Å forstå passordknusingsteknikker som hackere bruker for å sprenge online-kontoene dine, er en fin måte å sikre at det aldri skjer for deg.
hvordan du fjerner skrivebeskyttelse på USB-stasjonen
Du vil absolutt alltid trenge å endre passordet ditt, og noen ganger mer presserende enn du tror, men å redusere tyveri er en fin måte å holde deg på kontosikkerheten. Du kan alltid gå til www.haveibeenpwned.com å sjekke om du er i fare, men bare å tenke på at passordet ditt er sikkert nok til ikke å bli hacket inn, er en dårlig tankegang å ha.
Så for å hjelpe deg med å forstå hvordan hackere får passordene dine - sikre eller på annen måte - har vi satt sammen en liste over de ti beste teknologiene for å knekke passord som brukes av hackere. Noen av metodene nedenfor er absolutt utdaterte, men det betyr ikke at de fortsatt ikke brukes. Les nøye og lær hva du kan redusere.
Topp ti passordknusingsteknikker som brukes av hackere
1. Ordbokangrep
Ordbokangrepet bruker en enkel fil som inneholder ord som finnes i en ordbok, derav dens ganske enkle navn. Med andre ord, dette angrepet bruker nøyaktig den slags ord som mange bruker som passord.
Smart gruppering av ord som letmein eller superadministratorguy forhindrer ikke passordet ditt fra å bli sprukket på denne måten - vel, ikke i mer enn noen få ekstra sekunder.
2. Brute Force Attack
I likhet med ordbokangrepet kommer brute force-angrepet med en ekstra bonus for hackeren. I stedet for å bare bruke ord, lar et brutalt kraftangrep dem oppdage ord som ikke er ordbøker, ved å jobbe gjennom alle mulige alfanumeriske kombinasjoner fra aaa1 til zzz10.
Det er ikke raskt, forutsatt at passordet ditt er over en håndfull tegn, men det vil til slutt avdekke passordet ditt. Brute force-angrep kan forkortes ved å kaste ekstra datamaskinhestekrefter, både når det gjelder prosessorkraft - inkludert å utnytte kraften til skjermkortets GPU - og maskinnumre, for eksempel ved å bruke distribuerte datamodeller som online bitcoin-gruvearbeidere.
3. Rainbow Table Attack
Rainbow-bord er ikke så fargerike som navnet kan tilsi, men for en hacker kan passordet ditt være på slutten av det. På en mest mulig enkel måte kan du koke et regnbuebord ned i en liste over forhåndsberegnede hashes - den numeriske verdien som brukes når du krypterer et passord. Denne tabellen inneholder hashes av alle mulige passordkombinasjoner for en gitt hashingalgoritme. Regnbuetabeller er attraktive ettersom det reduserer tiden det tar å knekke et passord-hash til bare å slå opp noe i en liste.
Imidlertid er regnbuebord store, uhåndterlige ting. De krever seriøs datakraft for å kjøre, og en tabell blir ubrukelig hvis hasjen den prøver å finne er blitt saltet ved å legge til tilfeldige tegn i passordet sitt før algoritmen hasher.
Det er snakk om saltede regnbuebord, men disse vil være så store at de er vanskelige å bruke i praksis. De vil sannsynligvis bare fungere med et forhåndsdefinert tilfeldig tegnsett og passordstrenger under 12 tegn, da størrelsen på tabellen ellers ville være uoverkommelig for hackere på statsnivå.
4. Phishing
Det er en enkel måte å hacke, be brukeren om passordet. En phishing-e-post fører den intetanende leseren til en falsk påloggingsside assosiert med hvilken tjeneste det er hackeren ønsker å få tilgang til, vanligvis ved å be brukeren om å rette opp noen forferdelige problemer med deres sikkerhet. Siden skyver deretter passordet sitt, og hackeren kan bruke det til sitt eget formål.
Hvorfor bry deg med å knekke passordet når brukeren gjerne vil gi deg det uansett?
5. Sosial ingeniørfag
Social engineering tar hele spør brukerkonseptet utenfor innboksen som phishing har en tendens til å holde seg til og inn i den virkelige verden.
En sosialingeniør er en favoritt å ringe et kontor som utgjør en IT-sikkerhetsteknisk fyr og bare be om passordet til nettverksadgangen. Du vil bli overrasket over hvor ofte dette fungerer. Noen har til og med de nødvendige gonadene for å ta på seg dress og navneskilt før de går inn i en bedrift for å stille resepsjonist det samme spørsmålet ansikt til ansikt.
6. Skadelig programvare
En nøkkellogger, eller skjermskrape, kan installeres av skadelig programvare som registrerer alt du skriver eller tar skjermbilder under en påloggingsprosess, og deretter videresender en kopi av denne filen til hacker central.
Noen skadelig programvare vil se etter eksistensen av en passordfil for en nettleserklient og kopiere denne som, med mindre den er riktig kryptert, vil inneholde lett tilgjengelige lagrede passord fra brukerens nettleserlogg.
7. Frakobling uten nett
Det er lett å forestille seg at passord er trygge når systemene de beskytter, låser brukere ut etter tre eller fire feil gjetninger, og blokkerer automatiserte gjetningsapplikasjoner. Vel, det ville være sant hvis det ikke var for det meste at passordhacking foregår offline, ved hjelp av et sett med hashes i en passordfil som er 'hentet' fra et kompromittert system.
Ofte er det aktuelle målet blitt kompromittert via et hack på en tredjepart, som deretter gir tilgang til systemserverne og de viktige hash-filene for brukerpassordet. Passordkrakkeren kan da ta så lang tid som de trenger å prøve å knekke koden uten å varsle målsystemet eller den enkelte brukeren.
8. Skulder surfing
En annen form for sosial ingeniørarbeid, skulder surfing, akkurat som det antyder, innebærer å kikke over en persons skuldre mens de skriver inn legitimasjon, passord osv. Selv om konseptet er veldig lavteknologisk, vil du bli overrasket over hvor mange passord og sensitiv informasjon blir stjålet på denne måten, så vær oppmerksom på omgivelsene når du får tilgang til bankkontoer osv. mens du er på farten.
De mest trygge hackerne vil ta på seg en pakkekurir, aircon-servicetekniker eller noe annet som gir dem tilgang til en kontorbygning. Når de er inne, gir servicepersonelluniformen et slags gratis pass for å vandre rundt uhindret, og notere passord som blir skrevet inn av ekte ansatte. Det gir også en utmerket mulighet til å øyeeple alle post-it-lappene som sitter fast på forsiden av LCD-skjermer med pålogginger skrevet på dem.
9. Spidering
Kyndige hackere har innsett at mange bedriftspassord består av ord som er knyttet til selve virksomheten. Å studere bedriftslitteratur, nettstedssalgsmateriale og til og med nettsteder til konkurrenter og børsnoterte kunder kan gi ammunisjonen til å lage en tilpasset ordliste som skal brukes i et brute force-angrep.
Virkelig kunnskapsrike hackere har automatisert prosessen og la en spidering-applikasjon, som ligner på webcrawlere som brukes av ledende søkemotorer, for å identifisere nøkkelord, samle og samle listene for dem.
10. Gjett
Passordknekkernes beste venn er selvfølgelig brukerens forutsigbarhet. Med mindre et virkelig tilfeldig passord er opprettet ved hjelp av programvare dedikert til oppgaven, er det lite sannsynlig at et brukergenerert ‘tilfeldig’ passord er noe av det slaget.
I stedet, takket være hjernenes følelsesmessige tilknytning til ting vi liker, er sjansen for at tilfeldige passord er basert på våre interesser, hobbyer, kjæledyr, familie og så videre. Faktisk har passord en tendens til å være basert på alle tingene vi liker å chatte om på sosiale nettverk og til og med inkludere i profilene våre. Det er svært sannsynlig at passordkrakkere ser på denne informasjonen og gir noen få - ofte riktige - utdannede gjetninger når de prøver å knekke et passord på forbrukernivå uten å ty til ordbok eller brute force-angrep.
Andre angrep å passe på
Hvis hackere mangler noe, er det ikke kreativitet. Ved å bruke en rekke teknikker og tilpasse seg stadig skiftende sikkerhetsprotokoller, fortsetter disse interloperne å lykkes.
For eksempel har alle på sosiale medier sannsynligvis sett de morsomme quizene og malene der du blir bedt om å snakke om din første bil, din favorittmat, nummer én på 14-årsdagen din. Selv om disse spillene virker ufarlige, og de er absolutt morsomme å legge ut, er de faktisk en åpen mal for sikkerhetsspørsmål og svar på bekreftelse av kontotilgang.
Når du oppretter en konto, kan du prøve å bruke svar som ikke egentlig gjelder deg, men som du lett kan huske. Hva var din første bil? I stedet for å svare sannferdig, sett drømmebilen din i stedet. Ellers må du ikke legge inn noen sikkerhetssvar på nettet.
En annen måte å få tilgang på er å tilbakestille passordet ditt. Den beste forsvarslinjen mot en interloper som tilbakestiller passordet ditt, er å bruke en e-postadresse du sjekker ofte og holde kontaktinformasjonen oppdatert. Hvis tilgjengelig, aktiver alltid 2-faktor-autentisering. Selv om hackeren får vite passordet ditt, kan de ikke få tilgang til kontoen uten en unik bekreftelseskode.
ofte stilte spørsmål
Hvorfor trenger jeg et annet passord for hvert nettsted?
Du vet sannsynligvis at du ikke skal gi ut passordene dine, og at du ikke bør laste ned noe innhold du ikke er kjent med, men hva med kontoene du logger på hver dag? Anta at du bruker det samme passordet for bankkontoen din som du bruker til en vilkårlig konto som Grammarly. Hvis Grammarly er hacket, har brukeren også bankpassordet ditt (og muligens e-postmeldingen din, noe som gjør det enda enklere å få tilgang til alle dine økonomiske ressurser).
Hva kan jeg gjøre for å beskytte kontoene mine?
Å bruke 2FA på alle kontoer som tilbyr funksjonen, bruke unike passord for hver konto, og bruke en blanding av bokstaver og symboler er den beste forsvarslinjen mot hackere. Som nevnt tidligere, er det mange forskjellige måter hackere får tilgang til kontoene dine, så andre ting du trenger for å være sikker på at du gjør regelmessig, er å holde programvaren og appene dine oppdatert (for sikkerhetsoppdateringer) og unngå nedlastinger du ikke er kjent med.
Hva er den tryggeste måten å beholde passord på?
Å holde tritt med flere unike merkelige passord kan være utrolig vanskelig. Selv om det er langt bedre å gå gjennom prosessen for tilbakestilling av passord enn det er å få kompromittert kontoene, er det tidkrevende. For å holde passordene dine trygge kan du bruke en tjeneste som Last Pass eller KeePass for å lagre alle kontoens passord.
Du kan også bruke en unik algoritme for å beholde passordene dine mens du gjør det lettere å huske. For eksempel kan PayPal være noe sånt som hwpp + c832. I hovedsak er dette passordet den første bokstaven i hvert brudd i URL-en (https://www.paypal.com) med det siste tallet i fødselsåret til alle i hjemmet ditt (bare som et eksempel). Når du går til å logge inn på kontoen din, kan du se URL-en som gir deg de første bokstavene i dette passordet.
Legg til symboler for å gjøre passordet ditt enda vanskeligere å hacke, men organiser dem slik at de er lettere å huske. For eksempel kan + -symbolet være for alle kontoer relatert til underholdning mens! kan brukes til finansielle kontoer.
