De 7 mest vanlige taktikkene brukes til å hyre passord
Når du hører “sikkerhetsbrudd,” hva springer i tankene? En ondskapsfull hacker som sitter foran skjermene 10 av verdens mest berømte hackere (og hva som skjedde med dem) 10 av verdens mest berømte hackere (og hva som skjedde med dem) Hvithatt hackere mot svarthatt hackere. Her er de mest berømte hackere i historien og hva de gjør i dag. Les mer med Matrise digital tekst streaming ned? Eller en kjeller-tenåring som ikke har sett dagslys i tre uker? Hva med en kraftig supercomputer som prøver å hacke hele verden?
Virkeligheten er at alle disse situasjonene kan komme ned til en enkel fasett: det ydmyke - men vitale - passordet. Hvis noen har passordet ditt, er det egentlig spillet over. Hvis passordet ditt er for kort, eller gjettet, er det spillet over. Og når det er et brudd på sikkerheten, kan du gjette på hva som skjer på det mørke nettet. Det er riktig. Ditt passord.
Det er sju vanlige taktikker som brukes til å hacke passord. La oss ta en titt.
1. Ordbok
Først opp i det vanlige passordet hacking taktikk guide er ordboken angrep. Hvorfor heter det et ordbokangrep? Fordi det automatisk forsøker hvert ord i en definert “ordbok” mot passordet. Ordlisten er ikke strengt den du brukte i skolen.
Nei. Denne ordboken er faktisk en liten fil som også inneholder de mest brukte passordkombinationene. Det inkluderer 123456, qwerty, passord, mynoob, prinsesse, baseball og all-time classic, hunter2.
Pros: raskt, vil vanligvis låse opp noen sørgelig beskyttede kontoer.
Ulemper: Selv litt sterkere passord forblir sikre.
Hold deg trygge ved: bruk et sterkt engangspassord for hver konto, i forbindelse med et passordadministrasjonsprogram. Passordbehandleren lar deg lagre dine andre passord Hvordan passordadministratorer holder passordene dine trygge Hvordan passordadministratorer holder passordene dine Passord som er vanskelig å knekke, er også vanskelig å huske. Vil du være trygg? Du trenger en passordbehandling. Slik fungerer de og hvordan de holder deg trygge. Les mer i et lager. Deretter kan du bruke et enkelt, latterlig sterkt passord for hvert nettsted. Her er våre valgløsninger for apper for passordbehandling Er passordbehandleren din sikker? 5 tjenester sammenlignet er passordbehandleren din sikker? 5 Tjenester Sammenlignet Med mindre du har et utrolig minne, kan du ikke håpe å huske alle dine brukernavn og passord. Det fornuftige alternativet er å bruke en passord manager - men som er best? Les mer .
2. Brute Force
Deretter vurderer vi et brute force attack, hvor en angriper prøver enhver mulig tegnkombinasjon. Forsøkte passord vil matche spesifikasjonene for kompleksitetsreglene, f.eks. inkludert en stor-case, en liten sak, decimaler av Pi, din pizza bestilling, og så videre.
Et brute force attack vil også prøve de mest brukte alfanumeriske tegnkombinasjonene først også. Disse inkluderer de tidligere oppførte passordene, samt 1q2w3e4r5t, zxcvbnm og qwertyuiop.
Pros: Teoretisk vil sprekk passordet ved å prøve hver kombinasjon.
Ulemper: Avhengig av passordets lengde og vanskeligheter, kan det ta svært lang tid. Kast noen få variabler som $, &, , eller], og oppgaven blir ekstremt vanskelig.
Hold deg trygge ved: Bruk alltid en variabel kombinasjon av tegn og, hvis det er mulig, innfør ekstra symboler for å øke kompleksiteten. 6 Tips for å lage et ubrytelig passord som du kan huske. 6 Tips for å lage et ubrytelig passord som du kan huske Hvis passordene dine ikke er unike og ubrydelige, kan du kanskje Åpne også inngangsdøren og inviter røvere inn til lunsj. Les mer .
3. Phishing
Dette er ikke strengt a “hack,” men fallende byttedyr til phishing eller spyd phishing-forsøk vil vanligvis slutte dårlig. Generelle phishing-e-postmeldinger sendes med milliarder til alle slags internettbrukere over hele verden.
En phishing-e-post fungerer vanligvis slik:
- Målbruker mottar en spoofed e-post som viser seg å være fra en stor organisasjon eller bedrift
- Spoofed email krever umiddelbar oppmerksomhet, med en link til et nettsted
- Link til nettstedet linker faktisk til en falsk innloggingsportal, som er opptatt av å vises akkurat som det legitime nettstedet
- Den intetanende målbrukeren legger inn påloggingsinformasjonen, og blir enten omdirigert eller fortalte å prøve igjen
- Brukerens legitimasjon er stjålet, solgt eller brukt nefariously (eller begge deler!).
Til tross for at noen ekstremt store botnetter gikk frakoblet i løpet av 2016, hadde spredningsdistribusjonen ved utgangen av året økt fire ganger [IBM X-Force PDF, Registration]. Videre steg ondsinnede vedlegg med uovertruffen pris, i henhold til bildet nedenfor.
Og ifølge Symantec 2017 internetthjelprapport er falske fakturaer phishing lokket # 1.
Pros: brukeren bokstavelig talt overfører innloggingsinformasjonen, inkludert passordet. Relativt høy hitrate, lett tilpasset bestemte tjenester (Apple ID er mål nr. 1).
Ulemper: spam e-post er enkelt filtrert, og spam domener svartelistet.
Hold deg trygge ved: Vi har dekket hvordan du kan se en phishing-e-post. Slik sporer du en Phishing-e-post. Slik sporer du en Phishing-e-post. Fangst av en phishing-e-post er tøff! Svindlere utgjør som PayPal eller Amazon, prøver å stjele ditt passord og kredittkortinformasjon, er deres bedrag er nesten perfekt. Vi viser deg hvordan du kan se svindelen. Les mer (samt vishing og smishing Nye phishing-teknikker for å være klar over: Vishing og Smishing Nye phishing-teknikker for å være klar over: Vishing og Smishing Vishing og smishing er farlige nye phishing-varianter. Hva skal du se etter? Du vet et vishing eller smishing forsøk når det kommer? Og er du sannsynlig å være et mål? Les mer). Videre må du øke spamfilteret til sin høyeste innstilling eller, fremdeles, bruke en proaktiv hvitliste. Bruk en koblingskontroll for å finne ut om 5 hurtige nettsteder som lar deg sjekke om koblingene er sikre 5 Hurtige nettsteder som lar deg sjekke om koblingene er sikre Når du får en kobling, bør du kontrollere at det ikke er en kilde til skadelig programvare eller en front for phishing-og disse koblingene sjekker kan hjelpe. Les mer om en e-postkobling er legitim før du klikker.
4. Samfunnsteknikk
Sosialteknikk er noe lik phishing i den virkelige verden, vekk fra skjermen. Les mitt korte, grunnleggende eksempel nedenfor (og her er noen flere å passe på for å beskytte deg selv mot disse 8 samfunnstekniske angrepene. Slik beskytter du deg selv mot disse 8 samfunnsmessige teknikk angrep Hvilke sosiale ingeniør teknikker ville hackere bruk og hvordan ville du beskytte selv fra dem? La oss ta en titt på noen av de vanligste angrepsmåtene. Les mer!).
En sentral del av enhver sikkerhetsrevisjon er å måle hva hele arbeidsstyrken forstår. I dette tilfellet vil et sikkerhetsselskap ringe virksomheten de reviderer. De “angriperen” forteller personen på telefonen at de er det nye kontoret tech support team, og de trenger det nyeste passordet for noe spesifikt. En intetanende person kan overgi nøklene til kongeriket uten en pause for tanken.
Skummelt er hvor ofte dette faktisk virker. Sosialteknikk har eksistert i århundrer. Å være duplicitous for å få tilgang til trygt område er en vanlig angrepsmetode, og en som bare er beskyttet mot utdanning. Dette skyldes at angrepet ikke alltid vil spørre direkte om et passord. Det kan være en falsk rørlegger eller elektriker som ber om oppføring til en sikker bygning, og så videre.
Pros: dyktige sosialingeniører kan trekke ut høyverdig informasjon fra en rekke mål. Kan distribueres mot nesten alle, hvor som helst. Ekstremt lunefull.
Ulemper: En feil kan hevde mistanke om et forestående angrep, usikkerhet om hvorvidt den riktige informasjonen er anskaffet.
Hold deg trygg av: dette er vanskelig. Et vellykket samfunnsteknisk angrep vil være komplett når du skjønner at noe er galt. Utdanning og sikkerhet bevissthet er en kjernepasningsstrategi. Unngå å legge inn personlig informasjon som senere kunne brukes mot deg.
5. Rainbow Table
Et regnbuebord er vanligvis et offline passord angrep. For eksempel har en angriper oppnådd en liste over brukernavn og passord, men de er kryptert. Det krypterte passordet er hashed Hvert sikkert nettsted gjør dette med passordet ditt Hver sikker nettside gjør dette med passordet Har du noen gang lurt på hvordan nettsteder holder passordet ditt trygt fra databrudd? Les mer . Dette betyr at det ser helt annerledes ut enn det opprinnelige passordet. For eksempel er passordet ditt (forhåpentligvis ikke!) Logmein. Den kjente MD5 hash for dette passordet er “8f4047e3233b39e4444e1aef240e80aa.”
Gibberish til deg og I. Men i enkelte tilfeller vil angriperen kjøre en liste over enkle tekstpassord gjennom en hashing-algoritme, sammenligne resultatene mot en kryptert passordfil. I andre tilfeller er krypteringsalgoritmen sårbar, og et flertall av passord er allerede sprakk, som MD5 (derfor hvorfor vi kjenner den spesifikke hashen for “LogMeIn.”
Dette hvor regnbuebordet virkelig kommer i sin egen. I stedet for å måtte behandle hundretusenvis av potensielle passord og samsvarer med deres resulterende hash, er et regnbuebord et stort sett med forhåndsdefinerte algoritme-spesifikke hashverdier. Å bruke et regnbuebord reduserer drastisk tiden det tar å knekke et hashed-passord - men det er ikke perfekt. Hackere kan kjøpe forhåndsdefinerte regnbuebord fylt med millioner av potensielle kombinasjoner.
Pros: kan sprekke en stor mengde vanskelige passord på kort tid, gir hacker mye makt over bestemte sikkerhetsscenarier.
Ulemper: krever en stor mengde plass til å lagre det enorme (noen ganger terabytes) regnbuebordet. Også angriperne er begrenset til verdiene i tabellen (ellers må de legge til et helt annet bord).
Hold deg trygge ved: dette er vanskelig. Regnbordsbord gir et bredt spekter av angrepspotensial. Unngå nettsteder som bruker SHA1 eller MD5 som passordshash algoritme. Unngå et nettsted som begrenser deg til korte passord, eller begrenser tegnene du kan bruke. Bruk alltid et komplekst passord.
6. Malware / Keylogger
En annen sikker måte å miste påloggingsinformasjonen din er å falle feil av skadelig programvare. Malware er overalt, med potensial til å gjøre massiv skade. Hvis malwarevarianten inneholder en keylogger Din HP-bærbar PC kan logge på hver tastetrykk. Din HP-bærbar datamaskin kan logge på hver tastetrykk Hvis du eier en HP-bærbar PC eller -tablett, kan du ha hatt hver eneste ting du har skrevet på den logget og lagret på harddisken din. Som er fint. Les mer, du kan finne alle av kontoene dine kompromitteres.
Alternativt kan skadelig programvare spesifikt målrette private data, eller introdusere en ekstern tilgang trojan for å stjele legitimasjonene dine.
Pros: tusenvis av skadelige varianter, noen tilpassbare, med flere enkle leveringsmetoder. God sjanse Et høyt antall mål vil gi seg til minst en variant. Kan gå uoppdaget, slik at ytterligere høsting av private data og påloggingsinformasjon.
Ulemper: sjanse for at malware ikke fungerer, eller er karantene før du får tilgang til data, ingen garanti for at dataene er nyttige
Hold deg trygg av: installerer og oppdaterer regelmessig antivirusprogrammet og antimalware-programvaren. Nøye vurderer nedlastingskilder. Ikke klikke gjennom installasjonspakker som inneholder bundleware, og mer. Klare seg fra falske steder (jeg vet, lettere sagt enn gjort). Bruk skriptblokkeringsverktøy for å stoppe skadelige skript.
7. Spidering
Spider bånd i ordboken angrepet vi dekket tidligere. Hvis en hacker er rettet mot en bestemt institusjon eller bedrift, kan de prøve en serie passord knyttet til virksomheten selv. Hackeren kunne lese og samle en rekke relaterte termer - eller bruk en søkespindel til å gjøre jobben for dem.
Du har kanskje hørt begrepet “edderkopp” før. Disse søkepinnene er ekstremt lik de som kryper gjennom internett, indeksering av innhold for søkemotorer. Den egendefinerte ordlisten brukes da mot brukerkontoer i håp om å finne en kamp.
Pros: kan potensielt låse opp kontoer for høyrangerte personer i en organisasjon. Relativt enkelt å sette sammen, og legger til en ekstra dimensjon til et ordboksangrep.
Ulemper: kan veldig vel ende opp med å være ubrukelig dersom organisatorisk nettverkssikkerhet er godt konfigurert.
Hold deg trygge ved: igjen, bruk bare sterke, enkeltbrukerpassord bestående av tilfeldige strenger - ingenting som knytter til persona, bedrift, organisasjon og så videre.
Sterk, unik, enkelt bruk
Så, hvordan stopper du en hacker som stjeler passordet ditt? Det veldig korte svaret er det Du kan egentlig ikke være 100% trygg. Verktøyene hackere bruker til å stjele dataene dine Modulær malware: Det nye, smarte angrepet Stealing Your Data Modular Malware: Det nye, smarte angrepet Stealing Your Data Malware har blitt vanskeligere å oppdage. Hva er modulær malware, og hvordan du stopper det, forårsaker kaos på PCen din? Les mer endres hele tiden. Men du kan redusere eksponeringen mot sårbarhet.
En ting er sikkert: bruk sterke, unike engangspassord passerer aldri noen - og de har helt sikkert reddet hjulpet, ved mer enn en anledning.
Lære å være en hacker De 6 beste nettstedene å lære å hakke som en pro De 6 beste nettstedene å lære å hakke som et pro Vil du lære å hacke? Disse informative nettstedene vil gi deg fart og bidra til å forbedre dine hacking ferdigheter. Les mer kan også være en god måte å forstå hvordan hackere jobber, og lar deg beskytte deg selv.
Hva er passordbeskyttelsesrutinen din? Bruker du alltid sterke engangspassord? Hva er ditt valg av passordbehandling? Gi oss beskjed om dine tanker nedenfor!
Bilde Kreditt: SergeyNivens / Depositphotos
Utforsk mer om: Online personvern, passord.