Розуміння методів злому паролів, які хакери використовують для розкриття ваших онлайн-рахунків, — це чудовий спосіб переконатися, що це ніколи не станеться з вами.
Вам, безумовно, доведеться завжди змінювати пароль, а іноді й терміново, ніж ви думаєте, але запобігання крадіжкам – це чудовий спосіб підтримувати безпеку свого облікового запису. Ви завжди можете зайти на www.haveibeenpwned.com, щоб перевірити, чи є ви в групі ризику, але просто думати, що ваш пароль достатньо надійний, щоб його не зламали, — це погано.
Отже, щоб допомогти вам зрозуміти, як хакери отримують ваші паролі – безпечні чи інші – ми склали список з десяти найкращих методів злому паролів, які використовуються хакерами. Деякі з наведених нижче методів, безумовно, застаріли, але це не означає, що вони досі не використовуються. Уважно прочитайте і дізнайтеся, від чого можна пом’якшити.
Десять найкращих методів злому паролів, які використовуються хакерами
1. Словникова атака
Атака на словник використовує простий файл, що містить слова, які можна знайти в словнику, звідси його досить проста назва. Іншими словами, ця атака використовує саме ті слова, які багато людей використовують як пароль.
Грамотне згрупування слів, таких як «letmein» або «superadministratorguy», не завадить зламати вашому паролю таким чином – ну, не більше ніж на кілька додаткових секунд.
2. Атака грубою силою
Подібно до атаки за словником, атака грубої сили має додатковий бонус для хакера. Замість того, щоб просто використовувати слова, атака грубої сили дозволяє їм виявляти слова, які не є словниковими, за допомогою всіх можливих буквено-цифрових комбінацій від aaa1 до zzz10.
Це не швидко, за умови, що ваш пароль складається з кількох символів, але зрештою він розкриє ваш пароль. Атаки грубої сили можна скоротити за рахунок використання додаткових обчислювальних потужностей як з точки зору обчислювальної потужності, включаючи використання потужності графічного процесора відеокарти, так і кількості машин, наприклад, використання моделей розподілених обчислень, таких як онлайн-майнери біткойн.
3. Атака Rainbow Table
Таблиці Rainbow не такі барвисті, як може означати їх назва, але для хакера ваш пароль цілком може бути в кінці. Найпростішим способом ви можете звести райдужну таблицю до списку попередньо обчислених хешів – числового значення, яке використовується під час шифрування пароля. Ця таблиця містить хеші всіх можливих комбінацій паролів для будь-якого даного алгоритму хешування. Таблиці Rainbow є привабливими, оскільки скорочують час, необхідний для зламу хешу пароля, щоб просто шукати щось у списку.
Однак райдужні столи — це величезні, громіздкі речі. Вони вимагають серйозної обчислювальної потужності для запуску, і таблиця стає марною, якщо хеш, який вона намагається знайти, був «засолений» додаванням випадкових символів до його пароля перед хешуванням алгоритму.
Існують розмови про наявність столів із солоною веселкою, але вони були б настільки великими, що їх було б важко використовувати на практиці. Ймовірно, вони працюватимуть лише з попередньо визначеним набором «випадкових символів» і рядками паролів менше 12 символів, оскільки в іншому випадку розмір таблиці був би непосильним навіть для хакерів державного рівня.
4. Фішинг
Є простий спосіб зламати: запитати у користувача його пароль. Фішинговий електронний лист приводить нічого не підозрюючи читача до підробленої сторінки входу, пов’язаної з будь-якою службою, до якої хакер хоче отримати доступ, як правило, з проханням усунути якусь жахливу проблему з їхньою безпекою. Потім ця сторінка переглядає їхній пароль, і хакер може використовувати його для власних цілей.
Навіщо турбуватися про зламати пароль, якщо користувач все одно з радістю дасть його вам?
5. Соціальна інженерія
Соціальна інженерія виносить всю концепцію «запитайте користувача» за межі папки «Вхідні», яку, як правило, дотримується фішинг, і в реальний світ.
Найулюбленіший соціальний інженер — зателефонувати в офіс, видаючись за спеціаліста з ІТ-безпеки, і просто запитати пароль доступу до мережі. Ви будете здивовані, як часто це працює. Деякі навіть мають необхідні статеві залози, щоб одягнути костюм і іменний значок, перш ніж зайти в бізнес, щоб поставити те саме питання віч-на-віч.
6. Шкідливе програмне забезпечення
Кейлоггер або скребок екрана може бути встановлений зловмисним програмним забезпеченням, яке записує все, що ви вводите, або робить знімки екрана під час процесу входу, а потім пересилає копію цього файлу до центру хакерів.
Деякі зловмисні програми шукатимуть наявність файлу паролів клієнта веб-браузера та копіюють його, якщо не зашифровано належним чином, міститиме легкодоступні збережені паролі з історії перегляду користувача.
7. Офлайн-злом
Легко уявити, що паролі безпечні, коли системи, які вони захищають, блокують користувачів після трьох-чотирьох неправильних припущень, блокуючи програми для автоматичного вгадування. Що ж, це було б правдою, якби не той факт, що більшість злому паролів відбувається в автономному режимі, використовуючи набір хешів у файлі паролів, який був «отриманий» зі зламаної системи.
Часто ціль, про яку йде мова, була скомпрометована через злому третьої сторони, яка потім надає доступ до системних серверів і цих важливих файлів хешування паролів користувача. Зломщику паролів може знадобитися стільки часу, скільки йому потрібно, щоб спробувати зламати код, не сповіщаючи цільову систему або окремого користувача.
8. Серфінг через плече
Інша форма соціальної інженерії, плече-серфінг, так само, як це мається на увазі, тягне за собою зазирання через плечі людини під час введення облікових даних, паролів тощо. Хоча концепція дуже низькотехнологічна, ви здивуєтеся, скільки паролів і конфіденційної інформації вкрадений таким чином, тому будьте в курсі вашого оточення, коли ви отримуєте доступ до банківських рахунків тощо на ходу.
Найвпевненіші з хакерів приймуть маску кур’єра посилок, техніка з обслуговування кондиціонерів або будь-чого іншого, що дасть їм доступ до офісної будівлі. Після того, як вони входять, «уніформа» обслуговуючого персоналу надає свого роду безкоштовний пропуск, щоб безперешкодно блукати і записувати паролі, які вводять справжні співробітники. Це також дає чудову можливість побачити всі ці листівки, приклеєні на передній панелі РК-екранів, з накресленими на них логінами.
9. Павук
Досвідчені хакери зрозуміли, що багато корпоративних паролів складаються із слів, пов’язаних із самим бізнесом. Вивчення корпоративної літератури, матеріалів з продажу веб-сайтів і навіть веб-сайтів конкурентів і перерахованих клієнтів може забезпечити амуніцію для створення спеціального списку слів для використання під час атаки грубою силою.
Дійсно кмітливі хакери автоматизували процес і дозволили програмі-павуку, подібному до веб-сканерів, які використовують провідні пошукові системи, для визначення ключових слів, збирати та збирати для них списки.
10. Вгадай
Найкращий друг зломщика паролів, звичайно, - це передбачуваність користувача. Якщо дійсно випадковий пароль не було створено за допомогою програмного забезпечення, призначеного для виконання завдання, створений користувачем «випадковий» пароль навряд чи буде чимось подібним.
Натомість, завдяки емоційній прихильності нашого мозку до речей, які нам подобаються, є ймовірність, що ці випадкові паролі засновані на наших інтересах, хобі, домашніх тваринах, сім’ї тощо. Насправді, паролі, як правило, ґрунтуються на всьому, про що ми любимо спілкуватися в соціальних мережах і навіть включити в наші профілі. Зломщики паролів, швидше за все, переглянуть цю інформацію і зроблять кілька – часто правильних – обґрунтованих припущень, намагаючись зламати пароль на рівні споживача, не вдаючись до атак із словником або грубою силою.
Інші атаки, яких слід остерігатися
Якщо хакерам чогось не вистачає, то це не креативність. Використовуючи різноманітні методи та адаптуючись до постійно мінливих протоколів безпеки, ці зловмисники продовжують досягати успіху.
Наприклад, будь-хто в соціальних мережах, ймовірно, бачив веселі вікторини та шаблони, у яких вас просять розповісти про свою першу машину, улюблену їжу, пісню номер один на твій 14-й день народження. Хоча ці ігри здаються нешкідливими і їх, безумовно, цікаво публікувати, насправді вони є відкритим шаблоном для таємних запитань і відповідей на підтвердження доступу до облікового запису.
Створюючи обліковий запис, спробуйте використати відповіді, які насправді не стосуються вас, але які ви можете легко запам’ятати. «Яким був ваш перший автомобіль?» Замість того, щоб відповідати правдиво, поставте автомобіль своєї мрії. Інакше просто не публікуйте в Інтернеті відповіді з безпеки.
Інший спосіб отримати доступ - просто скинути пароль. Найкраща лінія захисту від зловмисника, який скидає ваш пароль, — це використовувати адресу електронної пошти, яку ви часто перевіряєте, і оновлювати свою контактну інформацію. Якщо доступно, завжди вмикайте 2-факторну автентифікацію. Навіть якщо хакер дізнається ваш пароль, він не зможе отримати доступ до облікового запису без унікального коду підтвердження.
Питання що часто задаються
Чому мені потрібен інший пароль для кожного сайту?
Ви, напевно, знаєте, що не варто видавати свої паролі та завантажувати незнайомий вам вміст, але як щодо облікових записів, у які ви входите щодня? Припустимо, ви використовуєте той самий пароль для свого банківського рахунку, що й для довільного облікового запису, як-от Grammarly. Якщо Grammarly зламано, користувач також отримає ваш банківський пароль (і, можливо, вашу електронну пошту, що спрощує доступ до всіх ваших фінансових ресурсів).
Що я можу зробити, щоб захистити свої облікові записи?
Використання 2FA для будь-яких облікових записів, які пропонують цю функцію, використання унікальних паролів для кожного облікового запису та використання суміші букв і символів є найкращою лінією захисту від хакерів. Як зазначалося раніше, хакери можуть отримати доступ до ваших облікових записів багатьма різними способами, тому інші речі, які ви повинні регулярно робити, це підтримувати своє програмне забезпечення та програми в актуальному стані (для виправок безпеки) та уникати будь-яких завантажень, з якими ви не знайомі.
Який найбезпечніший спосіб зберегти паролі?
Відстежувати кілька унікально дивних паролів може бути неймовірно важко. Хоча набагато краще пройти процес скидання пароля, ніж скомпрометувати ваші облікові записи, це займає багато часу. Щоб зберегти ваші паролі в безпеці, ви можете використовувати такі служби, як Last Pass або KeePass, щоб зберегти всі паролі вашого облікового запису.
Ви також можете використовувати унікальний алгоритм, щоб зберегти паролі, полегшуючи їх запам’ятовування. Наприклад, PayPal може бути щось на кшталт hwpp+c832. По суті, цей пароль є першою літерою кожного розриву в URL-адресі (//www.paypal.com) з останньою цифрою року народження кожного у вашому домі (як приклад). Коли ви входите у свій обліковий запис, перегляньте URL-адресу, яка дасть вам кілька перших літер цього пароля.
Додайте символи, щоб зробити ваш пароль ще важчим для злому, але організуйте їх так, щоб їх було легше запам’ятати. Наприклад, символ «+» може бути для будь-яких облікових записів, пов’язаних із розвагами, а символ «!» можна використовувати для фінансових рахунків.
