Найти в Дзене
Оскардроид112
30,1 тыс подписчиков

8 наиболее распространенных приемов, используемых для взлома паролей

4209
12 мин
Оглавление

Что приходит на ум, когда вы слышите "нарушение безопасности"? Злонамеренный хакер, сидящий перед экранами, покрытыми цифровым текстом в стиле матрицы? Или живущий в подвале подросток, который три недели не видел дневного света? Как насчет мощного суперкомпьютера, пытающегося взломать весь мир?

Взлом заключается в одном: в вашем пароле. Если кто-то может угадать ваш пароль, ему не нужны модные методы взлома и суперкомпьютеры. Они просто войдут в систему, действуя от вашего имени. Если ваш пароль короткий и простой, игра окончена.

Существует восемь распространенных тактик, которые хакеры используют для взлома вашего пароля.

1. Взлом словаря

Первым в руководстве по общей тактике взлома паролей является атака по словарю. Почему это называется атакой по словарю? Потому что он автоматически сравнивает каждое слово из определенного "словаря" с паролем. Словарь - это не совсем тот, которым вы пользовались в школе.

Нет. Этот словарь представляет собой небольшой файл, содержащий наиболее часто используемые комбинации паролей, что позволяет легко угадать чей-либо пароль. Сюда входят 123456, qwerty, password, iloveyou и классический на все времена hunter2.

-2

В приведенной выше таблице подробно описано наибольшее количество утечек паролей в 2016 году. В приведенной ниже таблице подробно описано наибольшее количество утечек паролей в 2020 году.

-3

Обратите внимание на сходство между ними — и убедитесь, что вы не используете эти невероятно простые варианты. Изменилось ли что-нибудь три года спустя, в 2023 году? Абсолютно нет.

Короче говоря, если вы не хотите, чтобы кто-то разгадал ваш пароль, никогда не используйте ни один из них.

  • Плюсы: Быстрота; обычно разблокирует некоторые плохо защищенные учетные записи.
  • Минусы: даже немного более надежные пароли останутся в безопасности.
  • Будьте в безопасности: используйте надежный одноразовый пароль для каждой учетной записи в сочетании с приложением для управления паролями. Менеджер паролей позволяет хранить другие ваши пароли в хранилище. Затем вы можете использовать один, смехотворно надежный пароль для каждого сайта. Google Chrome и другие основные браузеры имеют встроенный менеджер паролей, но автономные менеджеры паролей обычно считаются более безопасными.

2. Грубая сила

Далее следует атака методом грубой силы, при которой злоумышленник пробует все возможные комбинации символов в попытке угадать ваш пароль. Используемые пароли будут соответствовать спецификациям правил сложности, например, включать один верхний регистр, один нижний регистр, десятичные дроби числа Пи, ваш заказ пиццы и так далее.

При атаке методом грубой силы также сначала будут опробованы наиболее часто используемые буквенно-цифровые комбинации символов. К ним относятся ранее перечисленные пароли, а также 1q2w3e4r5t, zxcvbnm и qwertyuiop. Для подбора пароля с помощью этого метода может потребоваться очень много времени, но это полностью зависит от сложности пароля.

  • Плюсы: Теоретически, это позволит взломать любой пароль, попробовав все комбинации.
  • Минусы: В зависимости от длины и сложности пароля, это может занять очень много времени. Добавьте несколько переменных, таких как $, &, {, или ] и увеличьте свой пароль до 16 символов (как минимум!), и вычислить пароль станет чрезвычайно сложно.
  • Будьте в безопасности: всегда используйте различную комбинацию символов и, по возможности, вводите дополнительные символы для повышения сложности.

3. Атака по маске

Что произойдет, если человек, укравший ваш пароль, уже знает некоторые из них? Могут ли они использовать фрагменты информации, чтобы упростить взлом остальной части пароля?

Это именно то, что представляет собой атака паролем по маске. Поскольку все еще требуется пробовать множество комбинаций паролей, атака по маске похожа на атаку методом перебора. Однако при атаке по маске похититель паролей может уже знать несколько ценных символов из вашего пароля, что упрощает процесс поиска остальных.

-4

  • Плюсы: Аналогично методу грубой силы, теоретически можно взломать любой пароль при наличии достаточного времени. Немного быстрее, чем прямой перебор, поскольку некоторые символы уже известны.
  • Минусы: Опять же, если пароль достаточно длинный и содержит уникальные символы и переменные, даже при существующих знаниях взломать пароль может оказаться невозможным.
  • Будьте в безопасности: всегда используйте длинный уникальный пароль с большим количеством вариаций символов.

4. Фишинг

Строго говоря, это не "взлом", но попытка стать жертвой фишинга обычно заканчивается плохо. Обычные фишинговые электронные письма миллиардами рассылаются всевозможным пользователям Интернета по всему миру, и это один из самых популярных способов узнать чей-либо пароль.

Фишинговое электронное письмо обычно работает следующим образом:

  1. Целевой пользователь получает поддельное электронное письмо, якобы от крупной организации или бизнеса.
  2. Поддельное электронное письмо, содержащее ссылку на веб-сайт, требует немедленного внимания.
  3. На самом деле эта ссылка ведет к поддельному порталу входа в систему, который выглядит точно так же, как и законный сайт.
  4. Ничего не подозревающий целевой пользователь вводит свои учетные данные для входа, и его либо перенаправляют, либо просят повторить попытку.
  5. Учетные данные пользователя крадутся, продаются или используются нечестиво (или и то, и другое).

Ежедневный объем спама, отправляемого по всему миру, остается высоким, составляя более половины всех электронных писем, отправляемых по всему миру. Кроме того, объем вредоносных вложений также высок: Касперский заблокировал более 166 миллионов вредоносных вложений в 2022 году, что на 18 миллионов больше, чем в 2021 году. Но более шокирующей цифрой является количество заблокированных фишинговых ссылок, которое выросло с 253 миллионов в 2021 году до 507 миллионов в 2022 году. Помните, это только для Kaspersky, поэтому реальное число намного выше.

-5
-6
-7
-8

Еще в 2017 году самой большой фишинговой приманкой был поддельный счет. Однако в 2020 году пандемия COVID-19 создала новую фишинговую угрозу. В апреле 2020 года, вскоре после того, как во многих странах был введен карантин в связи с пандемией, Google объявила, что блокирует более 18 миллионов вредоносных спам- и фишинговых писем на тему COVID-19 в день. В огромном количестве этих электронных писем для легитимности используется официальный бренд правительства или организации здравоохранения, что застает жертв врасплох.

  • Плюсы: Пользователь передает свою регистрационную информацию, включая пароли — относительно высокий процент попаданий, легко адаптируется к конкретным сервисам или конкретным людям в ходе фишинг-атаки с копированием.
  • Минусы: Спам-письма легко фильтруются, спам-домены заносятся в черный список, а крупные провайдеры, такие как Google, постоянно обновляют средства защиты.
  • Будьте в безопасности: скептически относитесь к электронным письмам и установите максимальный уровень спам-фильтра или, что еще лучше, используйте упреждающий белый список. Используйте средство проверки ссылок, чтобы убедиться, является ли ссылка электронной почты законной, прежде чем переходить.

5. Социальная инженерия

Социальная инженерия - это, по сути, фишинг в реальном мире, вдали от экрана.

Основной частью любого аудита безопасности является оценка того, что понимают сотрудники. Например, охранная компания позвонит в компанию, которую они проверяют. "Злоумышленник" сообщает человеку по телефону, что он из новой службы технической поддержки office и ему нужен последний пароль для чего-то конкретного.

Ничего не подозревающий человек может передать ключи, не задумываясь.

-9

Пугает то, как часто это срабатывает. Социальная инженерия существует веками. Двуличие для проникновения в защищенную зону - распространенный метод атаки, от которого можно защититься только с помощью образования. Это связано с тем, что атака не всегда запрашивает пароль напрямую. Это может быть поддельный сантехник или электрик, просящий разрешения на вход в охраняемое здание, и так далее. Когда кто-то говорит, что его обманом заставили раскрыть свой пароль, часто это результат социальной инженерии.

  • Плюсы: Опытные социальные инженеры могут извлекать ценную информацию из различных объектов. Это может быть использовано практически против кого угодно и где угодно. Это чрезвычайно незаметно, и профессионалы умеют извлекать информацию, которая может помочь угадать пароль.
  • Минусы: Сбой социальной инженерии может вызвать подозрения о готовящейся атаке и неуверенность в том, будет ли получена правильная информация.
  • Будьте в безопасности: это сложный прием. Успешная атака социальной инженерии будет завершена до того, как вы поймете, что что-то не так. Обучение и осведомленность о безопасности - основная тактика смягчения последствий. Избегайте публикации личной информации, которая впоследствии может быть использована против вас.

6. Радужная таблица

-10

Радужная таблица обычно представляет собой автономную парольную атаку. Например, злоумышленник получил список имен пользователей и паролей, но они зашифрованы. Зашифрованный пароль хэшируется. Это означает, что он выглядит совершенно иначе, чем оригинальный пароль.

Например, ваш пароль (надеюсь, что нет!) logmein. Известный MD5-хэш для этого пароля - "8f4047e3233b39e4444e1aef240e80aa".

Тарабарщина для вас и меня. Но в определенных случаях злоумышленник запустит список паролей в открытом виде с помощью алгоритма хэширования, сравнивая результаты с зашифрованным файлом паролей. В других случаях алгоритм шифрования уязвим, и большинство паролей уже взломаны, например MD5 (отсюда мы знаем конкретный хэш для "logmein").

Здесь радужная таблица вступает в свои права. Вместо обработки сотен тысяч потенциальных паролей и сопоставления их результирующего хэша радужная таблица представляет собой огромный набор предварительно вычисленных хэш-значений, специфичных для конкретного алгоритма. Использование радужной таблицы значительно сокращает время, необходимое для взлома хэшированного пароля, но это не идеально. Хакеры могут приобрести предварительно заполненные радужные таблицы, заполненные миллионами потенциальных комбинаций.

  • Плюсы: Может вычислять сложные пароли за короткий промежуток времени; предоставляет хакеру большие возможности в определенных сценариях безопасности.
  • Минусы: Требуется огромное количество места для хранения огромной (иногда терабайтной) таблицы rainbow. Кроме того, злоумышленники ограничены значениями, содержащимися в таблице (в противном случае им придется добавить еще одну таблицу целиком).
  • Будьте в безопасности: еще один хитрый прием. Радужные таблицы предлагают широкий спектр атакующих возможностей. Избегайте любых сайтов, которые используют SHA1 или MD5 в качестве алгоритма хэширования паролей. Избегайте любых сайтов, которые ограничивают вас короткими паролями или символами, которые вы можете использовать. Всегда используйте сложный пароль.

7. Вредоносное ПО / кейлоггер

Еще один верный способ потерять свои учетные данные для входа - это заражение вредоносным ПО. Вредоносное ПО присутствует повсюду и может нанести огромный ущерб. Если вредоносная программа оснащена кейлоггером, вы можете обнаружить, что все ваши учетные записи скомпрометированы.

Кроме того, вредоносная программа может быть специально нацелена на личные данные или внедрить троянец удаленного доступа для кражи ваших учетных данных. Другой вариант - проанализировать сеть на предмет кражи любых паролей, отправленных в виде открытого текста вместо зашифрованного шифротекста. Если компания отправляет пароли куда угодно с использованием открытого текста (это обычный текст, понятный человеку), существует большая вероятность кражи пароля.

  • Плюсы: Тысячи вариантов вредоносных программ, многие настраиваемые, с несколькими простыми способами доставки. Велика вероятность, что большое количество целей поддастся хотя бы одному варианту. Это может остаться незамеченным, позволяя в дальнейшем собирать личные данные и учетные данные для входа.
  • Минусы: Вероятность того, что вредоносная программа не сработает или будет помещена в карантин перед доступом к данным; нет гарантии, что данные полезны.
  • Будьте в безопасности: устанавливайте и регулярно обновляйте свое антивирусное программное обеспечение. Внимательно изучите источники загрузки. Не просматривайте установочные пакеты, содержащие пакетное программное обеспечение и многое другое. Держитесь подальше от опасных или вредоносных сайтов (легче сказать, чем сделать). Используйте инструменты, блокирующие скрипты, чтобы остановить вредоносные скрипты.

8. Использование пауков

Использование пауков связано с атакой по словарю. Если хакер нацелен на конкретное учреждение или бизнес, он может попробовать использовать серию паролей, относящихся к самому бизнесу. Хакер может прочитать и сопоставить ряд связанных терминов — или использовать поисковый паук, чтобы выполнить всю работу за них.

Возможно, вы уже слышали термин "паук" раньше. Эти поисковые роботы чрезвычайно похожи на те, что ползают по Интернету, индексируя контент для поисковых систем. Затем пользовательский список слов используется против учетных записей пользователей в надежде найти совпадение.

  • Плюсы: Потенциально может разблокировать учетные записи высокопоставленных лиц в организации. Относительно прост в составлении и добавляет дополнительное измерение атаке по словарю.
  • Минусы: Могут оказаться бесплодными, если сетевая безопасность организации хорошо настроена.
  • Будьте в безопасности: Опять же, используйте только надежные одноразовые пароли, состоящие из случайных строк; ничего, связанного с вашей персоной, бизнесом, организацией и так Далее.

9. Серфинг с плеча

Последний вариант - один из самых простых. Что, если кто-то просто посмотрит вам через плечо, пока вы вводите свой пароль?

Серфинг с плеча звучит немного нелепо, но это случается. Это похоже на один из тех хакерских трюков, которые, как вы думаете, никогда не сработают. Но если вы работаете в оживленном кафе в центре города и не обращаете внимания на то, что вас окружает, кто-то может оказаться достаточно близко, чтобы заметить ваш пароль при вводе, но, вероятно, это не самый простой способ узнать чей-то пароль.

  • Плюсы: Низкотехнологичный подход к краже пароля.
  • Минусы: Необходимо идентифицировать цель, прежде чем узнавать пароль; могут раскрыться в процессе кражи.
  • Будьте в безопасности: при вводе пароля внимательно следите за окружающими. Прикрывайте клавиатуру и скрывайте клавиши во время ввода.

Всегда используйте надежный, уникальный, одноразовый пароль

Итак, как вы можете помешать хакеру украсть ваш пароль? Действительно короткий ответ заключается в том, что вы не можете быть действительно в безопасности на 100 процентов. Инструменты, которые хакеры используют для кражи ваших данных, постоянно меняются, и существует бесчисленное множество видеороликов и руководств по подбору паролей или обучению тому, как взломать пароль, или даже просто как вычислить чей-то пароль.

Одно можно сказать наверняка: использование надежного, уникального, одноразового пароля никому не повредит.

18
Взгляните на эти темы
Гаджеты и электроника
IT (информационные технологии)
Найти тему
Кибербезопасность
Умные колонки
Колонки и аудиосистемы
Графические планшеты
VR-очки
Смартфоны
Планшеты
Ноутбуки
Игровые консоли
Умные часы
Фитнес-трекеры
Камеры и фототехника
Наушники
Электронные книги
Социальные сети и мессенджеры
Языки программирования
Веб-разработка
Мобильная разработка
Гаджеты и электроника
5,73 млн интересуются