Înțelegerea tehnicilor de spargere a parolelor pe care le folosesc hackerii pentru a vă deschide larg conturile online este o modalitate excelentă de a vă asigura că nu vi se întâmplă niciodată.
Cu siguranță, va trebui întotdeauna să vă schimbați parola și, uneori, mai urgent decât credeți, dar atenuarea împotriva furtului este o modalitate excelentă de a rămâne la curent cu securitatea contului. Puteți oricând să vă adresați www.haveibeenpwned.com pentru a verifica dacă sunteți în pericol, dar pur și simplu să vă gândiți că parola este suficient de sigură pentru a nu fi piratată este o mentalitate proastă.
Așadar, pentru a vă ajuta să înțelegeți cum vă obțin hackerii parolele – sigure sau altfel – am întocmit o listă cu primele zece tehnici de spargere a parolelor utilizate de hackeri. Unele dintre metodele de mai jos sunt cu siguranță depășite, dar asta nu înseamnă că nu sunt încă folosite. Citiți cu atenție și aflați cu ce să reduceți.
Cele mai bune zece tehnici de spargere a parolelor utilizate de hackeri
1. Atacul de dicționar
Atacul dicționarului folosește un fișier simplu care conține cuvinte care pot fi găsite într-un dicționar, de unde numele său destul de simplu. Cu alte cuvinte, acest atac folosește exact genul de cuvinte pe care mulți oameni le folosesc ca parolă.
Gruparea inteligentă a cuvintelor precum „letmein” sau „superadministratorguy” nu va împiedica spargerea parolei dumneavoastră în acest fel – ei bine, nu pentru mai mult de câteva secunde în plus.
2. Atacul de forță brută
Similar atacului din dicționar, atacul cu forță brută vine cu un bonus suplimentar pentru hacker. În loc să utilizeze pur și simplu cuvinte, un atac cu forță brută le permite să detecteze cuvinte care nu sunt dicționare, lucrând prin toate combinațiile alfanumerice posibile de la aaa1 la zzz10.
Nu este rapid, cu condiția ca parola să aibă peste câteva caractere, dar îți va descoperi parola în cele din urmă. Atacurile cu forță brută pot fi scurtate prin aruncarea de cai putere de calcul suplimentară, atât în ceea ce privește puterea de procesare – inclusiv valorificarea puterii GPU-ului plăcii video – cât și a numerelor de mașini, cum ar fi utilizarea modelelor de calcul distribuite, cum ar fi minerii de bitcoin online.
3. Rainbow Table Attack
Tabelele curcubeu nu sunt atât de colorate pe cât ar putea sugera numele lor, dar, pentru un hacker, parola dvs. ar putea fi la sfârșitul acesteia. În cel mai simplu mod posibil, puteți pune un tabel curcubeu într-o listă de hashuri precalculate - valoarea numerică folosită la criptarea unei parole. Acest tabel conține hash-uri ale tuturor combinațiilor posibile de parole pentru orice algoritm de hashing dat. Tabelele Rainbow sunt atractive, deoarece reduc timpul necesar pentru a sparge o parolă hash pentru a căuta doar ceva într-o listă.
Cu toate acestea, mesele curcubeu sunt lucruri uriașe, greoaie. Ele necesită o putere de calcul serioasă pentru a rula și un tabel devine inutil dacă hash-ul pe care încearcă să-l găsească a fost „sărat” prin adăugarea de caractere aleatorii la parola sa înainte de hash-ul algoritmului.
Se vorbește despre mesele curcubeu sărate existente, dar acestea ar fi atât de mari încât să fie greu de folosit în practică. Probabil că ar funcționa doar cu un set predefinit de „caractere aleatoare” și șiruri de parole mai mici de 12 caractere, deoarece dimensiunea tabelului ar fi prohibitivă chiar și pentru hackerii la nivel de stat altfel.
4. Phishing
Există o modalitate ușoară de a pirata, cereți utilizatorului parola. Un e-mail de phishing îl conduce pe cititorul nebănuit la o pagină de conectare falsificată asociată cu orice serviciu pe care hackerul dorește să îl acceseze, de obicei, solicitând utilizatorului să rezolve o problemă teribilă cu securitatea sa. Acea pagină își trece apoi parola și hackerul o poate folosi în propriul scop.
De ce să vă deranjați să vă deranjați de a sparge parola când utilizatorul ți-o va oferi oricum cu plăcere?
5. Inginerie socială
Ingineria socială duce întregul concept „întreaba utilizatorul” în afara căsuței de e-mail cu care phishing-ul tinde să rămână și în lumea reală.
Un favorit al inginerului social este să sune la un birou pretinzând ca un tip de tehnologie de securitate IT și să ceară pur și simplu parola de acces la rețea. Ai fi uimit de cât de des funcționează asta. Unii chiar au gonadele necesare pentru a îmbrăca un costum și o insignă cu numele înainte de a intra într-o afacere pentru a pune recepționerului aceeași întrebare față în față.
6. Programe malware
Un keylogger sau screen scraper poate fi instalat de malware care înregistrează tot ceea ce tastați sau face capturi de ecran în timpul unui proces de conectare și apoi trimite o copie a acestui fișier către centrala hackerilor.
Unele programe malware vor căuta existența unui fișier cu parolă client al browserului web și vor copia acesta care, dacă nu este criptat corespunzător, va conține parole salvate ușor accesibile din istoricul de navigare al utilizatorului.
7. Cracking offline
Este ușor de imaginat că parolele sunt sigure atunci când sistemele pe care le protejează blochează utilizatorii după trei sau patru presupuneri greșite, blocând aplicațiile automate de ghicire. Ei bine, asta ar fi adevărat dacă nu ar fi faptul că cea mai mare parte a piratarii parolelor are loc offline, folosind un set de hashe-uri într-un fișier de parole care a fost „obținut” de la un sistem compromis.
Adesea, ținta în cauză a fost compromisă printr-un hack asupra unei terțe părți, care apoi oferă acces la serverele de sistem și la acele fișiere hash cu parole de utilizator extrem de importante. Schimbarea parolelor poate dura atât timp cât trebuie să încerce să spargă codul fără a alerta sistemul țintă sau utilizatorul individual.
8. Surfing pe umăr
O altă formă de inginerie socială, surfing-ul pe umăr, așa cum implică aceasta, implică aruncarea cu ochiul peste umerii unei persoane în timp ce aceasta introduce acreditările, parolele etc. Deși conceptul are o tehnologie foarte scăzută, ai fi surprins câte parole și informații sensibile este furat în acest fel, așa că rămâneți conștienți de împrejurimile dvs. atunci când accesați conturi bancare etc. din mers.
Cei mai încrezători dintre hackeri vor lua prefața unui curier de colete, tehnician de service aer condiționat sau orice altceva care le oferă acces la o clădire de birouri. Odată ce sunt așezați, „uniforma” personalului de serviciu oferă un fel de trecere gratuită pentru a rătăci nestingherit și pentru a lua notă de parolele introduse de membri autentici ai personalului. De asemenea, oferă o oportunitate excelentă de a observa toate acele note post-it lipite în fața ecranelor LCD cu date de conectare mâzgălite pe ele.
9. Păianjen
Hackerii pricepuți și-au dat seama că multe parole corporative sunt formate din cuvinte care sunt conectate la afacerea în sine. Studierea literaturii corporative, a materialelor de vânzare pe site-uri web și chiar și a site-urilor web ale concurenților și ale clienților enumerați poate oferi muniția pentru a construi o listă de cuvinte personalizată pe care să o folosească într-un atac cu forță brută.
Hackerii cu adevărat pricepuți au automatizat procesul și au lăsat o aplicație spidering, similară cu crawlerele web folosite de motoarele de căutare de top pentru a identifica cuvintele cheie, a colecta și a colala listele pentru ele.
10. Ghici
Cel mai bun prieten al crackerilor de parole este, desigur, predictibilitatea utilizatorului. Cu excepția cazului în care o parolă cu adevărat aleatorie a fost creată folosind un software dedicat sarcinii, este puțin probabil ca o parolă „aleatoare” generată de utilizator să fie ceva de genul.
În schimb, datorită atașamentului emoțional al creierului nostru față de lucrurile care ne plac, sunt șansele ca acele parole aleatorii să se bazeze pe interesele noastre, hobby-urile, animalele de companie, familia și așa mai departe. De fapt, parolele tind să se bazeze pe toate lucrurile despre care ne place să discutăm pe rețelele sociale și chiar să le includem în profilurile noastre. Descoperitorii de parole sunt foarte probabil să se uite la aceste informații și să facă câteva presupuneri – adesea corecte – atunci când încearcă să spargă o parolă la nivel de consumator fără a recurge la atacuri de dicționar sau de forță brută.
Alte atacuri de care să aveți grijă
Dacă hackerilor le lipsește ceva, nu este creativitate. Folosind o varietate de tehnici și adaptându-se la protocoalele de securitate în continuă schimbare, acești intrusi continuă să aibă succes.
De exemplu, oricine de pe Social Media a văzut probabil chestionarele și șabloanele distractive care îți cer să vorbești despre prima ta mașină, despre mâncarea ta preferată, despre cântecul numărul unu de ziua ta de 14 ani. Deși aceste jocuri par inofensive și sunt cu siguranță distractive de postat, ele sunt de fapt un șablon deschis pentru întrebări de securitate și răspunsuri de verificare a accesului la cont.
Când creați un cont, poate încercați să utilizați răspunsuri care nu vă aparțin de fapt, dar pe care le puteți aminti cu ușurință. „Care a fost prima ta mașină?” În loc să răspunzi sincer, pune-ți mașina visurilor. În caz contrar, pur și simplu nu postați niciun răspuns de securitate online.
O altă modalitate de a obține acces este pur și simplu resetarea parolei. Cea mai bună linie de apărare împotriva unui intrus care vă reseta parola este utilizarea unei adrese de e-mail pe care o verificați frecvent și păstrarea informațiilor de contact actualizate. Dacă este disponibil, activați întotdeauna autentificarea cu doi factori. Chiar dacă hackerul vă învață parola, nu poate accesa contul fără un cod unic de verificare.
întrebări frecvente
De ce am nevoie de o parolă diferită pentru fiecare site?
Probabil știi că nu ar trebui să-ți dai parolele și nu ar trebui să descărcați niciun conținut cu care nu sunteți familiarizat, dar cum rămâne cu conturile la care vă conectați în fiecare zi? Să presupunem că utilizați aceeași parolă pentru contul dvs. bancar pe care o utilizați pentru un cont arbitrar precum Grammarly. Dacă Grammarly este piratat, utilizatorul are și parola dvs. bancară (și posibil e-mailul dvs., ceea ce face și mai ușor accesul la toate resursele dvs. financiare).
Ce pot face pentru a-mi proteja conturile?
Utilizarea 2FA pe orice cont care oferă această funcție, utilizarea parolelor unice pentru fiecare cont și utilizarea unui amestec de litere și simboluri este cea mai bună linie de apărare împotriva hackerilor. După cum sa menționat anterior, există o mulțime de moduri diferite prin care hackerii obțin acces la conturile dvs., așa că alte lucruri pe care trebuie să vă asigurați că faceți în mod regulat este să vă păstrați software-ul și aplicațiile la zi (pentru corecțiile de securitate) și evitând orice descărcări cu care nu sunteți familiarizat.
Care este cel mai sigur mod de a păstra parolele?
A ține pasul cu mai multe parole unice ciudate poate fi incredibil de dificil. Deși este mult mai bine să treceți prin procesul de resetare a parolei decât să vă compromiteți conturile, este consumator de timp. Pentru a vă păstra parolele în siguranță, puteți utiliza un serviciu precum Last Pass sau KeePass pentru a salva toate parolele contului.
De asemenea, puteți utiliza un algoritm unic pentru a vă păstra parolele, în timp ce le face mai ușor de reținut. De exemplu, PayPal ar putea fi ceva de genul hwpp+c832. În esență, această parolă este prima literă a fiecărei pauze din adresa URL (//www.paypal.com) cu ultimul număr din anul nașterii tuturor celor din casa ta (doar ca exemplu). Când vă conectați la contul dvs., vedeți adresa URL care vă va oferi primele litere ale acestei parole.
Adăugați simboluri pentru a face parola și mai dificil de piratat, dar organizați-le astfel încât să fie mai ușor de reținut. De exemplu, simbolul „+” poate fi pentru orice conturi legate de divertisment, în timp ce simbolul „!” poate fi folosit pentru conturi financiare.
