8 najpogostejših trikov, ki se uporabljajo za kramp gesel

8 najpogostejših trikov, ki se uporabljajo za kramp gesel

Na kaj pomislite, ko slišite 'kršitev varnosti'? Zlonamerni heker sedi pred zasloni, zajetimi v digitalnem besedilu v slogu Matrix? Ali najstnik v kleti, ki že tri tedne ni videl dnevne svetlobe? Kaj pa zmogljiv superračunalnik, ki poskuša vdreti v ves svet?





Pri hekanju gre za eno stvar: vaše geslo. Če kdo ugane vaše geslo, ne potrebuje domiselnih tehnik vdiranja in superračunalnikov. Samo prijavili se bodo in delovali kot vi. Če je vaše geslo kratko in preprosto, je igre konec.





Obstaja osem pogostih taktik, s katerimi hekerji vdrejo v vaše geslo.





1. Slovar Hack

Najprej v skupnem vodniku za taktiko taksiranja gesla je napad na slovar. Zakaj se imenuje napad na slovar? Ker samodejno preizkusi vsako besedo v opredeljenem 'slovarju' proti geslu. Slovar ni le tisti, ki ste ga uporabljali v šoli.

Ne. Ta slovar je pravzaprav majhna datoteka, ki vsebuje tudi najpogosteje uporabljene kombinacije gesel. To vključuje 123456, qwerty, geslo, iloveyou in klasiko vseh časov, lovec2.



če morate obnoviti podatke iz sistema, ki se ne zažene, namestite pogon v delujoč sistem

Zgornja tabela podrobno opisuje najbolj uhajana gesla v letu 2016. V spodnji tabeli je opisano največ uhajanih gesel v letu 2020.

Upoštevajte podobnosti med tema dvema - in ne uporabljajte teh neverjetno preprostih možnosti.





Prednosti: Hitro; ponavadi odklene nekaj grozno zaščitenih računov.

Slabosti: Še nekoliko močnejša gesla bodo ostala varna.





Ostani varen: Za vsak račun uporabite močno geslo za enkratno uporabo v povezavi z aplikacija za upravljanje gesel . Upravitelj gesel vam omogoča shranjevanje drugih gesel v skladišče. Nato lahko za vsako spletno mesto uporabite eno, smešno močno geslo.

Povezano: Google Password Manager: Kako začeti

2. Brute Force

Nato sledi napad z brutalno silo, pri katerem napadalec preizkusi vse možne kombinacije znakov. Poskusna gesla se bodo ujemala s specifikacijami za pravila zapletenosti, npr. vključno z eno veliko začetnico, eno malo črko, decimalkami Pi, vašim naročilom pice itd.

Napad z brutalno silo bo najprej preizkusil tudi najpogosteje uporabljene kombinacije alfanumeričnih znakov. Sem spadajo prej navedena gesla, pa tudi 1q2w3e4r5t, zxcvbnm in qwertyuiop. Določanje gesla s to metodo lahko traja zelo dolgo, vendar je to v celoti odvisno od kompleksnosti gesla.

Prednosti: Teoretično bo razbil vsako geslo s preizkušanjem vsake kombinacije.

Slabosti: Odvisno od dolžine gesla in težavnosti lahko traja zelo dolgo. Vnesite nekaj spremenljivk, kot so $, &, {, ali], in ugotovitev gesla postane zelo težka.

Ostani varen: Vedno uporabite spremenljivo kombinacijo znakov in po možnosti uvedite dodatne simbole, da povečate zapletenost .

3. Lažno predstavljanje

To ni zgolj 'kramp', toda plen lažnega predstavljanja ali poskusa lažnega predstavljanja se običajno konča slabo. Splošna e -poštna sporočila z lažnim predstavljanjem, ki jih milijarde pošiljajo vsem uporabnikom interneta po vsem svetu.

E -poštno sporočilo z lažnim predstavljanjem na splošno deluje tako:

  1. Ciljni uporabnik prejme ponarejeno e -poštno sporočilo, ki naj bi prišlo iz večje organizacije ali podjetja.
  2. Lažno e -poštno sporočilo zahteva takojšnjo pozornost, saj vsebuje povezavo do spletnega mesta.
  3. Ta povezava se dejansko poveže s ponarejenim portalom za prijavo, za katerega se zdi, da je videti popolnoma enako kot zakonito spletno mesto.
  4. Nič hudega sluteči ciljni uporabnik vnese svoje poverilnice za prijavo in je bodisi preusmerjen bodisi povabljen, naj poskusi znova.
  5. Uporabniške poverilnice se ukradejo, prodajo ali zlorabljajo (ali oboje).

Dnevna količina neželene pošte, poslana po vsem svetu, ostaja velika in predstavlja več kot polovico vseh e -poštnih sporočil, poslanih po vsem svetu. Poleg tega je obseg zlonamernih prilog velik tudi pri Kasperskyju ugotavljanje več kot 92 milijonov zlonamernih prilog od januarja do junija 2020. Ne pozabite, da je to samo za Kaspersky resnično število je veliko večje .

Leta 2017 je bil največji lažni lažnivec ponarejen račun. Vendar je leta 2020 pandemija COVID-19 prinesla novo grožnjo lažnega predstavljanja.

Aprila 2020, kmalu zatem, ko so številne države zašle v pandemijo, je Google napovedano dnevno je blokiral več kot 18 milijonov zlonamernih e-poštnih sporočil in lažnega predstavljanja na temo COVID-19. Ogromno število teh e-poštnih sporočil uporablja uradno vladno ali zdravstveno organizacijsko blagovno znamko za legitimnost in žrtve ujame nepripravljeno.

Prednosti: Uporabnik dobesedno preda svoje podatke za prijavo, vključno z gesli-relativno visoko stopnjo zadetkov, ki jih je enostavno prilagoditi določenim storitvam ali določenim ljudem v napadu z lažnim predstavljanjem.

Slabosti: Neželena e -poštna sporočila se enostavno filtrirajo, domena z neželeno pošto je na črnem seznamu, veliki ponudniki, kot je Google, pa nenehno posodabljajo zaščito.

Ostani varen: Ostanite skeptični do e -poštnih sporočil in povečajte filter neželene pošte na najvišjo nastavitev ali, še bolje, uporabite proaktiven seznam dovoljenih. Uporaba preverjevalnik povezav, ki ga je treba ugotoviti če je e -poštna povezava zakonita, preden kliknete.

4. Družbeni inženiring

Socialni inženiring je v resnici lažno predstavljanje v resničnem svetu, stran od zaslona.

Osrednji del vsake varnostne revizije je ocena tega, kar razume celotna delovna sila. Na primer, varnostno podjetje bo poklicalo podjetje, ki ga revidirajo. 'Napadalec' osebi po telefonu pove, da je nova ekipa za tehnično podporo v pisarni in da za kaj posebnega potrebujejo najnovejše geslo.

Neobčutljivi posameznik lahko ključe preda brez premora za razmislek.

Strašljivo je, kako pogosto to deluje. Socialni inženiring obstaja že stoletja. Dvoličnost pri vstopu na zaščiteno območje je pogosta metoda napada, ki jo varujejo le z izobraževanjem.

To je zato, ker napad ne bo vedno zahteval gesla. Lahko je lažni vodovodar ali električar, ki prosi za vstop v varno stavbo itd.

Ko nekdo reče, da so bili prevarani, da razkrijejo svoje geslo, je to pogosto posledica družbenega inženiringa.

Prednosti: Izkušeni družbeni inženirji lahko pridobijo dragocene informacije iz različnih ciljev. Lahko se uporablja proti skoraj vsakomur, kjer koli. Je izjemno prikrito.

Slabosti: Napaka družbenega inženiringa lahko sproži sum o bližajočem se napadu in negotovost, ali se pridobijo pravilne informacije.

Ostani varen : To je težavno. Uspešen napad družbenega inženiringa bo dokončan, ko boste spoznali, da je kaj narobe. Izobraževanje in varnostna osrednja taktika je omilitev. Izogibajte se objavljanju osebnih podatkov, ki bi jih lahko kasneje uporabili proti vam.

5. Mavrična miza

Mavrična miza je običajno napad z geslom brez povezave. Na primer, napadalec je pridobil seznam uporabniških imen in gesel, vendar so šifrirana. Šifrirano geslo je zgoščeno. To pomeni, da je videti popolnoma drugače od prvotnega gesla.

Na primer, vaše geslo je (upam, da ne!) Logmein. Znani hash MD5 za to geslo je '8f4047e3233b39e4444e1aef240e80aa.'

Težave z vami in jaz. Toda v nekaterih primerih bo napadalec z algoritmom za razpršitev izvedel seznam gesel v navadnem besedilu in primerjal rezultate z datoteko šifriranega gesla. V drugih primerih je šifrirni algoritem ranljiv in večina gesel je že razpokana, na primer MD5 (zato poznamo poseben hash za »logmein«.

Tu mavrična miza pride na svoje. Mavrična tabela je namesto da bi morala obdelati na stotine tisoč potencialnih gesel in ujemati njihov nastali hash, je množica vnaprej izračunanih vrednosti zgoščevanja, specifičnih za algoritem.

Uporaba mavrične mize drastično skrajša čas, potreben za razbijanje zgoščenega gesla - vendar ni popoln. Hekerji lahko kupijo napolnjene mavrične mize, na katerih je na milijone možnih kombinacij.

Prednosti: Lahko v kratkem času odkrije zapletena gesla; hekerju daje veliko moč nad določenimi varnostnimi scenariji.

Slabosti: Za shranjevanje ogromne (včasih terabajtne) mavrične mize potrebuje ogromno prostora. Napadalci so omejeni tudi na vrednosti v tabeli (sicer morajo dodati še celotno tabelo).

kako pretakati iz mac v roku

Ostani varen: Še ena težavna. Mavrične mize ponujajo široko paleto napadalnih možnosti. Izogibajte se spletnim mestom, ki uporabljajo SHA1 ali MD5 kot algoritem za razpršitev gesel. Izogibajte se spletnim mestom, ki vas omejujejo na kratka gesla ali omejujejo znake, ki jih lahko uporabljate. Vedno uporabite zapleteno geslo.

Povezano: Kako ugotoviti, ali spletno mesto shranjuje gesla v navadnem besedilu (in kaj storiti)

6. Zlonamerna programska oprema/Keylogger

Drug zanesljiv način, da izgubite poverilnice za prijavo, je, da se znebite zlonamerne programske opreme. Zlonamerna programska oprema je povsod in lahko povzroči veliko škodo. Če različica zlonamerne programske opreme vsebuje keylogger, bi to lahko našli vse ogroženih računov.

Druga možnost je, da bi zlonamerna programska oprema posebej ciljala na zasebne podatke ali uvedla trojanca za oddaljeni dostop, da bi ukradel vaše poverilnice.

Prednosti: Na tisoče različic zlonamerne programske opreme, številne prilagodljive, z več enostavnimi načini dostave. Velika možnost je, da bo veliko število tarč podleglo vsaj eni različici. Lahko ostane neopažen, kar omogoča nadaljnje zbiranje zasebnih podatkov in poverilnic za prijavo.

Slabosti: Možnost, da zlonamerna programska oprema ne bo delovala ali pa je pred dostopom do podatkov v karanteni; ne jamči, da so podatki uporabni.

Ostani varen : Namestite in redno posodabljajte protivirusni program in zlonamerno programsko opremo programsko opremo. Previdno razmislite o virih za prenos. Ne listajte namestitvenih paketov, ki vsebujejo paket programske opreme in drugo. Izogibajte se zlonamernim spletnim mestom (lažje reči kot narediti). Za zaustavitev zlonamernih skriptov uporabite orodja za blokiranje skriptov.

7. Pajek

Spidering vezi v slovar napad. Če heker cilja na določeno institucijo ali podjetje, lahko poskusi vrsto gesel, ki se nanašajo na samo podjetje. Heker bi lahko prebral in zbral vrsto sorodnih izrazov - ali pa z njimi opravil iskalnega pajka.

Morda ste že slišali izraz 'pajek'. Ti iskalni pajki so zelo podobni tistim, ki plazijo po internetu in indeksirajo vsebino iskalnikov. Seznam besed po meri se nato uporabi proti uporabniškim računom v upanju, da se najde ujemanje.

Prednosti: Lahko potencialno odklene račune za visoko uvrščene posameznike v organizaciji. Relativno enostavno sestavljanje in dodajanje dodatne razsežnosti napadu na slovar.

Slabosti: Če je varnost omrežja organizacije dobro konfigurirana, bi lahko bila brez uspeha.

Ostani varen: Še enkrat, uporabljajte samo močna gesla za enkratno uporabo, sestavljena iz naključnih nizov; nič ne povezuje z vašo osebnostjo, podjetjem, organizacijo itd.

kako namestiti linux na bliskovni pogon

8. Deskanje na ramenih

Končna možnost je ena najbolj osnovnih. Kaj pa, če vas nekdo samo pogleda čez ramo, medtem ko vnašate geslo?

Brskanje po rameh se sliši nekoliko smešno, vendar se to zgodi. Če delate v prometni kavarni v središču mesta in niste pozorni na svojo okolico, bi se lahko nekdo približal, da bi med vnosom zapisal vaše geslo.

Prednosti: Nizkotehnološki pristop k kraji gesla.

Slabosti: Pred določitvijo gesla morate določiti cilj; bi se lahko razkrili v postopku kraje.

Ostani varen: Pri vnosu gesla bodite pozorni na ljudi okoli sebe. Pokrijte tipkovnico in med vnosom zatemnite ključe.

Vedno uporabite močno, edinstveno geslo za enkratno uporabo

Kako torej preprečite hekerju, da bi vam ukradel geslo? Res kratek odgovor je tak res ne morete biti 100 -odstotno varni . Orodja, ki jih hekerji uporabljajo za krajo vaših podatkov, se ves čas spreminjajo in obstaja nešteto videoposnetkov in vadnic o ugibanju gesel ali učenju, kako vlomiti geslo.

Nekaj ​​je zagotovo: uporaba močnega, edinstvenega gesla za enkratno uporabo nikomur ni škodila.

Deliti Deliti Cvrkutati E-naslov 5 Orodja za gesla za ustvarjanje močnih geslov in posodobitev vaše varnosti

Ustvarite močno geslo, ki si ga boste lahko zapomnili pozneje. S temi aplikacijami še danes nadgradite svojo varnost z novimi močnimi gesli.

Preberite Naprej
Sorodne teme
  • Varnost
  • Nasveti za gesla
  • Spletna varnost
  • Hekanje
  • Varnostni nasveti
O avtorju Gavin Phillips(945 objavljenih člankov)

Gavin je mlajši urednik za Windows in Technology Explained, redni sodelavec v Zares uporabnem podcastu in redni recenzent izdelkov. Ima diplomo iz sodobnega pisanja z odliko z odliko z digitalnimi umetniškimi praksami, izkopano iz hribov Devona, pa tudi več kot desetletje profesionalnih pisnih izkušenj. Uživa v velikih količinah čaja, družabnih iger in nogometa.

Več od Gavina Phillipsa

Naročite se na naše novice

Pridružite se našemu glasilu za tehnične nasvete, ocene, brezplačne e -knjige in ekskluzivne ponudbe!

Kliknite tukaj, da se naročite