Десять лучших методов взлома паролей, используемых хакерами
Понимание методов взлома паролей, которые хакеры используют для раскрытия ваших онлайн-аккаунтов, — отличный способ гарантировать, что с вами этого никогда не произойдет.
Вам, безусловно, всегда придется менять свой пароль, и иногда даже быстрее, чем вы думаете, но защита от кражи — отличный способ оставаться на высоте безопасности вашей учетной записи. Вы всегда можете отправиться в www.haveibeenpwned.com чтобы проверить, подвергаетесь ли вы риску, но просто думать, что ваш пароль достаточно безопасен, чтобы его не взломали, — это плохой образ мышления.
Программы для Windows, мобильные приложения, игры - ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале - Подписывайтесь:)
Итак, чтобы помочь вам понять, как хакеры получают ваши пароли – безопасные или нет – мы собрали список из десяти наиболее эффективных методов взлома паролей, используемых хакерами. Некоторые из приведенных ниже методов, безусловно, устарели, но это не значит, что они до сих пор не используются. Прочтите внимательно и узнайте, чего следует избегать.
Десять лучших методов взлома паролей, используемых хакерами
1. Фишинг
Есть простой способ взломать: спросить у пользователя пароль. Фишинговое электронное письмо приводит ничего не подозревающего читателя на поддельную страницу входа, связанную с той службой, к которой хакер хочет получить доступ, обычно путем запроса пользователя устранить какую-то ужасную проблему с его безопасностью. Затем эта страница считывает их пароль, и хакер может использовать его в своих целях.
Зачем беспокоиться о взломе пароля, если пользователь все равно с радостью предоставит его вам?
2. Социальная инженерия
Социальная инженерия выводит концепцию «спросить пользователя» за пределы почтового ящика, к которому обычно привязывается фишинг, и переносит его в реальный мир.
Любимый вариант социального инженера — позвонить в офис, представившись специалистом по ИТ-безопасности, и просто попросить пароль доступа к сети. Вы будете удивлены, узнав, как часто это срабатывает. У некоторых даже есть необходимые гонады, чтобы надеть костюм и именной бейдж, прежде чем пойти в офис и задать тот же вопрос секретарю лицом к лицу.
Снова и снова было показано, что многие предприятия либо не имеют должной безопасности, либо люди слишком дружелюбны и доверчивы, когда этого не должно быть, например, предоставляют людям доступ к секретным местам из-за униформы или слезливой истории.
3. Вредоносное ПО
Вредоносное ПО существует во многих формах, например, кейлоггер, также известный как программа очистки экрана, которая записывает все, что вы вводите, или делает снимки экрана во время процесса входа в систему, а затем пересылает копию этого файла в хакерский центр.
Некоторые вредоносные программы будут искать файл паролей клиента веб-браузера и копировать его, который, если он не зашифрован должным образом, будет содержать легкодоступные сохраненные пароли из истории просмотров пользователя.
4. Атака по словарю
Атака по словарю использует простой файл, содержащий слова, которые можно найти в словаре, отсюда и его довольно простое название. Другими словами, в этой атаке используются именно те слова, которые многие люди используют в качестве пароля.
Умело сгруппировав слова, такие как «letmein» или «superadministratorguy», не предотвратит взлом вашего пароля таким образом — ну, не более чем на несколько дополнительных секунд.
5. Атака по радужному столу
Радужные таблицы не так красочны, как следует из названия, но для хакера ваш пароль вполне может быть в конце. Самым простым способом вы можете превратить радужную таблицу в список предварительно вычисленных хэшей – числового значения, используемого при шифровании пароля. Эта таблица содержит хеши всех возможных комбинаций паролей для любого заданного алгоритма хеширования. Таблицы Rainbow привлекательны тем, что сокращают время, необходимое для взлома хеша пароля, до простого поиска чего-либо в списке.
Однако радужные столы — огромные и громоздкие вещи. Для их работы требуется серьезная вычислительная мощность, и таблица становится бесполезной, если хеш, который она пытается найти, «подсолен» путем добавления случайных символов к ее паролю перед хешированием алгоритма.
Ходят разговоры о существовании соленых радужных таблиц, но они будут настолько большими, что их будет трудно использовать на практике. Скорее всего, они будут работать только с предопределенным набором «случайных символов» и строками паролей длиной менее 12 символов, поскольку в противном случае размер таблицы будет непомерно высок даже для хакеров государственного уровня.
6. Паутина
Сообразительные хакеры поняли, что многие корпоративные пароли состоят из слов, связанных с самим бизнесом. Изучение корпоративной литературы, материалов по продажам на веб-сайтах и даже веб-сайтов конкурентов и перечисленных клиентов может предоставить боеприпасы для создания собственного списка слов для использования в атаке методом перебора.
Действительно сообразительные хакеры автоматизировали этот процесс и позволили приложению-пауку, похожему на веб-сканеры, используемые ведущими поисковыми системами, идентифицировать ключевые слова, а затем собирать и сопоставлять списки для них.
7. Автономный взлом
Легко представить, что пароли безопасны, когда системы, которые они защищают, блокируют пользователей после трех или четырех неправильных попыток, блокируя приложения автоматического подбора. Что ж, это было бы правдой, если бы не тот факт, что большая часть взлома паролей происходит в автономном режиме, с использованием набора хешей в файле паролей, который был «получен» из скомпрометированной системы.
Зачастую рассматриваемая цель оказывается скомпрометирована в результате взлома третьей стороны, которая затем предоставляет доступ к системным серверам и важнейшим хеш-файлам паролей пользователей. Затем взломщику паролей может потребоваться столько времени, сколько ему нужно, чтобы попытаться взломать код, не предупреждая целевую систему или отдельного пользователя.
8. Атака грубой силой
Подобно атаке по словарю, атака методом перебора дает хакеру дополнительный бонус. Вместо простого использования слов, атака методом перебора позволяет им обнаруживать слова, не входящие в словарь, перебирая все возможные буквенно-цифровые комбинации от aaa1 до zzz10.
Это не быстро, если длина вашего пароля превышает несколько символов, но в конечном итоге ваш пароль будет раскрыт. Атаки грубой силы можно сократить, используя дополнительные вычислительные мощности, как с точки зрения вычислительной мощности (включая использование мощности графического процессора вашей видеокарты), так и с точки зрения количества машин, например, используя модели распределенных вычислений, такие как онлайн-майнеры биткойнов.
9. Серфинг через плечо
Другая форма социальной инженерии, серфинг через плечо, как и подразумевается, предполагает подглядывание через плечо человека, пока он вводит учетные данные, пароли и т. д. Хотя эта концепция очень низкотехнологична, вы будете удивлены, сколько паролей и конфиденциальной информации таким образом украдено, поэтому следите за своим окружением при доступе к банковским счетам и т. д. на ходу.
Самые уверенные в себе хакеры примут облик курьера, специалиста по обслуживанию кондиционеров или кого-то еще, что дает им доступ к офисному зданию. Как только они входят, «униформа» обслуживающего персонала дает своего рода бесплатный пропуск, позволяющий беспрепятственно бродить вокруг и записывать пароли, вводимые настоящими сотрудниками. Это также дает прекрасную возможность взглянуть на все эти стикеры, приклеенные к передней части ЖК-экранов с нацарапанными на них логинами.
10. Угадай
Программы для Windows, мобильные приложения, игры - ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале - Подписывайтесь:)
Лучший друг взломщиков паролей, конечно же, — предсказуемость пользователя. Если с помощью программного обеспечения, предназначенного для этой задачи, не был создан по-настоящему случайный пароль, «случайный» пароль, сгенерированный пользователем, вряд ли будет чем-то подобным.
Вместо этого, благодаря эмоциональной привязанности нашего мозга к вещам, которые нам нравятся, есть вероятность, что эти случайные пароли основаны на наших интересах, хобби, домашних животных, семье и так далее. На самом деле, пароли, как правило, основаны на всем, о чем мы любим общаться в социальных сетях и даже включаем в свои профили. Взломщики паролей, скорее всего, просмотрят эту информацию и сделают несколько (часто правильных) обоснованных предположений при попытке взломать пароль потребительского уровня, не прибегая к атакам по словарю или перебору.
Другие атаки, которых следует остерегаться
Если хакерам чего-то и не хватает, так это не творчества. Используя различные методы и адаптируясь к постоянно меняющимся протоколам безопасности, эти злоумышленники продолжают добиваться успеха.
Например, кто-нибудь в социальных сетях наверняка видел забавные викторины и шаблоны, в которых вас просят рассказать о своей первой машине, любимой еде и песне номер один в свой 14-й день рождения. Хотя эти игры кажутся безобидными и их, безусловно, интересно публиковать, на самом деле они представляют собой открытый шаблон для контрольных вопросов и ответов для проверки доступа к учетной записи.
При настройке учетной записи, возможно, попробуйте использовать ответы, которые на самом деле не относятся к вам, но которые вы можете легко запомнить. «Какая была твоя первая машина?» Вместо того, чтобы отвечать правдиво, укажите машину своей мечты. В противном случае просто не публикуйте ответы на вопросы безопасности в Интернете.
Другой способ получить доступ — просто сбросить пароль. Лучшая линия защиты от злоумышленника, сбросившего ваш пароль, — это использовать адрес электронной почты, который вы часто проверяете, и обновлять свою контактную информацию. Если доступно, всегда включайте двухфакторную аутентификацию. Даже если хакер узнает ваш пароль, он не сможет получить доступ к учетной записи без уникального кода подтверждения.
Лучшие практики защиты от хакеров
- Поддерживайте надежные и уникальные пароли для всех своих учетных записей, доступны менеджеры паролей.
- Не нажимайте на ссылки и не загружайте файлы в электронных письмах произвольно, лучше вообще этого не делать, но электронные письма с активацией предотвращают это.
- Периодически проверяйте и применяйте обновления безопасности. Большинство рабочих компьютеров могут этого не позволить, об этом позаботится системный администратор.
- При использовании нового компьютера или диска рассмотрите возможность использования шифрования. Вы можете зашифровать жесткий диск/твердотельный накопитель с данными на нем, но это может занять часы или дни из-за дополнительной информации.
- Используйте понятие наименьших привилегий, которое означает предоставление доступа только к тому, что необходимо. По сути, создавайте учетные записи пользователей, не являющихся администраторами, для повседневного использования компьютера вами, друзьями и семьей.
Часто задаваемые вопросы
Почему мне нужен другой пароль для каждого сайта?
Вы, наверное, знаете, что не следует разглашать свои пароли и не следует загружать незнакомый вам контент, но как насчет учетных записей, в которые вы входите каждый день? Предположим, вы используете тот же пароль для своего банковского счета, который вы используете для произвольной учетной записи, такой как Grammarly. Если Grammarly взломают, у пользователя появится и ваш банковский пароль (и, возможно, ваш адрес электронной почты, что еще больше упростит доступ ко всем вашим финансовым ресурсам).
Что я могу сделать, чтобы защитить свои учетные записи?
Использование 2FA для любых учетных записей, предлагающих эту функцию, использование уникальных паролей для каждой учетной записи и использование комбинации букв и символов — лучшая линия защиты от хакеров. Как указывалось ранее, хакеры могут получить доступ к вашим учетным записям множеством различных способов, поэтому вам необходимо регулярно обновлять свое программное обеспечение и приложения (для исправлений безопасности) и избегайте любых загрузок, с которыми вы не знакомы.
Какой самый безопасный способ хранить пароли?
Подобрать несколько уникальных и странных паролей может быть невероятно сложно. Хотя гораздо лучше пройти процедуру сброса пароля, чем подвергать риску свои учетные записи, это отнимает много времени. Чтобы обеспечить безопасность ваших паролей, вы можете использовать такие службы, как Last Pass или KeePass, чтобы сохранить все пароли вашей учетной записи.
Вы также можете использовать уникальный алгоритм, чтобы сохранить пароли и облегчить их запоминание. Например, PayPal может быть чем-то вроде hwpp+c832. По сути, этот пароль представляет собой первую букву каждого разрыва в URL-адресе (https://www.paypal.com) с последним числом года рождения каждого жителя вашего дома (просто в качестве примера). Когда вы войдете в свою учетную запись, просмотрите URL-адрес, который предоставит вам первые несколько букв этого пароля.
Добавьте символы, чтобы ваш пароль было еще труднее взломать, но организуйте их так, чтобы их было легче запомнить. Например, символ «+» может относиться к любым учетным записям, связанным с развлечениями, а символ «!» может использоваться для финансовых счетов.
Практика онлайн-безопасности
В глобальную эпоху, когда связь может осуществляться по всему миру, казалось бы, в одно мгновение, важно помнить, что не у всех есть добрые намерения. Защитите себя в Интернете, активно управляя и обновляя свои пароли и предупреждая об утечке информации в социальных сетях. Делиться личной информацией — значит проявлять заботу, а не делиться ею ради того, чтобы стать легкой мишенью для киберпреступников.
