8 dažniausiai pasitaikančios gudrybės, naudojamos įsilaužti į slaptažodžius

8 dažniausiai pasitaikančios gudrybės, naudojamos įsilaužti į slaptažodžius

Kas iškyla išgirdus „saugumo pažeidimą“? Piktybinis įsilaužėlis, sėdintis prieš ekranus, uždengtus „Matrix“ stiliaus skaitmeniniu tekstu? Arba rūsyje gyvenantis paauglys, tris dienas nematęs dienos šviesos? O kaip galingas superkompiuteris, bandantis nulaužti visą pasaulį?





Įsilaužimas susijęs su vienu dalyku: jūsų slaptažodžiu. Jei kas nors gali atspėti jūsų slaptažodį, jam nereikia įmantrių įsilaužimo būdų ir superkompiuterių. Jie tiesiog prisijungs, elgsis kaip jūs. Jei jūsų slaptažodis trumpas ir paprastas, žaidimas baigtas.



Yra aštuonios įprastos įsilaužėlių taktikos, naudojamos įsilaužti į jūsų slaptažodį.





1. Žodynas Hack

Pirmiausia bendrame slaptažodžių įsilaužimo taktikos vadove yra žodyno ataka. Kodėl tai vadinama žodyno ataka? Kadangi jis automatiškai išbando kiekvieną žodį apibrėžtame „žodyne“ prieš slaptažodį. Žodynas nėra griežtai tas, kurį naudojote mokykloje.

Ne. Šis žodynas iš tikrųjų yra mažas failas, kuriame yra ir dažniausiai naudojami slaptažodžių deriniai. Tai apima 123456, „qwerty“, slaptažodį, iloveyou ir visų laikų klasikinį „hunter2“.



kaip priversti netflix nustoti klausinėti, ar aš vis dar žiūriu

Aukščiau esančioje lentelėje pateikiami labiausiai nutekėję slaptažodžiai 2016 m. Žemiau esančioje lentelėje pateikiami labiausiai nutekėję slaptažodžiai 2020 m.

Atkreipkite dėmesį į šių dviejų panašumus ir įsitikinkite, kad nenaudojate šių neįtikėtinai paprastų parinkčių.



Argumentai 'už': Greitai; paprastai atrakins kai kurias liūdnai apsaugotas paskyras.

Minusai: Net šiek tiek stipresni slaptažodžiai išliks saugūs.



Lik saugus: Naudokite tvirtą vienkartinį slaptažodį kiekvienai paskyrai kartu su a slaptažodžių valdymo programa . Slaptažodžių tvarkyklė leidžia saugoti kitus slaptažodžius saugykloje. Tada kiekvienoje svetainėje galite naudoti vieną juokingai stiprų slaptažodį.

Susijęs: „Google“ slaptažodžių tvarkyklė: kaip pradėti

2. Brutali jėga

Toliau žiaurios jėgos ataka, kai užpuolikas išbando visus įmanomus simbolių derinius. Bandomi slaptažodžiai atitiks sudėtingumo taisyklių specifikacijas, pvz. įskaitant vieną didžiąją raidę, vieną mažąją raidę, dešimtainius skaičius „Pi“, jūsų picos užsakymą ir pan.

Žiaurios jėgos ataka taip pat pirmiausia išbandys dažniausiai naudojamus raidinius ir skaitmeninius simbolių derinius. Tai apima anksčiau išvardytus slaptažodžius, taip pat 1q2w3e4r5t, zxcvbnm ir qwertyuiop. Naudojant šį metodą slaptažodžio išsiaiškinimas gali užtrukti labai ilgai, tačiau tai visiškai priklauso nuo slaptažodžio sudėtingumo.

Argumentai 'už': Teoriškai jis sugadins bet kokį slaptažodį, išbandydamas kiekvieną derinį.

Minusai: Priklausomai nuo slaptažodžio ilgio ir sudėtingumo, tai gali užtrukti labai ilgai. Įveskite keletą kintamųjų, tokių kaip $, &, {, arba], ir išsiaiškinti slaptažodį tampa labai sunku.

Lik saugus: Visada naudokite kintamą simbolių derinį ir, jei įmanoma, įveskite papildomų simbolių, kad padidintumėte sudėtingumą .

3. Sukčiavimas

Tai nėra griežtas „įsilaužimas“, tačiau tapimas sukčiavimo ar sprogimo bandymu auka dažniausiai baigsis blogai. Bendrieji sukčiavimo el. Laiškai milijardais siunčiami įvairiausiems interneto vartotojams visame pasaulyje.

Sukčiavimo el. Laiškas paprastai veikia taip:

  1. Tikslinis vartotojas gauna suklastotą el. Laišką, esą iš didelės organizacijos ar įmonės.
  2. Į suklastotus el. Laiškus reikia nedelsiant atkreipti dėmesį, pateikiant nuorodą į svetainę.
  3. Ši nuoroda iš tikrųjų jungiasi prie suklastoto prisijungimo portalo, išjuokto, kad atrodytų lygiai taip pat, kaip ir teisėta svetainė.
  4. Nieko neįtariantis tikslinis vartotojas įveda savo prisijungimo duomenis ir yra nukreipiamas arba nurodomas bandyti dar kartą.
  5. Vartotojo kredencialai yra pavogti, parduodami arba naudojami apgaulingai (arba abu).

Kasdien visame pasaulyje siunčiamas šlamšto kiekis išlieka didelis ir sudaro daugiau nei pusę visų pasaulyje siunčiamų el. Be to, naudojant „Kaspersky“, kenkėjiškų priedų kiekis taip pat yra didelis pažymėdamas daugiau nei 92 milijonai kenkėjiškų priedų nuo 2020 m. sausio iki birželio mėn. Atminkite, kad tai skirta tik „Kaspersky“ tikrasis skaičius yra daug didesnis .

Dar 2017 metais didžiausias sukčiavimo viliojimas buvo suklastota sąskaita faktūra. Tačiau 2020 metais COVID-19 pandemija sukėlė naują sukčiavimo grėsmę.

2020 m. Balandžio mėn., Netrukus po to, kai daugelis šalių buvo užblokuotos pandemijos, „Google“ paskelbė ji užblokavo daugiau nei 18 milijonų COVID-19 tematikos kenkėjiškų šlamšto ir sukčiavimo el. laiškų per dieną. Daugelyje šių el. Laiškų teisėtumui naudojamas oficialus vyriausybės ar sveikatos organizacijos prekės ženklas, o aukos nesulaukiamos.

Argumentai 'už': Vartotojas pažodžiui perduoda savo prisijungimo informaciją, įskaitant slaptažodžius-palyginti aukštas įvykių dažnis, lengvai pritaikomas konkrečioms paslaugoms ar konkretiems žmonėms, kurie puola ietį.

Minusai: Šlamšto el. Laiškai lengvai filtruojami, šlamšto domenai įtraukiami į juodąjį sąrašą, o pagrindiniai teikėjai, tokie kaip „Google“, nuolat atnaujina apsaugą.

Lik saugus: Elkitės skeptiškai dėl el. Laiškų ir padidinkite šlamšto filtrą iki aukščiausio nustatymo arba, dar geriau, naudokite aktyvų baltąjį sąrašą. Naudoti nuorodų tikrintuvą, kad įsitikintumėte jei el. pašto nuoroda yra teisėta prieš spustelint.

4. Socialinė inžinerija

Socialinė inžinerija iš esmės yra sukčiavimas realiame pasaulyje, toli nuo ekrano.

Pagrindinė bet kurio saugumo audito dalis yra įvertinti, ką supranta visa darbo jėga. Pavyzdžiui, saugos įmonė paskambins į audituojamą verslą. „Užpuolikas“ telefonu asmeniui pasako, kad yra naujoji biuro technologijų palaikymo komanda, ir jam reikia naujausio slaptažodžio, kad būtų galima ką nors konkretaus.

Nieko neįtariantis asmuo gali atiduoti raktus be sustojimo.

Baisu yra tai, kaip dažnai tai veikia. Socialinė inžinerija egzistuoja šimtmečius. Dviprasmiškumas, norint patekti į saugią zoną, yra įprastas atakos būdas, kuris yra apsaugotas tik išsilavinus.

Taip yra todėl, kad ataka ne visada tiesiogiai paprašys slaptažodžio. Tai gali būti netikras santechnikas ar elektrikas, prašantis įeiti į saugų pastatą ir pan.

Kai kas nors sako, kad buvo apgautas atskleisti savo slaptažodį, tai dažnai yra socialinės inžinerijos rezultatas.

Argumentai 'už': Kvalifikuoti socialiniai inžinieriai gali išgauti vertingą informaciją iš įvairių tikslų. Jis gali būti dislokuotas beveik bet kur ir bet kur. Tai nepaprastai slapta.

Minusai: Socialinės inžinerijos nesėkmė gali sukelti įtarimų dėl artėjančios atakos ir netikrumo, ar gaunama teisinga informacija.

Lik saugus : Tai keblus dalykas. Sėkminga socialinės inžinerijos ataka bus baigta, kai suprasite, kad kažkas ne taip. Švietimas ir saugumo supratimas yra pagrindinė švelninimo taktika. Venkite skelbti asmeninės informacijos, kuri vėliau gali būti panaudota prieš jus.

5. Vaivorykštės stalas

Vaivorykštės stalas paprastai yra slaptažodžio ataka neprisijungus. Pavyzdžiui, užpuolikas įgijo naudotojų vardų ir slaptažodžių sąrašą, tačiau jie buvo užšifruoti. Užšifruotas slaptažodis yra maišomas. Tai reiškia, kad jis atrodo visiškai kitoks nei pradinis slaptažodis.

Pavyzdžiui, jūsų slaptažodis yra (tikiuosi ne!) Prisijungimas. Žinomas šio slaptažodžio MD5 maišas yra „8f4047e3233b39e4444e1aef240e80aa“.

Šiek tiek jums ir man. Tačiau tam tikrais atvejais užpuolikas paleidžia paprasto teksto slaptažodžių sąrašą pagal maišos algoritmą, lygindamas rezultatus su užšifruotu slaptažodžio failu. Kitais atvejais šifravimo algoritmas yra pažeidžiamas, o dauguma slaptažodžių jau yra nulaužti, pvz., MD5 (todėl žinome konkrečią „logmein“ maišą.

Čia vaivorykštės stalas atsiranda savaime. Vietoj to, kad reikia apdoroti šimtus tūkstančių galimų slaptažodžių ir suderinti jų gautą maišą, vaivorykštės lentelė yra didžiulis iš anksto apskaičiuotų algoritmo maišos verčių rinkinys.

Naudojant vaivorykštės stalą, drastiškai sutrumpėja laikas, kurio reikia, norint nulaužti slaptažodį, tačiau jis nėra tobulas. Piratai gali įsigyti iš anksto užpildytų vaivorykštės stalų, kuriuose yra milijonai galimų derinių.

Argumentai 'už': Gali suprasti sudėtingus slaptažodžius per trumpą laiką; suteikia įsilaužėliui daug galios tam tikriems saugumo scenarijams.

Minusai: Milžiniškam (kartais terabaitų) vaivorykštės stalui laikyti reikia daug vietos. Be to, užpuolikai apsiriboja lentelėje esančiomis vertėmis (priešingu atveju jie turi pridėti dar vieną visą lentelę).

kokie yra snapchat trofėjai

Lik saugus: Kitas keblus. Vaivorykštės stalai siūlo platų atakos potencialą. Venkite svetainių, kuriose slaptažodžio maišos algoritmas naudojamas SHA1 arba MD5. Venkite svetainių, kurios apriboja trumpus slaptažodžius arba apriboja jūsų naudojamus simbolius. Visada naudokite sudėtingą slaptažodį.

Susijęs: Kaip sužinoti, ar svetainėje slaptažodžiai saugomi kaip paprastas tekstas (ir ką daryti)

6. Kenkėjiška programa/„Keylogger“

Kitas tikras būdas prarasti prisijungimo duomenis yra kenkėjiškų programų pažeidimas. Kenkėjiškos programos yra visur, todėl gali būti padaryta didžiulė žala. Jei kenkėjiškos programos variante yra klaviatūros registratorius, galite rasti visi jūsų paskyrų buvo pažeista.

Arba kenkėjiška programa gali konkrečiai nukreipti asmeninius duomenis arba įvesti nuotolinės prieigos Trojos arklys, kad pavogtų jūsų kredencialus.

Argumentai 'už': Tūkstančiai kenkėjiškų programų variantų, daug pritaikomų, naudojant kelis paprastus pristatymo būdus. Didelė tikimybė, kad daug tikslų pasiduos bent vienam variantui. Tai gali būti nepastebėta, o tai leidžia toliau rinkti privačius duomenis ir prisijungimo duomenis.

Minusai: Tikimybė, kad kenkėjiška programa neveiks arba ji bus karantine prieš pasiekiant duomenis; negarantuoja, kad duomenys yra naudingi.

Lik saugus : Įdiekite ir reguliariai atnaujinkite antivirusinę ir kenkėjišką programinę įrangą programinė įranga. Atidžiai apsvarstykite atsisiuntimo šaltinius. Nespustelėkite diegimo paketų, kuriuose yra paketų ir dar daugiau. Venkite kenksmingų svetainių (lengviau pasakyti nei padaryti). Naudokite scenarijų blokavimo įrankius, kad sustabdytumėte kenkėjiškus scenarijus.

7. Žmogus -voras

Spidering ryšiai su žodyno ataka. Jei įsilaužėlis taikosi į konkrečią įstaigą ar įmonę, jie gali išbandyti daugybę slaptažodžių, susijusių su pačiu verslu. Įsilaužėlis galėjo perskaityti ir surikiuoti daugybę susijusių terminų arba naudoti paieškos voratinklį, kad atliktų darbą už juos.

Galbūt anksčiau girdėjote terminą „voras“. Šie paieškos vorai yra labai panašūs į tuos, kurie tikrina internetą ir indeksuoja paieškos sistemų turinį. Tada pasirinktas žodžių sąrašas naudojamas prieš vartotojų paskyras, tikintis rasti atitiktį.

Argumentai 'už': Gali atrakinti aukšto rango asmenų paskyras organizacijoje. Palyginti lengva sudėti ir prideda papildomą žodyno atakos aspektą.

Minusai: Gali baigtis be rezultato, jei gerai sukonfigūruotas organizacijos tinklo saugumas.

Lik saugus: Vėlgi, naudokite tik stiprius, vienkartinius slaptažodžius, kuriuos sudaro atsitiktinės eilutės; nieko nesiejančio su jūsų asmenybe, verslu, organizacija ir pan.

kaip ištrinti instagramą iš facebook

8. Pečių banglenčių sportas

Galutinis variantas yra vienas iš pagrindinių. Ką daryti, jei kas nors tiesiog žiūri per petį, kai įvedate slaptažodį?

Naršymas pečiais skamba šiek tiek juokingai, bet taip atsitinka. Jei dirbate judrioje miesto centro kavinėje ir nekreipiate dėmesio į savo aplinką, kas nors gali būti pakankamai arti, kad rašydamas įrašytų jūsų slaptažodį.

Argumentai 'už': Žemos technologijos metodas pavogti slaptažodį.

Minusai: Prieš išsiaiškindamas slaptažodį, turi nustatyti taikinį; galėtų atsiskleisti vagystės procese.

Lik saugus: Rašydami slaptažodį, būkite atidūs aplinkiniams. Uždenkite klaviatūrą ir uždenkite klavišus įvesties metu.

Visada naudokite tvirtą, unikalų, vienkartinį slaptažodį

Taigi, kaip sustabdyti įsilaužėlį, pavogusį jūsų slaptažodį? Tikrai trumpas atsakymas yra tas jūs tikrai negalite būti 100 procentų saugūs . Įrankiai, kuriuos įsilaužėliai naudoja jūsų duomenims pavogti, nuolat keičiasi, be to, yra daugybė vaizdo įrašų ir vadovėlių, kaip atspėti slaptažodžius ar išmokti nulaužti slaptažodį.

Aišku viena: naudojant tvirtą, unikalų, vienkartinį slaptažodį, niekas niekam nepakenks.

Dalintis Dalintis „Tweet“ Paštu 5 slaptažodžio įrankiai, skirti sukurti stiprias slaptafrazes ir atnaujinti saugumą

Sukurkite tvirtą slaptažodį, kurį galėsite prisiminti vėliau. Naudokite šias programas, kad šiandien pagerintumėte savo saugumą naudodami naujus stiprius slaptažodžius.

Skaityti toliau Susijusios temos
  • Saugumas
  • Slaptažodžio patarimai
  • Sauga internete
  • Įsilaužimas
  • Saugos patarimai
Apie autorių Gavinas Phillipsas(Paskelbti 945 straipsniai)

Gavinas yra „Windows“ ir „Technology Explained“ jaunesnysis redaktorius, nuolatinis „Tikrai naudingos podcast“ dalyvis ir nuolatinis produktų apžvalgininkas. Jis turi šiuolaikinio rašymo bakalauro laipsnį (Hons) ir skaitmeninio meno praktiką, išplėštą iš Devono kalvų, taip pat turi daugiau nei dešimtmetį profesinės rašymo patirties. Jis mėgsta daugybę arbatos, stalo žaidimų ir futbolo.

Daugiau iš Gavino Phillipso

Prenumeruokite mūsų naujienlaiškį

Prisijunkite prie mūsų naujienlaiškio, kad gautumėte techninių patarimų, apžvalgų, nemokamų el. Knygų ir išskirtinių pasiūlymų!

Norėdami užsiprenumeruoti, spustelėkite čia