8 најчешћих трикова који се користе за хаковање лозинки

8 најчешћих трикова који се користе за хаковање лозинки

Шта вам пада на памет када чујете „кршење безбедности“? Злонамерни хакер који седи испред екрана прекривених дигиталним текстом у стилу Матрика? Или тинејџер у подруму који три недеље није видео дневно светло? Шта кажете на моћно суперкомпјутер који покушава да хакује цео свет?





Хаковање се своди на једну ствар: вашу лозинку. Ако неко може погодити вашу лозинку, нису му потребне отмене технике хаковања и суперрачунари. Они ће се само пријавити, понашајући се као ви. Ако је ваша лозинка кратка и једноставна, игра је готова.



Постоји осам уобичајених тактика које хакери користе за хаковање ваше лозинке.





1. Дицтионари Хацк

Први у уобичајеним тактичким упутствима за хаковање лозинки је напад на речник. Зашто се то назива нападом на речник? Зато што аутоматски покушава сваку реч у дефинисаном „речнику“ против лозинке. Речник није стриктно онај који сте користили у школи.

Не. Овај речник је заправо мала датотека која садржи и најчешће коришћене комбинације лозинки. То укључује 123456, кверти, лозинку, иловеиоу и класик свих времена, хунтер2.



како повезати телефон са телевизором

Горња табела приказује највише лозинки које су процуреле у 2016. Доња табела приказује највише лозинки које су процуреле у 2020.

Обратите пажњу на сличности између ова два - и уверите се да не користите ове невероватно једноставне опције.



Предности: Фаст; ће обично откључати неке јадно заштићене налоге.

Против: Чак и нешто јаче лозинке остаће сигурне.



Чувај се: Користите јаку лозинку за једнократну употребу за сваки налог, заједно са апликацију за управљање лозинком . Менаџер лозинки вам омогућава да сачувате остале лозинке у спремишту. Тада можете користити једну, смешно јаку лозинку за свако место.

Повезан: Гоогле управитељ лозинки: Како започети

2. Бруте Форце

Следи напад грубом силом, при чему нападач испробава све могуће комбинације знакова. Покушане лозинке ће се подударати са спецификацијама правила сложености, нпр. укључујући једно велико, једно мало слово, децимале броја Пи, вашу наруџбу пице итд.

Напад грубом силом ће такође испробати најчешће коришћене комбинације алфанумеричких знакова. Ово укључује претходно наведене лозинке, као и 1к2в3е4р5т, зкцвбнм и квертиуиоп. Овом методом може бити потребно много времена да се утврди лозинка, али то у потпуности зависи од сложености лозинке.

Предности: Теоретски, разбиће сваку лозинку покушавајући сваку комбинацију.

Против: У зависности од дужине лозинке и потешкоћа, могло би потрајати изузетно дуго. Додајте неколико променљивих као што су $, &, {, или], а откривање лозинке постаје изузетно тешко.

Чувај се: Увек користите променљиву комбинацију знакова, а где је то могуће, увести додатне симболе за повећање сложености .

3. Лажно представљање

Ово није стриктно „хаковање“, али падање у плен за покушај „пецања“ или „копљања“ обично ће се лоше завршити. Опште пхисхинг е -поруке које милијарде шаљу свим врстама корисника интернета широм света.

Имејл за крађу идентитета генерално функционише овако:

  1. Циљани корисник прима лажну е -пошту за коју се претпоставља да је из велике организације или предузећа.
  2. Лажна е -пошта захтева хитну пажњу јер садржи везу до веб локације.
  3. Ова веза се заправо повезује са лажним порталом за пријаву, исмејаним да изгледа потпуно исто као и легитимна веб локација.
  4. Циљани корисник који ништа не сумња уноси своје акредитиве за пријаву и преусмерава му се или му каже да покуша поново.
  5. Кориснички акредитиви се краду, продају или злоупотребљавају (или обоје).

Дневна количина нежељене поште која се шаље широм света и даље је висока, што чини више од половине свих порука е -поште које се шаљу глобално. Штавише, и количина злонамерних прилога је велика код компаније Касперски уз напомену преко 92 милиона злонамерних прилога од јануара до јуна 2020. Упамтите, ово је само за Касперски, дакле стварни број је много већи .

Још 2017. године највећи пхисхинг мамац био је лажна фактура. Међутим, 2020. године пандемија ЦОВИД-19 донела је нову претњу „пецањем“.

У априлу 2020., недуго након што су многе земље ушле у блокаду пандемије, Гоогле најавио блокирао је преко 18 милиона злонамерних нежељених порука и пхисхинг порука на тему ЦОВИД-19 на дан. Огроман број ових е-порука користи службене владине или здравствене организације за легитимитет и ухвати жртве неспремне.

Предности: Корисник дословно предаје своје податке за пријављивање, укључујући лозинке-релативно високу стопу погодака, лако прилагођену одређеним услугама или одређеним људима у нападу са лажним представљањем.

Против: Нежељена е -пошта се лако филтрира, домени нежељене поште се налазе на црној листи, а велики провајдери попут Гооглеа стално ажурирају заштиту.

Чувај се: Будите скептични према е -порукама и повећајте свој филтер нежељене поште на највећу поставку или, још боље, користите проактивну белу листу. Употреба проверавач веза да се утврди ако је линк до е -поште легитиман пре него што кликнете.

4. Друштвени инжењеринг

Друштвени инжењеринг је у суштини крађа идентитета у стварном свету, далеко од екрана.

Суштински део сваке безбедносне ревизије је процена онога што цела радна снага разуме. На пример, заштитарска компанија ће назвати посао који ревидира. 'Нападач' говори особи на телефону да је то нови тим за техничку подршку у канцеларији и да им је потребна најновија лозинка за нешто одређено.

Особа која ништа не сумња може предати кључеве без паузе за размишљање.

Застрашујуће је колико често ово функционише. Друштвени инжењеринг постоји вековима. Бити дволичан за улазак у заштићено подручје уобичајен је начин напада који се једино штити образовањем.

То је зато што напад неће увек директно тражити лозинку. То може бити лажни водоинсталатер или електричар који тражи улазак у сигурну зграду итд.

Када неко каже да је преварен да открије своју лозинку, то је често резултат друштвеног инжењеринга.

Предности: Вјешти друштвени инжењери могу извући вриједне информације из низа циљева. Може се применити против готово било кога, било где. Изузетно је тајно.

Против: Неуспех друштвеног инжењеринга може изазвати сумњу у предстојећи напад и неизвесност у погледу тога да ли су прибављене тачне информације.

Чувај се : Ово је лукаво. Успешан напад друштвеног инжењеринга биће завршен до тренутка када схватите да нешто није у реду. Образовање и свест о безбедности кључна су тактика ублажавања. Избегавајте објављивање личних података који би се касније могли користити против вас.

5. Раинбов Табле

Дужина стола је обично офлајн напад лозинком. На пример, нападач је стекао листу корисничких имена и лозинки, али су они шифровани. Шифрована лозинка је хеширана. То значи да изгледа потпуно другачије од оригиналне лозинке.

На пример, ваша лозинка је (надам се да није!) Логмеин. Познати МД5 хеш за ову лозинку је '8ф4047е3233б39е4444е1аеф240е80аа.'

Причајте вама и мени. Али у одређеним случајевима, нападач ће покренути листу лозинки отвореног текста путем алгоритма за хеширање, упоређујући резултате са шифрованом датотеком лозинке. У другим случајевима, алгоритам шифровања је рањив, а већина лозинки је већ испуцала, попут МД5 (отуда и знамо специфичан хеш за 'логмеин'.

Овде дугин сто долази на своје. Уместо да мора да обрађује стотине хиљада потенцијалних лозинки и упоређује њихов резултујући хеш, дугачка табела је огроман скуп унапред израчунатих вредности хеширања специфичних за алгоритам.

Употреба дугиних табела драстично смањује време потребно за разбијање хеширане лозинке - али није савршено. Хакери могу купити већ напуњене дугине столове попуњене милионима потенцијалних комбинација.

Предности: Може да схвати сложене лозинке за кратко време; даје хакеру велику моћ над одређеним безбедносним сценаријима.

Против: Захтева огромну количину простора за складиштење огромног (понекад терабајта) дугиног стола. Такође, нападачи су ограничени на вредности садржане у табели (у супротном, морају да додају још једну целу табелу).

где могу да одштампам нешто из своје е -поште

Чувај се: Још једна лукава. Раинбов столови нуде широк спектар нападачког потенцијала. Избегавајте све веб локације које користе СХА1 или МД5 као алгоритам за хеширање лозинки. Избегавајте све веб локације које вас ограничавају на кратке лозинке или ограничавају знакове које можете да користите. Увек користите сложену лозинку.

Повезано: Како знати да ли локација чува лозинке у отвореном тексту (и шта треба учинити)

6. Малвер/Кеилоггер

Још један сигуран начин да изгубите акредитиве за пријављивање је да се огрешите о злонамерни софтвер. Злонамерни софтвер је свуда, са потенцијалом да нанесе огромну штету. Могли бисте пронаћи ако варијанта злонамерног софтвера садржи кеилоггер све ваших рачуна угрожено.

Алтернативно, злонамерни софтвер би могао посебно циљати приватне податке или увести тројанца за даљински приступ како би украо ваше акредитиве.

Предности: Хиљаде варијанти злонамерног софтвера, многе прилагодљиве, са неколико једноставних метода испоруке. Добра је шанса да ће велики број мета подлећи барем једној варијанти. Може остати неоткривен, омогућавајући даље прикупљање приватних података и акредитива за пријаву.

Против: Могућност да злонамерни софтвер неће радити или је стављен у карантену пре приступа подацима; нема гаранције да су подаци корисни.

Чувај се : Инсталирајте и редовно ажурирајте антивирус и антималваре софтвер. Пажљиво размислите о изворима преузимања. Немојте листати инсталационе пакете који садрже бундлеваре и још много тога. Клоните се лоших сајтова (лакше рећи него учинити). Користите алате за блокирање скрипти да бисте зауставили злонамерне скрипте.

7. Спидеринг

Додавање веза у напад на речник. Ако хакер циља одређену институцију или посао, могао би покушати с низом лозинки које се односе на само пословање. Хакер је могао прочитати и упоредити низ повезаних израза - или користити паука за претрагу да обави посао уместо њих.

Можда сте већ чули израз 'паук'. Ови пауци за претраживање су изузетно слични онима који пужу по интернету, индексирајући садржај за претраживаче. Прилагођена листа речи се затим користи против корисничких налога у нади да ће пронаћи подударност.

Предности: Може потенцијално откључати рачуне за високо рангиране појединце у организацији. Релативно лако састављање и додаје додатну димензију нападу на речник.

Против: Могло би завршити без резултата ако је безбедност организационе мреже добро конфигурисана.

Чувај се: Опет, користите само јаке лозинке за једнократну употребу које се састоје од насумичних низова; ништа што повезује вашу личност, посао, организацију итд.

спољни чврсти диск се не појављује у систему Виндовс 10

8. Сурфање преко рамена

Коначна опција је једна од најосновнијих. Шта ако вам неко само погледа преко рамена док уносите лозинку?

Сурфовање преко рамена звучи помало смешно, али то се дешава. Ако радите у ужурбаном кафићу у центру града и не обраћате пажњу на околину, неко би вам се могао приближити да забележи вашу лозинку док куцате.

Предности: Приступ ниске технологије крађи лозинке.

Против: Морате идентификовати циљ пре него што схватите лозинку; могли да се открију у процесу крађе.

Чувај се: Будите пажљиви према онима око вас када уносите лозинку. Покријте тастатуру и заклоните кључеве током уноса.

Увек користите јаку, јединствену лозинку за једнократну употребу

Па, како зауставити хакера да вам украде лозинку? Заиста кратак одговор је следећи не можете заиста бити 100 % сигурни . Алати које хакери користе за крађу ваших података се стално мењају и постоји безброј видео записа и водича о погађању лозинки или учењу како хаковати лозинку.

Једно је сигурно: коришћење јаке, јединствене лозинке за једнократну употребу никада никоме није нашкодило.

Објави Објави Твеет Емаил 5 алата за лозинке за креирање јаких приступних фраза и ажурирање ваше безбедности

Направите јаку лозинку коју ћете касније запамтити. Помоћу ових апликација надоградите своју безбедност новим снажним лозинкама већ данас.

Прочитајте следеће Повезане теме
  • Сигурност
  • Савети за лозинку
  • Безбедност на мрежи
  • Хакирање
  • Савети за безбедност
О аутору Гавин Пхиллипс(Објављено 945 чланака)

Гавин је млађи уредник за Виндовс и Екплаинед Тецхнологи, редовни сарадник Реалли Усефул Подцаст -а и редовни рецензент производа. Он има БА (Хонс) савремено писање са дигиталном уметничком праксом опљачканом са брда Девона, као и више од деценије професионалног искуства у писању. Ужива у великим количинама чаја, друштвених игара и фудбала.

Више од Гавина Пхиллипса

Претплатите се на наш билтен

Придружите се нашем билтену за техничке савете, критике, бесплатне е -књиге и ексклузивне понуде!

Кликните овде да бисте се претплатили