bundleware și multe altele. Steer clar de site-uri nefaste (știu, mai ușor de zis decât de făcut). Utilizați instrumente de blocare a scriptului pentru a opri scripturile rău intenționate.
7. Spidering
legături Spidering în atac dicționar am acoperit mai devreme., Dacă un hacker vizează o anumită instituție sau o afacere, ar putea încerca o serie de parole referitoare la afacerea în sine. Hackerul ar putea citi și colaționa o serie de termeni înrudiți-sau să folosească un păianjen de căutare pentru a face munca pentru ei. este posibil să fi auzit termenul „păianjen” înainte. Acești păianjeni de căutare sunt extrem de asemănători cu cei care se târăsc prin internet, indexând conținut pentru motoarele de căutare. Lista de cuvinte personalizate este apoi utilizată împotriva conturilor de utilizator în speranța de a găsi o potrivire.,
Pro: poate debloca conturi pentru Persoane de rang înalt în cadrul unei organizații. Relativ ușor de a pune împreună și adaugă o dimensiune suplimentară la un atac dicționar.
contra: ar putea foarte bine să ajungă fără rod dacă securitatea rețelei organizaționale este bine configurată.
rămâneți în siguranță prin: din nou, utilizați numai parole puternice, de unică folosință, compuse din șiruri aleatorii—nimic care să facă legătura cu persoana, afacerea, organizația dvs. și așa mai departe.
8. Umăr Surfing
bine, opțiunea finală este una dintre cele mai de bază., Ce se întâmplă dacă cineva doar se uită peste ar trebui în timp ce tastați parola?
umăr surfing sună un pic ridicol, dar se întâmplă. Dacă lucrați într-o cafenea aglomerată din centru și nu acordați atenție împrejurimilor, cineva s-ar putea apropia suficient pentru a vă nota parola pe măsură ce tastați.
Pro: abordare tehnologie scăzută pentru a fura o parolă.
contra: trebuie să identifice ținta înainte de imaginind parola, s-ar putea dezvălui în procesul de furt., rămâneți în siguranță: rămâneți atenți la cei din jurul dvs. atunci când tastați parola, acoperiți tastatura, întunecați cheile în timpul introducerii.
utilizați întotdeauna o parolă puternică, unică, de unică folosință
Deci, cum opriți un hacker să vă fure parola? Răspunsul foarte scurt este că nu puteți fi cu adevărat 100% sigur. Instrumentele pe care hackerii le folosesc pentru a vă fura datele se schimbă tot timpul. Dar vă puteți atenua expunerea la vulnerabilitate. un lucru este sigur: utilizarea unei parole puternice, unice, de unică folosință nu a rănit niciodată pe nimeni., Dacă doriți instrumente pentru crearea de parole puternice și fraze de acces, vă putem ajuta!
- Securitate
- Parola
- Securitate On-line
- Hacking
- Sfaturi de Securitate
Despre Autor
Gavin este Junior Editor pentru Windows și Tehnologie de Explicat, un colaborator regulat cu Adevărat Utile Podcast, și a fost Editor pentru MakeUseOf e cripto-a concentrat sora-ul, Blocuri de Decodat., El are o BA (Hons) scriere contemporană cu practici de artă digitală jefuite de pe dealurile din Devon, precum și peste un deceniu de experiență profesională de scriere. El se bucură de cantități mari de ceai, jocuri de masă și fotbal.
mai mult de la Gavin Phillips