Понимание методов взлома паролей, которые используют хакеры, чтобы взорвать ваши онлайн-аккаунты, - отличный способ гарантировать, что с вами этого никогда не случится.
как включить bluetooth в windows 10
Вам, безусловно, всегда придется менять пароль, и иногда это будет происходить более срочно, чем вы думаете, но защита от кражи - отличный способ обеспечить безопасность вашей учетной записи. Вы всегда можете отправиться в www.haveibeenpwned.com чтобы проверить, подвергаетесь ли вы риску, но просто думать, что ваш пароль достаточно безопасен, чтобы его не взломали, - это плохой образ мышления.
Итак, чтобы помочь вам понять, как хакеры получают ваши пароли - безопасные или иные - мы составили список из десяти самых популярных методов взлома паролей, используемых хакерами. Некоторые из перечисленных ниже методов явно устарели, но это не значит, что они до сих пор не используются. Прочтите внимательно и узнайте, от чего бороться.
Десять основных методов взлома паролей, используемых хакерами
1. Атака по словарю
Атака по словарю использует простой файл, содержащий слова, которые можно найти в словаре, отсюда и его довольно простое название. Другими словами, в этой атаке используются именно те слова, которые многие люди используют в качестве пароля.
Умное объединение слов, таких как letmein или superadministratorguy, не предотвратит взлом вашего пароля таким образом - ну, не более чем на несколько дополнительных секунд.
2. Атака грубой силы
Подобно атаке по словарю, атака грубой силой дает хакеру дополнительный бонус. Вместо простого использования слов атака методом перебора позволяет им обнаруживать слова, не являющиеся словарными, путем обработки всех возможных буквенно-цифровых комбинаций от aaa1 до zzz10.
Это не быстро, если ваш пароль состоит из нескольких символов, но в конечном итоге он откроет ваш пароль. Атаки методом грубой силы можно сократить, добавив дополнительные вычислительные мощности с точки зрения как вычислительной мощности, включая использование мощности графического процессора видеокарты, так и количества машин, например, с использованием моделей распределенных вычислений, таких как онлайн-майнеры биткойнов.
3. Атака по радужному столу
Радужные таблицы не так красочны, как может предполагать их название, но для хакера ваш пароль вполне может быть в конце таблицы. Самым простым способом вы можете превратить радужную таблицу в список предварительно вычисленных хешей - числовое значение, используемое при шифровании пароля. Эта таблица содержит хеши всех возможных комбинаций паролей для любого заданного алгоритма хеширования. Радужные таблицы привлекательны тем, что сокращают время, необходимое для взлома хэша пароля, до простого поиска чего-либо в списке.
Однако радужные столы - штука огромная и громоздкая. Для их работы требуются серьезные вычислительные мощности, и таблица становится бесполезной, если хэш, который она пытается найти, был обработан добавлением случайных символов к паролю перед хешированием алгоритма.
Есть разговоры о существовании соленых радужных таблиц, но они будут настолько большими, что их будет сложно использовать на практике. Скорее всего, они будут работать только с предопределенным случайным набором символов и строками паролей ниже 12 символов, поскольку в противном случае размер таблицы был бы непозволительным даже для хакеров на уровне штата.
4. Фишинг
Есть простой способ взломать, спросив у пользователя его пароль. Фишинговое электронное письмо приводит ничего не подозревающего читателя к поддельной странице входа в систему, связанной с той службой, к которой он хочет получить доступ, обычно путем запроса пользователя исправить какую-то ужасную проблему с его безопасностью. Затем эта страница просматривает их пароль, и хакер может использовать его в своих целях.
Зачем вообще взламывать пароль, если пользователь все равно с радостью его вам даст?
5. Социальная инженерия
Социальная инженерия требует целиком и полностью спрашивать концепцию пользователя вне почтового ящика, к которой имеет тенденцию фишинг, и в реальный мир.
Любимое дело социальных инженеров - позвонить в офис, выдавая себя за специалиста по ИТ-безопасности, и просто попросить пароль для доступа к сети. Вы будете удивлены, как часто это срабатывает. У некоторых даже есть необходимые гонады, чтобы надеть костюм и именной значок перед тем, как войти в бизнес, чтобы задать тот же вопрос секретарю лицом к лицу.
6. Вредоносное ПО
Кейлоггер или скребок экрана может быть установлен вредоносным ПО, которое записывает все, что вы вводите, или делает снимки экрана во время процесса входа в систему, а затем пересылает копию этого файла в хакерский центр.
Некоторые вредоносные программы будут искать файл паролей клиента веб-браузера и копировать его, который, если он не зашифрован должным образом, будет содержать легкодоступные сохраненные пароли из истории просмотров пользователя.
7. Автономный взлом
Легко представить, что пароли безопасны, когда системы, которые они защищают, блокируют пользователей после трех или четырех неверных попыток, блокируя приложения с автоматическим отгадыванием. Что ж, это было бы правдой, если бы не тот факт, что большая часть взлома паролей происходит в автономном режиме с использованием набора хэшей в файле паролей, который был «получен» из взломанной системы.
Часто рассматриваемая цель была взломана посредством взлома третьей стороны, которая затем предоставляет доступ к системным серверам и этим важнейшим файлам хэшей паролей пользователей. Взломщик паролей может столько времени, сколько потребуется, чтобы попытаться взломать код без предупреждения целевой системы или отдельного пользователя.
8. Серфинг через плечо.
Другая форма социальной инженерии, серфинг через плечо, как она подразумевает, влечет за собой возможность заглядывать через плечо человека, когда он вводит учетные данные, пароли и т. Д. украдено таким образом, поэтому не забывайте о своем окружении при доступе к банковским счетам и т. д. в пути.
Самые уверенные в себе хакеры примут облик курьера, специалиста по обслуживанию кондиционеров или кого-то еще, что дает им доступ в офисное здание. Войдя внутрь, форма обслуживающего персонала дает возможность беспрепятственно гулять и записывать пароли, вводимые настоящими сотрудниками. Это также дает прекрасную возможность взглянуть на все эти стикеры, приклеенные к передней части ЖК-экранов, с нацарапанными на них логинами.
9. Пауки
Опытные хакеры осознали, что многие корпоративные пароли состоят из слов, связанных с самим бизнесом. Изучение корпоративной литературы, материалов о продажах на веб-сайтах и даже веб-сайтов конкурентов и перечисленных клиентов может предоставить боеприпасы для создания настраиваемого списка слов для использования в атаке методом грубой силы.
Действительно сообразительные хакеры автоматизировали этот процесс и позволили приложению-пауку, подобному поисковым роботам, используемым ведущими поисковыми системами, определять ключевые слова, собирать и сопоставлять списки для них.
10. Угадай
Лучший друг взломщиков паролей - это, конечно, предсказуемость пользователя. Если не был создан действительно случайный пароль с помощью программного обеспечения, предназначенного для данной задачи, «случайный» пароль, созданный пользователем, вряд ли будет чем-то подобным.
Вместо этого, благодаря эмоциональной привязанности нашего мозга к вещам, которые нам нравятся, скорее всего, эти случайные пароли основаны на наших интересах, хобби, домашних животных, семье и так далее. Фактически, пароли, как правило, основываются на том, о чем мы любим болтать в социальных сетях, и даже включаем их в наши профили. Взломщики паролей, скорее всего, изучат эту информацию и сделают несколько - часто верных - обоснованных предположений при попытке взломать пароль потребительского уровня, не прибегая к атакам по словарю или грубой силе.
Другие атаки, которых следует остерегаться
Если хакерам чего-то и не хватает, так это не творчества. Используя различные методы и адаптируясь к постоянно меняющимся протоколам безопасности, эти нарушители продолжают добиваться успеха.
Например, кто-нибудь в социальных сетях наверняка видел веселые викторины и шаблоны, в которых вас просили рассказать о вашей первой машине, любимой еде и песне номер один в ваш 14-й день рождения. Хотя эти игры кажутся безобидными и их, безусловно, интересно публиковать, на самом деле они представляют собой открытый шаблон для контрольных вопросов и ответов для подтверждения доступа к аккаунту.
При создании учетной записи, возможно, попробуйте использовать ответы, которые на самом деле не относятся к вам, но которые вы легко запомните. Какая была твоя первая машина? Вместо того, чтобы отвечать правдиво, поставьте машину своей мечты. В противном случае просто не публикуйте ответы на вопросы по безопасности в Интернете.
Другой способ получить доступ - просто сбросить пароль. Лучшая линия защиты от злоумышленника, сбрасывающего ваш пароль, - это использование адреса электронной почты, который вы часто проверяете, и обновление вашей контактной информации. Если возможно, всегда включайте двухфакторную аутентификацию. Даже если хакер узнает ваш пароль, он не сможет получить доступ к аккаунту без уникального кода подтверждения.
Часто задаваемые вопросы
Почему мне нужны разные пароли для каждого сайта?
Вы, наверное, знаете, что вам не следует сообщать свои пароли и не следует загружать какой-либо контент, с которым вы не знакомы, но как насчет учетных записей, в которые вы входите каждый день? Предположим, вы используете тот же пароль для своего банковского счета, что и для произвольной учетной записи, такой как Grammarly. Если Grammarly взломан, у пользователя также будет ваш банковский пароль (и, возможно, ваш адрес электронной почты, что еще больше облегчит доступ ко всем вашим финансовым ресурсам).
Что я могу сделать, чтобы защитить свои учетные записи?
Использование 2FA для любых учетных записей, которые предлагают эту функцию, использование уникальных паролей для каждой учетной записи и использование комбинации букв и символов - лучшая линия защиты от хакеров. Как указывалось ранее, существует множество различных способов, которыми хакеры могут получить доступ к вашим учетным записям, поэтому вам нужно регулярно следить за тем, чтобы вы регулярно обновляли свое программное обеспечение и приложения (для исправлений безопасности) и избегать любых загрузок, с которыми вы не знакомы.
Каков самый безопасный способ сохранить пароли?
Может быть невероятно сложно угнаться за несколькими уникально странными паролями. Хотя гораздо лучше пройти процедуру сброса пароля, чем взломать ваши учетные записи, на это уходит много времени. Чтобы сохранить свои пароли в безопасности, вы можете использовать такие службы, как Last Pass или KeePass, чтобы сохранить все пароли своей учетной записи.
Вы также можете использовать уникальный алгоритм, чтобы сохранить свои пароли, облегчая их запоминание. Например, PayPal может иметь вид hwpp + c832. По сути, этот пароль является первой буквой каждого разрыва в URL-адресе (https://www.paypal.com) с последним числом в году рождения всех в вашем доме (просто в качестве примера). Когда вы войдете в свою учетную запись, просмотрите URL-адрес, который даст вам первые несколько букв этого пароля.
Добавьте символы, чтобы было труднее взломать пароль, но упорядочивайте их так, чтобы их было легче запомнить. Например, символ + может быть для любых аккаунтов, связанных с развлечениями, в то время как! можно использовать для финансовых счетов.
