7 самых распространенных тактик, используемых для взлома паролей

1. 1. Словарь
2. 2. Грубая сила
3. 3. Фишинг
4. 4. Социальная инженерия
5. 5. Радужный Стол
6. 6. Вредоносные программы / Кейлоггер
7. 7. Паук
8. Сильный, уникальный, одноразовый

Реклама

Когда вы слышите «нарушение безопасности», что приходит на ум? злобный хакер сидит перед экранами с матричным цифровым потоком текста? Или подросток, живущий в подвале, который не видел дневного света три недели? Как насчет мощного суперкомпьютера, пытающегося взломать весь мир?

Реальность такова, что все эти ситуации могут сводиться к одному простому аспекту: скромный, но жизненно важный пароль. Если у кого-то есть ваш пароль, игра, по сути, окончена. Если ваш пароль слишком короткий или легко угадывается, игра окончена. И когда есть нарушение безопасности, вы можете догадаться, что гнусные люди ищут в темной сети. Вот так. Ваш пароль.

Существует семь распространенных тактик взлома паролей. Давайте взглянем.

1. Словарь

Первым в общем руководстве по тактике взлома паролей является атака по словарю. Почему это называется атакой по словарю? Потому что он автоматически пробует каждое слово в определенном «словаре» против пароля. Словарь не совсем тот, который вы использовали в школе.

Нет. Этот словарь на самом деле представляет собой небольшой файл, который также будет содержать наиболее часто используемые комбинации паролей. Сюда входят 123456, qwerty, пароль, mynoob, принцесса, бейсбол и классика на все времена hunter2.

Плюсы: быстро, обычно разблокирует некоторые крайне защищенные учетные записи ,

Минусы: даже чуть более надежные пароли останутся в безопасности.

Будьте в безопасности: используйте надежный одноразовый пароль для каждой учетной записи в сочетании с приложение для управления паролями , Менеджер паролей позволяет хранить другие ваши пароли в хранилище. Затем вы можете использовать один, смехотворно надежный пароль для каждого сайта. Увидеть наш обзор Менеджера паролей Google Менеджер паролей Google: 7 вещей, которые вы должны знать Менеджер паролей Google: 7 вещей, которые вы должны знать Ищете менеджер паролей? Вот почему вы должны быть простыми и полагаться на Менеджер паролей Google Chrome. Прочитайте больше начать с этим.

2. Грубая сила

Далее мы рассмотрим атаку грубой силой, при которой атакующий пробует каждую возможную комбинацию символов. Попытки паролей будут соответствовать спецификациям для правил сложности, например, включая один верхний регистр, один нижний регистр, десятичные числа Пи, ваш заказ пиццы и так далее.

Атака грубой силы также сначала попытается использовать наиболее часто используемые буквенно-цифровые комбинации символов. К ним относятся ранее перечисленные пароли, а также 1q2w3e4r5t, zxcvbnm и qwertyuiop.

Плюсы: теоретически взломать пароль, попробовав каждую комбинацию.

Минусы: в зависимости от длины пароля и сложности, может занять очень много времени. Добавьте несколько переменных, таких как $, &, {, или], и задача станет чрезвычайно сложной.

Будьте в безопасности: всегда используйте переменную комбинацию символов и, где возможно ввести дополнительные символы для увеличения сложности 6 советов по созданию нерушимого пароля, который вы можете запомнить 6 советов по созданию нерушимого пароля, который вы можете запомнить Если ваши пароли не уникальны и не могут быть взломаны, вы также можете открыть входную дверь и пригласить грабителей на обед. Прочитайте больше ,

3. Фишинг

Это не просто «взлом», но попадание в жертву фишинговой или копьевой фишинг-попытки обычно заканчивается плохо. Общие фишинговые письма рассылаются миллиардами разным пользователям интернета по всему миру.

Фишинговая электронная почта обычно работает так:

1. Целевой пользователь получает поддельное электронное письмо, предположительно принадлежащее крупной организации или бизнесу
2. Фальсифицированная электронная почта требует немедленного внимания, включая ссылку на веб-сайт
3. Ссылка на сайт фактически ссылается на фальшивый портал авторизации, макет которого выглядит точно так же, как и законный сайт
4. Не подозревающий целевой пользователь вводит свои учетные данные для входа и либо перенаправляется, либо ему предлагается повторить попытку
5. Учетные данные пользователя украдены, проданы или использованы ненадлежащим образом (или оба!).

Несмотря на то, что в 2016 году несколько очень крупных ботнетов были отключены, к концу года рассылка спама увеличился в четыре раза [IBM X-Force PDF, Регистрация]. Кроме того, вредоносные вложения росли с беспрецедентной скоростью, как показано на рисунке ниже.

И, согласно Отчет об интернет-угрозах Symantec 2017 поддельные счета являются фишинг-приманкой № 1.

Плюсы: пользователь буквально передает свою регистрационную информацию, включая пароль. Относительно высокий уровень посещаемости, легко адаптируемый к конкретным услугам ( Apple ID являются целью № 1 ).

Минусы: спам-письма легко фильтруются, а спам-домены заносятся в черный список.

Будьте в безопасности: мы покрыли как определить фишинговое письмо Как определить фишинговую электронную почту Как определить фишинговую электронную почту Поймать фишинговое письмо сложно! Мошенники изображают из себя PayPal или Amazon, пытаясь украсть ваш пароль и информацию о кредитной карте, если их обман почти идеален. Мы покажем вам, как обнаружить мошенничество. Прочитайте больше (так же как Вишинг и улыбка Новые методы фишинга, о которых нужно знать: Vishing and Smishing Новые методы фишинга, о которых нужно знать: Vishing and Smishing Vishing и smishing - новые опасные варианты фишинга. На что вам следует обращать внимание? Как вы узнаете о попытке похоти или улыбки, когда она прибудет? И вы, вероятно, будете целью? Прочитайте больше ). Кроме того, увеличьте максимальную настройку фильтра спама или, что еще лучше, используйте активный белый список. использование проверка ссылок, чтобы установить 7 быстрых сайтов, позволяющих проверить, безопасна ли ссылка 7 быстрых сайтов, позволяющих проверить, безопасна ли ссылка Прежде чем щелкнуть ссылку, используйте эти средства проверки ссылок, чтобы убедиться, что они не ведут к вредоносным программам или другим угрозам безопасности. Прочитайте больше если ссылка на электронную почту является законной до нажатия.

4. Социальная инженерия

Социальная инженерия в некотором роде похожа на фишинг в реальном мире, вдали от экрана. Прочитайте мой короткий, основной пример ниже (и вот еще некоторые, чтобы остерегаться Как защитить себя от этих 8 атак социальной инженерии Как защитить себя от этих 8 атак социальной инженерии Какие методы социальной инженерии использовал бы хакер и как бы вы защитились от них? Давайте рассмотрим некоторые из наиболее распространенных методов атаки. Прочитайте больше !).

Основной частью любого аудита безопасности является оценка того, что понимают все сотрудники. В этом случае охранная компания позвонит в бизнес, который они проверяют. «Злоумышленник» сообщает человеку по телефону, что он является новой службой технической поддержки офиса, и ему нужен последний пароль для чего-то определенного. Ничего не подозревающий человек может передать ключи от королевства, не задумываясь.

Страшно то, как часто это на самом деле работает. Социальная инженерия существует веками. Двуличность с целью проникновения в безопасную зону является распространенным методом нападения, и он защищен только с помощью образования. Это потому, что атака не всегда запрашивает пароль напрямую. Это может быть фальшивый сантехник или электрик, просящий войти в безопасное здание и так далее.

Плюсы: опытные социальные инженеры могут извлечь ценную информацию из целого ряда целей. Может быть развернут практически против кого угодно и где угодно. Очень скрытно

Минусы: сбой может вызвать подозрения в отношении надвигающейся атаки, неопределенность в отношении того, была ли получена правильная информация.

Оставайтесь в безопасности : это сложно. Успешная атака социальной инженерии будет завершена, когда вы поймете, что что-то не так. Образование и осведомленность о безопасности являются основной тактикой смягчения последствий. Избегайте публикации личной информации, которая впоследствии может быть использована против вас.

5. Радужный Стол

Радужная таблица - это обычно атака паролем в автономном режиме. Например, злоумышленник получил список имен пользователей и паролей, но они зашифрованы. Зашифрованный пароль хешируется Каждый безопасный сайт делает это с вашим паролем Каждый безопасный сайт делает это с вашим паролем Задумывались ли вы, как веб-сайты защищают ваш пароль от взлома данных? Прочитайте больше , Это означает, что он выглядит совершенно иначе, чем оригинальный пароль. Например, ваш пароль (надеюсь, нет!) Logmein. Известный MD5-хэш для этого пароля - «8f4047e3233b39e4444e1aef240e80aa».

Жульничать вам и мне. Но в некоторых случаях злоумышленник запускает список паролей в виде открытого текста с помощью алгоритма хеширования, сравнивая результаты с зашифрованным файлом паролей. В других случаях алгоритм шифрования уязвим, и большинство паролей уже взломаны, например, MD5 (поэтому мы знаем конкретный хеш для «logmein»).

Это где радужный стол действительно вступает в свои права. Вместо того, чтобы обрабатывать сотни тысяч потенциальных паролей и сопоставлять их результирующий хэш, радужная таблица представляет собой огромный набор предварительно вычисленных значений хеша, специфичных для алгоритма. Использование радужной таблицы значительно сокращает время, необходимое для взлома хешированного пароля, но оно не идеально. Хакеры могут приобрести предварительно заполненные радужные столы, заполненные миллионами потенциальных комбинаций.

Плюсы: может взломать большое количество сложных паролей за короткое время, предоставляет хакеру большую власть над определенными сценариями безопасности.

Минусы: требуется огромное количество места для хранения огромного (иногда терабайтного) радужного стола. Кроме того, злоумышленники ограничены значениями, содержащимися в таблице (в противном случае они должны добавить еще одну таблицу целиком).

Оставайтесь в безопасности: это сложно. Радужные столы предлагают широкий спектр атакующего потенциала. Избегайте любых сайтов, которые используют SHA1 или MD5 в качестве алгоритма хэширования паролей. Избегайте любого сайта, который ограничивает вас короткими паролями или ограничивает символы, которые вы можете использовать. Всегда используйте сложный пароль.

Хотите знать, как узнать если сайт действительно хранит пароли в открытом виде Как определить, что сайт хранит пароли в виде открытого текста (и что делать) Как определить, что сайт хранит пароли в виде открытого текста (и что делать) При отправке вашего пароля на сайт, это не всегда безопасно. Вот что вы должны знать о незашифрованных паролях. Прочитайте больше ? Проверьте это руководство, чтобы узнать.

6. Вредоносные программы / Кейлоггер

Другой верный способ потерять ваши учетные данные - заразиться вредоносным ПО. Вредоносное ПО повсюду и может нанести огромный ущерб. Если вариант вредоносного ПО содержит кейлоггер, вы можете обнаружить, что все ваши учетные записи скомпрометированы.

Имиджевый кредит: welcomia / Depositphotos

Кроме того, вредоносная программа может специально предназначаться для личных данных или вводить троян удаленного доступа для кражи ваших учетных данных.

Плюсы: тысячи вариантов вредоносных программ, некоторые настраиваемые, с несколькими простыми способами доставки. Хороший шанс, что большое количество целей уступит по крайней мере одному варианту. Может остаться незамеченным, что позволит продолжить сбор личных данных и учетных данных для входа.

Минусы: вероятность того, что вредоносная программа не будет работать или будет помещена в карантин перед доступом к данным, не гарантирует, что данные будут полезны

Будьте в безопасности : устанавливайте и регулярно обновляйте антивирусное и антивирусное программное обеспечение. Тщательно учитывая источники загрузки. Не кликая по инсталляционным пакетам, содержащим bundleware, и многое другое. Держитесь подальше от гнусных сайтов (я знаю, легче сказать, чем сделать). Используйте инструменты блокировки скриптов, чтобы остановить вредоносные скрипты.

7. Паук

Spidering связывает в словарную атаку, которую мы рассмотрели ранее. Если хакер нацелен на конкретное учреждение или бизнес, он может попробовать серию паролей, связанных с самим бизнесом. Хакер мог прочитать и сопоставить ряд связанных терминов - или использовать поисковый паук, чтобы сделать работу за них.

Возможно, вы слышали термин «паук» раньше. Эти поисковые пауки чрезвычайно похожи на тех, кто ползает по Интернету, индексируя контент для поисковых систем. Пользовательский список слов затем используется против учетных записей пользователей в надежде найти совпадение.

Плюсы: потенциально могут разблокировать учетные записи для высокопоставленных лиц в организации. Относительно легко собрать и добавляет дополнительное измерение для атаки по словарю.

Минусы: вполне может оказаться бесплодным, если организационная безопасность сети настроена правильно.

Будьте осторожны: опять же, используйте только надежные, одноразовые пароли, состоящие из случайных строк - ничего, связывающего вашу личность, бизнес, организацию и т. Д.

Сильный, уникальный, одноразовый

Итак, как вы можете остановить хакер, крадущий ваш пароль? Очень краткий ответ: вы не можете быть в полной безопасности . инструменты, используемые хакерами для кражи ваших данных меняются все время. Но вы можете уменьшить подверженность уязвимости.

Одно можно сказать наверняка: использование надежных, уникальных одноразовых паролей никогда никому не навредит - и они определенно помогли, не раз.

Научиться быть хакером Узнайте, как взломать сайты с 6 лучших хакерских учебников Узнайте, как взломать сайты с 6 лучших хакерских учебников Шесть хакерских сайтов в этой статье помогут вам научиться взламывать. Наша статья объясняет, какие сайты являются лучшими и почему. Прочитайте больше также может быть хорошим способом понять, как работают хакеры, и позволит вам защитить себя!

Имидж Кредит: Сергей Нивенс / Depositphotos

Узнайте больше о: Конфиденциальность в Интернете , пароль ,