8 самых распространенных приемов взлома паролей
Что приходит на ум, когда вы слышите «нарушение безопасности»? Злобный хакер, сидящий перед экранами, покрытыми цифровым текстом в стиле Матрицы? Или подросток из подвала, который не видел дневного света уже три недели? Как насчет мощного суперкомпьютера, пытающегося взломать весь мир?
Для взлома нужно одно: ваш пароль. Если кто-то может угадать ваш пароль, им не нужны изощренные техники взлома и суперкомпьютеры. Они просто войдут в систему, действуя как вы. Если ваш пароль короткий и простой, игра окончена.
Хакеры используют восемь распространенных тактик для взлома вашего пароля. Давайте взглянем.
1. Словарь.
Первым в руководстве по распространенной тактике взлома паролей является атака по словарю. Почему это называется атакой по словарю? Потому что он автоматически проверяет каждое слово в определенном «словаре» на соответствие паролю. Словарь не совсем тот, который вы использовали в школе.
Нет. Этот словарь на самом деле представляет собой небольшой файл, который также будет содержать наиболее часто используемые комбинации паролей. Сюда входят 123456, qwerty, пароль, iloveyou и классическая версия на все времена, hunter2. В приведенной выше таблице указаны пароли, которые чаще всего просачивались в 2016 году.
В приведенной ниже таблице подробно описаны самые распространенные пароли в 2020 году. Обратите внимание на сходство между ними – и убедитесь, что вы не используете эти невероятно простые варианты.
Плюсы: быстро, обычно разблокирует некоторые ужасно защищенные учетные записи.
Минусы: даже немного более надежные пароли останутся в безопасности.
Оставайтесь в безопасности: используйте надежный одноразовый пароль для каждой учетной записи в сочетании с приложением для управления паролями . Менеджер паролей позволяет хранить другие пароли в репозитории. Затем вы можете использовать один смехотворно надежный пароль для каждого сайта. См. Наш обзор Менеджера паролей Google, чтобы начать с ним работать.
2. Грубая сила
Далее идет атака грубой силой, при которой злоумышленник пробует все возможные комбинации символов. Запрошенные пароли будут соответствовать спецификациям правил сложности, например, включая один верхний регистр, один нижний регистр, десятичные дроби числа Пи, ваш заказ пиццы и так далее.
При атаке методом грубой силы также сначала будут проверяться наиболее часто используемые комбинации буквенно-цифровых символов. К ним относятся ранее перечисленные пароли, а также 1q2w3e4r5t, zxcvbnm и qwertyuiop. Подбор пароля с помощью этого метода может занять очень много времени, но это полностью зависит от сложности пароля.
Плюсы: Теоретически взломает любой пароль, перебирая каждую комбинацию.
Минусы: в зависимости от длины и сложности пароля это может занять очень много времени. Добавьте несколько переменных, например $, &, {или], и узнать пароль станет чрезвычайно сложно.
Будьте осторожны: всегда используйте переменную комбинацию символов и, по возможности, вводите дополнительные символы, чтобы увеличить сложность .
3. Фишинг
Строго говоря, это не «взлом», но стать жертвой фишинга или целевого фишинга обычно плохо. Обычные фишинговые сообщения электронной почты рассылаются миллиардами всем пользователям Интернета по всему миру.
Фишинговое письмо обычно работает так:
- Целевой пользователь получает поддельное электронное письмо, якобы от крупной организации или компании.
- Поддельное электронное письмо со ссылкой на веб-сайт требует немедленного внимания.
- Ссылка на веб-сайт фактически ведет на поддельный портал входа в систему, созданный таким образом, чтобы он выглядел точно так же, как и законный сайт.
- Ничего не подозревающий целевой пользователь вводит свои учетные данные и либо перенаправляется, либо просит повторить попытку.
- Учетные данные пользователя украдены, проданы или используются нечестиво (или и то, и другое)
Объем ежедневного спама, отправляемого по всему миру, остается высоким, составляя более половины всех электронных писем, отправляемых по всему миру. Кроме того, объем вредоносных вложений также велик: с января по июнь 2020 года «Лаборатория Касперского» обнаружила более 92 миллионов вредоносных вложений. Помните, что это только для «Лаборатории Касперского», поэтому реальное число намного выше.
Еще в 2017 году самой большой фишинг-приманкой был фальшивый счет. Однако в 2020 году пандемия COVID-19 представила новую фишинговую угрозу .
В апреле 2020 года, вскоре после того, как во многих странах была введена изоляция от пандемии, Google объявил, что блокирует более 18 миллионов вредоносных спама и фишинговых писем на тему COVID-19 в день. В огромном количестве этих писем используется официальный бренд правительства или организации здравоохранения для легитимности и для того, чтобы застать жертв врасплох.
Плюсы: пользователь буквально передает свои данные для входа, включая пароль. Относительно высокий процент попаданий, легко адаптируемый к конкретным службам или конкретным людям, участвующим в целевой фишинг-атаке .
Минусы: спам-сообщения легко фильтруются, спам-домены заносятся в черный список, а основные поставщики, такие как Google, постоянно обновляют средства защиты.
Будьте в безопасности: мы узнали, как распознать фишинговое письмо . Кроме того, увеличьте свой спам-фильтр до максимального значения или, еще лучше, используйте упреждающий белый список. Используйте средство проверки ссылок, чтобы убедиться, что ссылка на электронную почту является законной, прежде чем нажимать.
4. Социальная инженерия
Социальная инженерия – это, по сути, фишинг в реальном мире, вдали от экрана. Прочтите мой краткий базовый пример ниже (и вот еще несколько, на которые следует обратить внимание !).
Ключевой частью любого аудита безопасности является оценка того, что понимают все сотрудники. В этом случае охранная компания позвонит в компанию, которую они проверяют. «Злоумышленник» говорит человеку по телефону, что он – новая команда технической поддержки офиса, и ему нужен последний пароль для чего-то конкретного. Ничего не подозревающий человек может передать ключи от королевства, не задумываясь.
Страшно то, как часто это срабатывает. Социальная инженерия существует веками. Двуличие с целью проникновения в безопасную зону – распространенный метод нападения, от которого можно защититься только с помощью образования. Это связано с тем, что атака не всегда запрашивает пароль напрямую. Это может быть фальшивый сантехник или электрик, запрашивающий вход в охраняемое здание и т. Д.
Плюсы: опытные социальные инженеры могут извлекать ценную информацию из целого ряда целей. Может быть использован практически против кого угодно и где угодно. Чрезвычайно незаметный.
Минусы: провал социальной инженерии может вызвать подозрения о надвигающейся атаке, неуверенность в том, будет ли получена правильная информация.
Оставайтесь в безопасности : это непростой вопрос. Успешная атака социальной инженерии будет завершена, когда вы поймете, что что-то не так. Обучение и осведомленность о безопасности – это основная тактика смягчения последствий. Избегайте публикации личной информации, которая впоследствии может быть использована против вас.
5. Радужный стол
Радужная таблица обычно представляет собой автономную парольную атаку. Например, злоумышленник получил список имен пользователей и паролей, но они зашифрованы. Зашифрованный пароль хешируется . Это означает, что он полностью отличается от исходного пароля.
Например, ваш пароль (надеюсь, нет!) Logmein. Известный хэш MD5 для этого пароля: «8f4047e3233b39e4444e1aef240e80aa».
Тарабарщина для вас и меня. Но в некоторых случаях злоумышленник запускает список паролей в открытом виде через алгоритм хеширования, сравнивая результаты с зашифрованным файлом паролей. В других случаях алгоритм шифрования уязвим, и большинство паролей уже взломаны, например MD5 (отсюда и известен конкретный хэш для logmein.
Здесь радужный стол вступает в свои права. Вместо того, чтобы обрабатывать сотни тысяч потенциальных паролей и сопоставлять их результирующий хэш, радужная таблица представляет собой огромный набор предварительно вычисленных хеш-значений для конкретного алгоритма.
Использование радужной таблицы резко сокращает время, необходимое для взлома хешированного пароля, но это не идеально. Хакеры могут приобрести предварительно заполненные радужные таблицы, заполненные миллионами потенциальных комбинаций.
Плюсы: может подбирать сложные пароли за короткий промежуток времени, дает хакеру большую власть над определенными сценариями безопасности.
Минусы: Требуется огромное количество места для хранения огромной (иногда терабайтной) радужной таблицы. Кроме того, злоумышленники ограничены значениями, содержащимися в таблице (в противном случае они должны добавить еще одну целую таблицу).
Оставайтесь в безопасности: еще одна хитрость. Радужные столы предлагают широкий диапазон атакующего потенциала. Избегайте любых сайтов, которые используют SHA1 или MD5 в качестве алгоритма хеширования паролей. Избегайте любых сайтов, которые ограничивают вас короткими паролями или ограничивают символы, которые вы можете использовать. Всегда используйте сложный пароль.
Хотите знать, как узнать , хранит ли веб-сайт пароли в виде открытого текста ? Ознакомьтесь с этим руководством, чтобы узнать.
6. Вредоносное ПО / кейлоггер
Еще один верный способ потерять учетные данные – это столкнуться с вредоносным ПО. Вредоносное ПО присутствует повсюду и может нанести огромный ущерб. Если вариант вредоносного ПО имеет кейлоггер, вы можете обнаружить, что все ваши учетные записи были скомпрометированы.
Есть много программ для кражи паролей. Убедитесь, что вы проверили свой компьютер с помощью хорошей программы защиты от вредоносных программ.
– Джон Батч (@theflyingdoctor) 10 июня 2020 г.
Кроме того, вредоносная программа может специально нацеливаться на личные данные или внедрять трояна удаленного доступа для кражи ваших учетных данных.
Плюсы: тысячи вариантов вредоносных программ, многие из которых настраиваются, с несколькими простыми способами доставки. Хороший шанс, что большое количество целей поддастся хотя бы одному варианту. Он может оставаться незамеченным, что позволяет в дальнейшем собирать личные данные и учетные данные.
Минусы: вероятность того, что вредоносная программа не будет работать или будет помещена в карантин перед доступом к данным, нет гарантии, что данные полезны.
Будьте в безопасности : устанавливайте и регулярно обновляйте антивирусное и антивредоносное программное обеспечение. Внимательно изучите источники загрузки. Не щелкайте по установочным пакетам, содержащим связки и многое другое. Держитесь подальше от гнусных сайтов (я знаю, легче сказать, чем сделать). Используйте инструменты блокировки скриптов, чтобы остановить вредоносные скрипты.
7. Spidering
Паутина связана с атакой по словарю, о которой мы говорили ранее. Если хакер нацелен на конкретное учреждение или бизнес, он может попробовать серию паролей, относящихся к самому бизнесу. Хакер мог прочитать и сопоставить ряд связанных терминов или использовать поискового паука, который сделает за них всю работу.
Возможно, вы слышали термин «паук» раньше. Эти поисковые пауки очень похожи на тех, что ползают по Интернету, индексируя контент для поисковых систем. Пользовательский список слов затем используется против учетных записей пользователей в надежде найти совпадение.
Плюсы: потенциально может разблокировать учетные записи для высокопоставленных лиц в организации. Относительно легко собрать и добавляет дополнительное измерение к словарной атаке.
Минусы: вполне может закончиться безрезультатно, если сетевая безопасность организации хорошо настроена.
Будьте в безопасности: опять же, используйте только надежные одноразовые пароли, состоящие из случайных строк – ничего не связанного с вашей персоной, бизнесом, организацией и т. Д.
8. Серфинг через плечо.
Ладно, последний вариант – один из самых основных. Что, если кто-то просто заглянет в ваш ящик, пока вы вводите пароль?
Серфинг на плечах звучит немного нелепо, но это случается. Если вы работаете в оживленном кафе в центре города и не обращаете внимания на свое окружение, кто-то может подойти достаточно близко, чтобы запомнить ваш пароль при вводе.
Плюсы: Низкотехнологичный подход к краже пароля.
Минусы: необходимо идентифицировать цель, прежде чем выяснять пароль, может раскрыть себя в процессе кражи.
Будьте в безопасности: при вводе пароля наблюдайте за окружающими, прикрывайте клавиатуру, закрывайте клавиши во время ввода.
Всегда используйте надежный, уникальный, одноразовый пароль
Итак, как же остановить хакера, который украл ваш пароль? Самый короткий ответ – вы не можете быть в безопасности на 100% . Инструменты, которые хакеры используют для кражи ваших данных, постоянно меняются. Но вы можете уменьшить свою уязвимость.
Одно можно сказать наверняка: использование надежного, уникального, одноразового пароля никому не повредит. Если вам нужны инструменты для создания надежных паролей и кодовых фраз , мы можем помочь!