8 самых распространенных приемов взлома паролей

8 самых распространенных приемов взлома паролей

Что приходит на ум, когда вы слышите «нарушение безопасности»? Злобный хакер, сидящий перед экранами, покрытыми цифровым текстом в стиле Матрицы? Или подросток из подвала, который не видел дневного света три недели? Как насчет мощного суперкомпьютера, пытающегося взломать весь мир?





Для взлома нужно одно: ваш пароль. Если кто-то может угадать ваш пароль, ему не нужны изощренные техники взлома и суперкомпьютеры. Они просто войдут в систему, действуя как вы. Если ваш пароль короткий и простой, игра окончена.



Хакеры используют восемь распространенных тактик для взлома вашего пароля.





1. Взлом словаря

Первым в руководстве по распространенной тактике взлома паролей является атака по словарю. Почему это называется атакой по словарю? Потому что он автоматически сравнивает каждое слово в определенном «словаре» с паролем. Словарь не совсем тот, который вы использовали в школе.

Нет. Этот словарь на самом деле представляет собой небольшой файл, содержащий также наиболее часто используемые комбинации паролей. Это включает в себя 123456, qwerty, пароль, iloveyou и классику на все времена, hunter2.



что означают полосы в снэпчате

В приведенной выше таблице приведены данные о наиболее распространенных утечках паролей в 2016 году. В таблице ниже приведены данные о наиболее распространенных утечках паролей в 2020 году.

Обратите внимание на сходство между ними и убедитесь, что вы не используете эти невероятно простые варианты.



Плюсы: Быстро; обычно разблокирует некоторые ужасно защищенные учетные записи.

Минусы: Даже немного более надежные пароли останутся в безопасности.



Оставайтесь в безопасности: Используйте надежный одноразовый пароль для каждой учетной записи вместе с приложение для управления паролями . Менеджер паролей позволяет хранить другие пароли в репозитории. Тогда вы можете использовать один смехотворно надежный пароль для каждого сайта.

Связанный: Диспетчер паролей Google: с чего начать

2. Грубая сила

Далее идет атака грубой силой, при которой злоумышленник пробует все возможные комбинации символов. Попытки ввести пароли будут соответствовать спецификациям правил сложности, например включая один верхний регистр, один нижний регистр, десятичные дроби числа Пи, ваш заказ пиццы и так далее.

При атаке методом грубой силы также сначала будут проверяться наиболее часто используемые комбинации буквенно-цифровых символов. К ним относятся ранее перечисленные пароли, а также 1q2w3e4r5t, zxcvbnm и qwertyuiop. Подбор пароля с помощью этого метода может занять очень много времени, но это полностью зависит от сложности пароля.

Плюсы: Теоретически он взломает любой пароль, перебирая каждую комбинацию.

Минусы: В зависимости от длины и сложности пароля это может занять очень много времени. Добавьте несколько переменных, таких как $, &, {или], и узнать пароль станет чрезвычайно сложно.

Оставайтесь в безопасности: Всегда используйте переменную комбинацию символов и, если возможно, ввести дополнительные символы для увеличения сложности .

3. Фишинг

Это не совсем «взлом», но стать жертвой фишинга или целевого фишинга, как правило, плохо. Обычные фишинговые электронные письма рассылаются миллиардами всем пользователям Интернета по всему миру.

Фишинговое письмо обычно работает следующим образом:

  1. Целевой пользователь получает поддельное электронное письмо, якобы от крупной организации или компании.
  2. Поддельное письмо со ссылкой на веб-сайт требует немедленного внимания.
  3. Эта ссылка фактически подключается к фальшивому порталу входа в систему, который выглядит точно так же, как и законный сайт.
  4. Ничего не подозревающий целевой пользователь вводит свои учетные данные, и его либо перенаправляют, либо просят повторить попытку.
  5. Учетные данные пользователей украдены, проданы или используются нечестиво (или и то, и другое).

Ежедневный объем спама, отправляемого по всему миру, остается высоким, составляя более половины всех электронных писем, отправляемых по всему миру. Кроме того, количество вредоносных вложений также велико с Kaspersky отмечая более 92 миллионов вредоносных вложений с января по июнь 2020 года. Помните, что это только для «Лаборатории Касперского», поэтому реальное число намного выше .

Еще в 2017 году самой большой фишинг-приманкой был фальшивый счет. Однако в 2020 году пандемия COVID-19 представила новую фишинговую угрозу.

В апреле 2020 года, вскоре после того, как во многих странах была введена изоляция от пандемии, Google объявил он блокировал более 18 миллионов вредоносных спама и фишинговых писем на тему COVID-19 в день. В огромном количестве этих писем используется официальный бренд правительства или организаций здравоохранения для легитимности и застает жертв врасплох.

Плюсы: Пользователь буквально передает свою информацию для входа в систему, включая пароли - относительно высокий процент совпадений, легко адаптируемый к конкретным службам или конкретным людям в рамках целевой фишинг-атаки.

Минусы: Спам-сообщения легко фильтруются, спам-домены заносятся в черный список, а основные поставщики, такие как Google, постоянно обновляют средства защиты.

Оставайтесь в безопасности: Скептически относитесь к электронным письмам и увеличьте свой спам-фильтр до максимального уровня или, что еще лучше, используйте упреждающий белый список. Использовать средство проверки ссылок для выяснения если ссылка на электронную почту действительна до нажатия.

4. Социальная инженерия

Социальная инженерия - это, по сути, фишинг в реальном мире, вдали от экрана.

Ключевой частью любого аудита безопасности является оценка того, что понимают все сотрудники. Например, охранная компания позвонит в компанию, которую они проверяют. «Злоумышленник» говорит человеку по телефону, что он - новая команда техподдержки офиса, и ему нужен последний пароль для чего-то конкретного.

Ничего не подозревающий человек может передать ключи, не задумываясь.

Страшно то, как часто это срабатывает. Социальная инженерия существует веками. Двуличие с целью проникновения в безопасную зону - распространенный метод нападения, от которого можно защититься только с помощью просвещения.

Это связано с тем, что атака не всегда запрашивает пароль напрямую. Это может быть фальшивый сантехник или электрик, запрашивающий вход в охраняемое здание и т. Д.

Когда кто-то говорит, что его обманом заставили раскрыть пароль, это часто является результатом социальной инженерии.

Плюсы: Квалифицированные социальные инженеры могут извлекать ценную информацию из целого ряда целей. Его можно использовать практически против кого угодно и где угодно. Это очень незаметно.

Минусы: Провал социальной инженерии может вызвать подозрения о надвигающейся атаке и неуверенность в том, будет ли получена правильная информация.

Оставайся в безопасности : Это непростой вопрос. Успешная атака социальной инженерии будет завершена, когда вы поймете, что что-то не так. Обучение и осведомленность о безопасности - основная тактика смягчения последствий. Избегайте публикации личной информации, которая впоследствии может быть использована против вас.

5. Радужный стол

Радужная таблица - это обычно офлайн-атака по паролю. Например, злоумышленник получил список имен пользователей и паролей, но они зашифрованы. Зашифрованный пароль хешируется. Это означает, что он полностью отличается от исходного пароля.

Например, ваш пароль (надеюсь, нет!) Logmein. Известный хэш MD5 для этого пароля - «8f4047e3233b39e4444e1aef240e80aa».

Тарабарщина для вас и меня. Но в некоторых случаях злоумышленник запускает список паролей в виде открытого текста с помощью алгоритма хеширования, сравнивая результаты с зашифрованным файлом паролей. В других случаях алгоритм шифрования уязвим, и большинство паролей уже взломано, например MD5 (отсюда и известен конкретный хэш для logmein.

Здесь радужный стол вступает в свои права. Вместо того, чтобы обрабатывать сотни тысяч потенциальных паролей и сопоставлять их результирующий хэш, радужная таблица представляет собой огромный набор предварительно вычисленных хеш-значений для конкретного алгоритма.

Использование радужной таблицы резко сокращает время, необходимое для взлома хешированного пароля, но это не идеально. Хакеры могут приобрести предварительно заполненные радужные таблицы, заполненные миллионами потенциальных комбинаций.

Плюсы: Может разгадывать сложные пароли за короткий промежуток времени; предоставляет хакеру большую власть над определенными сценариями безопасности.

Минусы: Требуется огромное количество места для хранения огромной (иногда терабайтной) радужной таблицы. Кроме того, злоумышленники ограничены значениями, содержащимися в таблице (в противном случае они должны добавить еще одну целую таблицу).

панель задач не отвечает в Windows 10

Оставайтесь в безопасности: Еще один хитрый. Радужные столы предлагают широкий диапазон атакующего потенциала. Избегайте любых сайтов, которые используют SHA1 или MD5 в качестве алгоритма хеширования паролей. Избегайте любых сайтов, которые ограничивают вас короткими паролями или ограничивают символы, которые вы можете использовать. Всегда используйте сложный пароль.

По теме: Как узнать, хранит ли сайт пароли в виде открытого текста (и что делать)

6. Вредоносное ПО / кейлоггер

Еще один верный способ потерять учетные данные - это столкнуться с вредоносным ПО. Вредоносное ПО присутствует повсюду и может нанести огромный ущерб. Если вариант вредоносного ПО имеет кейлоггер, вы можете найти все ваших учетных записей скомпрометированы.

В качестве альтернативы вредоносная программа может специально нацеливаться на личные данные или внедрять трояна удаленного доступа для кражи ваших учетных данных.

Плюсы: Тысячи вариантов вредоносных программ, многие из которых настраиваются, с несколькими простыми способами доставки. Велика вероятность, что большое количество целей поддастся хотя бы одному варианту. Он может оставаться незамеченным, что позволяет собирать личные данные и учетные данные.

Минусы: Вероятность того, что вредоносное ПО не будет работать или будет помещено в карантин перед доступом к данным; нет гарантии, что данные будут полезны.

Оставайся в безопасности : Установите и регулярно обновляйте антивирус и антивредоносное ПО программное обеспечение. Внимательно изучите источники загрузки. Не щелкайте по установочным пакетам, содержащим связки и многое другое. Держитесь подальше от гнусных сайтов (легче сказать, чем сделать). Используйте инструменты блокировки скриптов, чтобы остановить вредоносные скрипты.

7. Spidering

Паутина связана с атакой по словарю. Если хакер нацелен на конкретное учреждение или бизнес, он может попробовать ввести серию паролей, относящихся к самому бизнесу. Хакер мог прочитать и сопоставить ряд связанных терминов или использовать поискового паука, чтобы выполнить работу за них.

Возможно, вы уже слышали термин «паук». Эти поисковые пауки очень похожи на тех, что ползают по Интернету, индексируя контент для поисковых систем. Пользовательский список слов затем используется против учетных записей пользователей в надежде найти совпадение.

Плюсы: Потенциально может разблокировать учетные записи для высокопоставленных лиц в организации. Относительно легко собрать и добавляет дополнительное измерение к словарной атаке.

Минусы: Может закончиться безрезультатно, если сетевая безопасность организации хорошо настроена.

Оставайтесь в безопасности: Опять же, используйте только надежные одноразовые пароли, состоящие из случайных строк; ничего, связанного с вашей персоной, бизнесом, организацией и т. д.

как получить доступ к сим-карте на телефоне Android

8. Серфинг через плечо.

Финальный вариант - один из самых основных. Что, если кто-то просто смотрит вам через плечо, пока вы вводите пароль?

Серфинг на плечах звучит немного нелепо, но это случается. Если вы работаете в оживленном кафе в центре города и не обращаете внимания на свое окружение, кто-то может подойти достаточно близко, чтобы запомнить ваш пароль при вводе.

Плюсы: Низкотехнологичный подход к краже пароля.

Минусы: Необходимо идентифицировать цель перед выяснением пароля; могли проявить себя в процессе воровства.

Оставайтесь в безопасности: Наблюдайте за окружающими при вводе пароля. Закройте клавиатуру и закройте клавиши во время ввода.

Всегда используйте надежный, уникальный, одноразовый пароль

Итак, как же остановить хакера, который украл ваш пароль? На самом деле краткий ответ: вы не можете быть в безопасности на 100 процентов . Инструменты, которые хакеры используют для кражи ваших данных, постоянно меняются, и существует бесчисленное множество видео и руководств по угадыванию паролей или изучению того, как взломать пароль.

Одно можно сказать наверняка: использование надежного, уникального и одноразового пароля никому не повредит.

Делиться Делиться Твитнуть Эл. адрес 5 инструментов паролей для создания надежных парольных фраз и обновления вашей безопасности

Создайте надежный пароль, который вы сможете вспомнить позже. Используйте эти приложения, чтобы повысить свою безопасность с помощью новых надежных паролей уже сегодня.

Читать далее Похожие темы
  • Безопасность
  • Советы по паролю
  • Интернет-безопасность
  • Взлом
  • Советы по безопасности
Об авторе Гэвин Филлипс(Опубликовано 945 статей)

Гэвин - младший редактор отдела Windows and Technology Explained, постоянный участник Really Useful Podcast и регулярный обозреватель продуктов. У него есть степень бакалавра (с отличием) в области современного письма с использованием методов цифрового искусства, разграбленных на холмах Девона, а также более десяти лет профессионального писательского опыта. Он любит много пить чая, настольные игры и футбол.

Ещё от Gavin Phillips

Подписывайтесь на нашу новостную рассылку

Подпишитесь на нашу рассылку технических советов, обзоров, бесплатных электронных книг и эксклюзивных предложений!

Нажмите здесь, чтобы подписаться