Η κατανόηση των τεχνικών διάσπασης κωδικού πρόσβασης που χρησιμοποιούν οι χάκερ για να ανοίξουν τους διαδικτυακούς λογαριασμούς σας είναι ένας πολύ καλός τρόπος για να διασφαλίσετε ότι δεν θα συμβεί ποτέ σε εσάς.
πώς να χρησιμοποιήσετε το στοιχείο επιθεώρησης για να βρείτε απαντήσεις
Σίγουρα θα πρέπει πάντα να αλλάζετε τον κωδικό πρόσβασής σας και μερικές φορές πιο επείγον από ό, τι νομίζετε, αλλά ο μετριασμός κατά της κλοπής είναι ένας πολύ καλός τρόπος για να παραμείνετε στην κορυφή της ασφάλειας του λογαριασμού σας. Μπορείτε πάντα να κατευθυνθείτε προς www.haveibeenpwned.com για να ελέγξετε αν διατρέχετε κίνδυνο, αλλά απλώς πιστεύετε ότι ο κωδικός πρόσβασής σας είναι αρκετά ασφαλής για να μην παραβιαστεί είναι μια κακή νοοτροπία.
Έτσι, για να σας βοηθήσουμε να καταλάβετε πώς οι χάκερ λαμβάνουν τους κωδικούς πρόσβασής σας - ασφαλείς ή άλλως - έχουμε συγκεντρώσει μια λίστα με τις δέκα κορυφαίες τεχνικές διάσπασης κωδικών πρόσβασης που χρησιμοποιούν οι χάκερ. Ορισμένες από τις παρακάτω μεθόδους είναι σίγουρα ξεπερασμένες, αλλά αυτό δεν σημαίνει ότι δεν χρησιμοποιούνται ακόμη. Διαβάστε προσεκτικά και μάθετε τι πρέπει να μετριάσετε.
Οι δέκα κορυφαίες τεχνικές κωδικοποίησης κωδικού πρόσβασης που χρησιμοποιούνται από τους χάκερ
1. Λεξικό επίθεση
Η επίθεση στο λεξικό χρησιμοποιεί ένα απλό αρχείο που περιέχει λέξεις που μπορούν να βρεθούν σε ένα λεξικό, εξ ου και το μάλλον απλό όνομά του. Με άλλα λόγια, αυτή η επίθεση χρησιμοποιεί ακριβώς το είδος των λέξεων που χρησιμοποιούν πολλοί ως κωδικό πρόσβασης.
Η έξυπνη ομαδοποίηση λέξεων, όπως το letmein ή το superadministratorguy, δεν θα εμποδίσει την κατάρρευση του κωδικού πρόσβασής σας - καλά, όχι για περισσότερα από λίγα επιπλέον δευτερόλεπτα.
2. Brute Force Attack
Παρόμοια με την επίθεση στο λεξικό, η επίθεση brute force έρχεται με ένα επιπλέον μπόνους για τον χάκερ. Αντί απλώς να χρησιμοποιούν λέξεις, μια επίθεση brute force τους επιτρέπει να εντοπίζουν λέξεις που δεν είναι λεξικά, δουλεύοντας σε όλους τους πιθανούς αλφαριθμητικούς συνδυασμούς από aaa1 έως zzz10.
Δεν είναι γρήγορο, υπό την προϋπόθεση ότι ο κωδικός πρόσβασής σας έχει περισσότερους από μερικούς χαρακτήρες, αλλά τελικά θα αποκαλύψει τον κωδικό πρόσβασής σας. Οι βίαιες επιθέσεις μπορούν να μειωθούν ρίχνοντας επιπλέον υπολογιστική ιπποδύναμη, τόσο ως προς την ισχύ επεξεργασίας - συμπεριλαμβανομένης της αξιοποίησης της ισχύος της GPU της κάρτας γραφικών σας - όσο και των αριθμών του μηχανήματος, όπως η χρήση κατανεμημένων υπολογιστικών μοντέλων όπως οι διαδικτυακοί ανθρακωρύχοι bitcoin.
3. Επίθεση επιτραπέζιου ουράνιου τόξου
Τα τραπέζια του ουράνιου τόξου δεν είναι τόσο πολύχρωμα όσο το όνομά τους, αλλά, για έναν χάκερ, ο κωδικός πρόσβασής σας θα μπορούσε να είναι στο τέλος του. Με τον πιο απλό τρόπο, μπορείτε να βράσετε έναν πίνακα ουράνιου τόξου σε μια λίστα με προ-υπολογισμένους κατακερματισμούς - την αριθμητική τιμή που χρησιμοποιείται κατά την κρυπτογράφηση ενός κωδικού πρόσβασης. Αυτός ο πίνακας περιέχει κατακερματισμούς όλων των πιθανών συνδυασμών κωδικού πρόσβασης για οποιονδήποτε δεδομένο αλγόριθμο κατακερματισμού. Τα τραπέζια του ουράνιου τόξου είναι ελκυστικά καθώς μειώνουν το χρόνο που απαιτείται για να σπάσουν έναν κατακερματισμό κωδικού πρόσβασης για να αναζητήσουν κάτι σε μια λίστα.
Ωστόσο, τα τραπέζια του ουράνιου τόξου είναι τεράστια, δυσκίνητα πράγματα. Απαιτούν σοβαρή υπολογιστική ισχύ για να τρέξει και ένας πίνακας γίνεται άχρηστος εάν το hash που προσπαθεί να βρει έχει αλατιστεί με την προσθήκη τυχαίων χαρακτήρων στον κωδικό πρόσβασής του πριν από την κατακερματισμό του αλγορίθμου.
Υπάρχουν συζητήσεις για αλατισμένα τραπέζια ουράνιου τόξου, αλλά αυτά θα ήταν τόσο μεγάλα ώστε να είναι δύσκολο να χρησιμοποιηθούν στην πράξη. Πιθανότατα θα λειτουργούσαν μόνο με ένα προκαθορισμένο σύνολο τυχαίων χαρακτήρων και συμβολοσειρές κωδικού πρόσβασης κάτω από 12 χαρακτήρες, καθώς το μέγεθος του πίνακα θα ήταν απαγορευτικό ακόμη και σε χάκερ σε επίπεδο άλλως.
4. Ηλεκτρονικό ψάρεμα
Υπάρχει ένας εύκολος τρόπος για να κάνετε hack, ρωτήστε τον χρήστη για τον κωδικό πρόσβασής του. Ένα ηλεκτρονικό μήνυμα ηλεκτρονικού 'ψαρέματος' οδηγεί τον ανυποψίαστο αναγνώστη σε μια πλαστογραφημένη σελίδα σύνδεσης που σχετίζεται με οποιαδήποτε υπηρεσία στην οποία θέλει να έχει πρόσβαση ο εισβολέας, ζητώντας συνήθως από το χρήστη να θέσει σωστά κάποιο τρομερό πρόβλημα με την ασφάλειά του. Στη συνέχεια, αυτή η σελίδα παραβλέπει τον κωδικό πρόσβασής τους και ο εισβολέας μπορεί να τον χρησιμοποιήσει για δικό τους σκοπό.
Γιατί να ασχοληθείτε με το πρόβλημα της διάσπασης του κωδικού πρόσβασης όταν ο χρήστης θα σας δώσει με χαρά ούτως ή άλλως;
5. Κοινωνική Μηχανική
Η κοινωνική μηχανική παίρνει το σύνολο της ερώτησης του χρήστη έξω από τα εισερχόμενα που το ηλεκτρονικό ψάρεμα τείνει να κολλήσει με τον πραγματικό κόσμο.
Ένα από τα αγαπημένα του κοινωνικού μηχανικού είναι να καλέσετε ένα γραφείο που ποζάρει ως τύπος τεχνολογίας ασφάλειας IT και απλά να ζητήσετε τον κωδικό πρόσβασης πρόσβασης στο δίκτυο. Θα εκπλαγείτε με το πόσο συχνά λειτουργεί αυτό. Μερικοί έχουν ακόμη και τις απαραίτητες γοναδίδες για να φορέσουν ένα κοστούμι και ένα σήμα πριν μπουν σε μια επιχείρηση για να ρωτήσουν τον ρεσεψιονίστ την ίδια ερώτηση πρόσωπο με πρόσωπο.
6. κακόβουλο λογισμικό
Ένα keylogger, ή ένα scraper οθόνης, μπορεί να εγκατασταθεί από κακόβουλο λογισμικό που καταγράφει ό, τι πληκτρολογείτε ή λαμβάνετε στιγμιότυπα οθόνης κατά τη διάρκεια μιας διαδικασίας σύνδεσης και, στη συνέχεια, προωθεί ένα αντίγραφο αυτού του αρχείου στο κεντρικό χάκερ.
Ορισμένα κακόβουλα προγράμματα θα αναζητήσουν την ύπαρξη ενός αρχείου κωδικού πρόσβασης προγράμματος-πελάτη προγράμματος περιήγησης ιστού και θα το αντιγράψουν, το οποίο, εκτός εάν κρυπτογραφηθεί σωστά, θα περιέχει εύκολα προσβάσιμους αποθηκευμένους κωδικούς πρόσβασης από το ιστορικό περιήγησης του χρήστη.
7. Σπάσιμο εκτός σύνδεσης
Είναι εύκολο να φανταστεί κανείς ότι οι κωδικοί πρόσβασης είναι ασφαλείς όταν τα συστήματα που προστατεύουν κλειδώνουν τους χρήστες μετά από τρεις ή τέσσερις λανθασμένες εικασίες, αποκλείοντας τις αυτόματες εφαρμογές εικασίας. Λοιπόν, αυτό θα ήταν αληθές αν δεν υπήρχε το γεγονός ότι οι περισσότερες εισβολές κωδικού πρόσβασης πραγματοποιούνται εκτός σύνδεσης, χρησιμοποιώντας ένα σύνολο κατακερματισμών σε ένα αρχείο κωδικού πρόσβασης που έχει «ληφθεί» από ένα παραβιασμένο σύστημα.
Συχνά ο εν λόγω στόχος έχει παραβιαστεί μέσω εισβολής σε τρίτο μέρος, το οποίο στη συνέχεια παρέχει πρόσβαση στους διακομιστές συστήματος και σε όλα τα σημαντικά αρχεία κατακερματισμού κωδικού πρόσβασης χρήστη. Ο κωδικοποιητής κωδικού πρόσβασης μπορεί στη συνέχεια να διαρκέσει όσο χρειάζεται για να προσπαθήσει να σπάσει τον κώδικα χωρίς να ειδοποιήσει το σύστημα προορισμού ή τον μεμονωμένο χρήστη.
8. Σερφ ώμου
Μια άλλη μορφή κοινωνικής μηχανικής, το σερφάρισμα στον ώμο, όπως υπονοεί, συνεπάγεται το κρυφοκοιτάζοντας τους ώμους ενός ατόμου ενώ εισάγει διαπιστευτήρια, κωδικούς πρόσβασης κ.λπ. Παρόλο που η ιδέα είναι πολύ χαμηλής τεχνολογίας, θα εκπλαγείτε πόσους κωδικούς πρόσβασης και ευαίσθητες πληροφορίες κλαπεί με αυτόν τον τρόπο, οπότε μείνετε ενήμεροι για το περιβάλλον σας κατά την πρόσβαση σε τραπεζικούς λογαριασμούς κ.λπ. εν κινήσει.
Οι πιο σίγουροι για τους χάκερ θα πάρουν το πρόσχημα ενός αγγελιαφόρου δεμάτων, ενός τεχνικού σέρβις κλιματισμού ή οτιδήποτε άλλο που τους επιτρέπει να έχουν πρόσβαση σε ένα κτίριο γραφείων. Μόλις μπουν, η στολή του προσωπικού σέρβις παρέχει ένα είδος δωρεάν κάρτας για περιπλάνηση ανεμπόδιστα και σημειώνει τους κωδικούς πρόσβασης που εισάγονται από γνήσια μέλη του προσωπικού. Παρέχει επίσης μια εξαιρετική ευκαιρία να παρακολουθήσετε όλες αυτές τις σημειώσεις post-it που είναι κολλημένες στο μπροστινό μέρος των οθονών LCD με τις συνδέσεις που γράφονται πάνω τους.
9. Αράχνη
Οι έξυπνοι χάκερ έχουν συνειδητοποιήσει ότι πολλοί εταιρικοί κωδικοί πρόσβασης αποτελούνται από λέξεις που συνδέονται με την ίδια την επιχείρηση. Η μελέτη της εταιρικής βιβλιογραφίας, του υλικού πωλήσεων ιστοτόπων, ακόμη και των ιστότοπων ανταγωνιστών και καταχωρισμένων πελατών μπορεί να παρέχει τα πυρομαχικά για τη δημιουργία μιας προσαρμοσμένης λίστας λέξεων για χρήση σε μια βίαια επίθεση.
Πραγματικά καταλαβαίνω χάκερ έχουν αυτοματοποιήσει τη διαδικασία και επιτρέπουν σε μια εφαρμογή αράχνης, παρόμοια με τα προγράμματα ανίχνευσης ιστού που χρησιμοποιούνται από κορυφαίες μηχανές αναζήτησης για την αναγνώριση λέξεων-κλειδιών, τη συλλογή και τη συλλογή των λιστών για αυτές.
10. Μαντέψτε
Ο καλύτερος φίλος του cracker password είναι, φυσικά, η προβλεψιμότητα του χρήστη. Εάν δεν έχει δημιουργηθεί ένας πραγματικά τυχαίος κωδικός πρόσβασης χρησιμοποιώντας λογισμικό που είναι αφιερωμένο στην εργασία, ένας «τυχαίος» κωδικός πρόσβασης που δημιουργείται από τον χρήστη είναι απίθανο να είναι κάτι τέτοιο.
Αντ 'αυτού, χάρη στη συναισθηματική προσκόλληση του εγκεφάλου μας σε πράγματα που μας αρέσουν, οι πιθανότητες είναι ότι αυτοί οι τυχαίοι κωδικοί πρόσβασης βασίζονται στα ενδιαφέροντά μας, τα χόμπι, τα κατοικίδια ζώα, την οικογένεια και ούτω καθεξής. Στην πραγματικότητα, οι κωδικοί πρόσβασης τείνουν να βασίζονται σε όλα τα πράγματα που μας αρέσει να συζητάμε στα κοινωνικά δίκτυα και ακόμη και να συμπεριλαμβάνονται στα προφίλ μας. Οι κωδικοποιητές κωδικού πρόσβασης είναι πολύ πιθανό να εξετάσουν αυτές τις πληροφορίες και να κάνουν μερικές - συχνά σωστές - μορφωμένες εικασίες όταν επιχειρούν να σπάσουν έναν κωδικό πρόσβασης σε επίπεδο καταναλωτή χωρίς να καταφύγουν σε επιθέσεις λεξικού ή ωμής βίας.
Άλλες επιθέσεις που πρέπει να προσέξετε
Εάν οι χάκερ δεν έχουν τίποτα, δεν είναι δημιουργικότητα. Χρησιμοποιώντας μια ποικιλία τεχνικών και προσαρμογής σε συνεχώς μεταβαλλόμενα πρωτόκολλα ασφαλείας, αυτά τα interlopers συνεχίζουν να επιτυγχάνουν.
Για παράδειγμα, οποιοσδήποτε στα Social Media πιθανότατα έχει δει τα διασκεδαστικά κουίζ και τα πρότυπα που σας ζητούν να μιλήσετε για το πρώτο σας αυτοκίνητο, το αγαπημένο σας φαγητό, το νούμερο ένα τραγούδι στα 14α γενέθλιά σας. Παρόλο που αυτά τα παιχνίδια φαίνονται αβλαβή και είναι σίγουρα διασκεδαστικά να δημοσιεύουν, είναι στην πραγματικότητα ένα ανοιχτό πρότυπο για ερωτήσεις ασφαλείας και απαντήσεις επαλήθευσης πρόσβασης λογαριασμού.
Κατά τη δημιουργία ενός λογαριασμού, ίσως δοκιμάστε να χρησιμοποιήσετε απαντήσεις που δεν σας αφορούν πραγματικά, αλλά, τις οποίες μπορείτε εύκολα να θυμάστε. Ποιο ήταν το πρώτο σας αυτοκίνητο; Αντί να απαντάς ειλικρινά, βάλτε το όνειρο σας. Διαφορετικά, απλώς μην δημοσιεύετε διαδικτυακές απαντήσεις ασφαλείας.
Ένας άλλος τρόπος για να αποκτήσετε πρόσβαση είναι απλώς επαναφορά του κωδικού πρόσβασής σας. Η καλύτερη γραμμή άμυνας ενάντια σε έναν διαλειτουργικό επαναφορά του κωδικού πρόσβασής σας είναι η χρήση μιας διεύθυνσης email που ελέγχετε συχνά και η ενημέρωση των στοιχείων επικοινωνίας σας. Εάν είναι διαθέσιμο, ενεργοποιήστε πάντα τον έλεγχο ταυτότητας 2 παραγόντων. Ακόμα κι αν ο εισβολέας μαθαίνει τον κωδικό πρόσβασής σας, δεν μπορεί να έχει πρόσβαση στον λογαριασμό χωρίς έναν μοναδικό κωδικό επαλήθευσης.
Συχνές Ερωτήσεις
Γιατί χρειάζομαι διαφορετικό κωδικό πρόσβασης για κάθε ιστότοπο;
Πιθανότατα γνωρίζετε ότι δεν πρέπει να δώσετε τους κωδικούς πρόσβασής σας και ότι δεν πρέπει να κατεβάσετε περιεχόμενο που δεν γνωρίζετε, αλλά τι γίνεται με τους λογαριασμούς στους οποίους συνδέεστε καθημερινά; Ας υποθέσουμε ότι χρησιμοποιείτε τον ίδιο κωδικό πρόσβασης για τον τραπεζικό σας λογαριασμό που χρησιμοποιείτε για έναν αυθαίρετο λογαριασμό όπως η Γραμματική. Εάν η γραμματική έχει παραβιαστεί, τότε ο χρήστης έχει και τον τραπεζικό σας κωδικό πρόσβασης (και πιθανώς το email σας καθιστώντας ακόμη πιο εύκολο να αποκτήσετε πρόσβαση σε όλους τους οικονομικούς πόρους σας).
Τι μπορώ να κάνω για να προστατεύσω τους λογαριασμούς μου;
Η χρήση του 2FA σε λογαριασμούς που προσφέρουν τη δυνατότητα, τη χρήση μοναδικών κωδικών πρόσβασης για κάθε λογαριασμό και τη χρήση συνδυασμών γραμμάτων και συμβόλων είναι η καλύτερη γραμμή άμυνας εναντίον των χάκερ. Όπως αναφέρθηκε προηγουμένως, υπάρχουν πολλοί διαφορετικοί τρόποι με τους οποίους οι χάκερ αποκτούν πρόσβαση στους λογαριασμούς σας, οπότε άλλα πράγματα που πρέπει να βεβαιωθείτε ότι κάνετε τακτικά είναι να ενημερώνετε το λογισμικό και τις εφαρμογές σας (για ενημερώσεις ασφαλείας) και αποφεύγοντας τυχόν λήψεις που δεν γνωρίζετε.
Ποιος είναι ο ασφαλέστερος τρόπος διατήρησης κωδικών πρόσβασης;
Η διατήρηση αρκετών παράξενων κωδικών πρόσβασης μπορεί να είναι εξαιρετικά δύσκολη. Αν και είναι πολύ καλύτερο να ακολουθήσετε τη διαδικασία επαναφοράς κωδικού πρόσβασης από το να θέσετε σε κίνδυνο τους λογαριασμούς σας, είναι χρονοβόρο. Για να διατηρήσετε ασφαλείς τους κωδικούς πρόσβασής σας, μπορείτε να χρησιμοποιήσετε μια υπηρεσία όπως το Last Pass ή το KeePass για να αποθηκεύσετε όλους τους κωδικούς πρόσβασης του λογαριασμού σας.
Μπορείτε επίσης να χρησιμοποιήσετε έναν μοναδικό αλγόριθμο για να διατηρήσετε τους κωδικούς πρόσβασής σας, ενώ τους διευκολύνετε να θυμάστε. Για παράδειγμα, το PayPal θα μπορούσε να είναι κάτι σαν hwpp + c832. Ουσιαστικά, αυτός ο κωδικός πρόσβασης είναι το πρώτο γράμμα κάθε διακοπής στη διεύθυνση URL (https://www.paypal.com) με τον τελευταίο αριθμό στο έτος γέννησης όλων των ατόμων στο σπίτι σας (όπως για παράδειγμα). Όταν πηγαίνετε στο λογαριασμό σας, δείτε τη διεύθυνση URL που θα σας δώσει τα πρώτα γράμματα αυτού του κωδικού πρόσβασης.
Προσθέστε σύμβολα για να κάνετε τον κωδικό πρόσβασής σας ακόμη πιο δύσκολο να χαράξετε, αλλά να τα οργανώσετε ώστε να είναι πιο εύκολο να τα θυμάστε. Για παράδειγμα, το σύμβολο + μπορεί να είναι για λογαριασμούς που σχετίζονται με την ψυχαγωγία, ενώ το! μπορεί να χρησιμοποιηθεί για οικονομικούς λογαριασμούς.
