Izpratne par paroļu uzlaušanas paņēmieniem, ko hakeri izmanto, lai pilnībā atvērtu jūsu tiešsaistes kontus, ir lielisks veids, kā nodrošināt, ka tas nekad nenotiek ar jums.
Jums noteikti vienmēr būs jāmaina sava parole, un dažreiz pat steidzamāk, nekā jūs domājat, taču zādzību novēršana ir lielisks veids, kā nodrošināt konta drošību. Jūs vienmēr varat doties uz vietni www.haveibeenpwned.com, lai pārbaudītu, vai esat pakļauts riskam, taču domāšana, ka jūsu parole ir pietiekami droša, lai netiktu uzlauzta, ir slikta domāšana.
Tāpēc, lai palīdzētu jums saprast, kā hakeri iegūst jūsu paroles — drošas vai citas — esam izveidojuši sarakstu ar desmit populārākajām paroļu uzlaušanas metodēm, ko izmanto hakeri. Dažas no tālāk norādītajām metodēm noteikti ir novecojušas, taču tas nenozīmē, ka tās joprojām netiek izmantotas. Uzmanīgi izlasiet un uzziniet, pret ko mazināt.
Desmit populārākās paroļu uzlaušanas metodes, ko izmanto hakeri
1. Vārdnīcas uzbrukums
Vārdnīcas uzbrukumā tiek izmantots vienkāršs fails, kas satur vārdus, kurus var atrast vārdnīcā, tāpēc tā nosaukums ir diezgan vienkāršs. Citiem vārdiem sakot, šis uzbrukums izmanto tieši tādus vārdus, kādus daudzi cilvēki izmanto kā savu paroli.
Gudri grupējot kopā vārdus, piemēram, “letmein” vai “superadministratorguy”, nenovērsīs jūsu paroles uzlauzšanu šādā veidā — labi, ne ilgāk par dažām papildu sekundēm.
2. Brutālā spēka uzbrukums
Līdzīgi kā vārdnīcas uzbrukums, rupja spēka uzbrukums hakeram ir papildu bonuss. Tā vietā, lai vienkārši lietotu vārdus, brutālā spēka uzbrukums ļauj viņiem atklāt vārdus, kas nav ietverti vārdnīcā, izmantojot visas iespējamās burtu un ciparu kombinācijas no aaa1 līdz zzz10.
Tas nav ātri, ja jūsu parole ir garāka par dažām rakstzīmēm, taču tā galu galā atklās jūsu paroli. Brutāla spēka uzbrukumus var saīsināt, izmantojot papildu skaitļošanas zirgspēkus gan apstrādes jaudas, tostarp videokartes GPU jaudas izmantošanas, gan mašīnu numuru ziņā, piemēram, izmantojot izkliedētus skaitļošanas modeļus, piemēram, tiešsaistes bitcoin kalnračus.
3. Varavīksnes galda uzbrukums
Varavīksnes tabulas nav tik krāsainas, kā varētu liecināt to nosaukums, taču hakeram jūsu parole varētu būt tā beigās. Pēc iespējas vienkāršākajā veidā varat pārvērst varavīksnes tabulu iepriekš aprēķinātu jaucējvārdu sarakstā — paroles šifrēšanai izmantotajā skaitliskā vērtībā. Šajā tabulā ir ietvertas visu iespējamo paroļu kombināciju jaukšana jebkuram jaukšanas algoritmam. Rainbow tabulas ir pievilcīgas, jo tās samazina laiku, kas nepieciešams, lai uzlauztu paroles jaucējkodu, vienkārši meklējot kaut ko sarakstā.
Tomēr varavīksnes galdi ir milzīgas, smagnējas lietas. To darbībai ir nepieciešama nopietna skaitļošanas jauda, un tabula kļūst bezjēdzīga, ja jaucējkods, ko tā mēģina atrast, ir “sālīts”, parolei pievienojot nejaušas rakstzīmes pirms algoritma jaukšanas.
Tiek runāts par esošiem sālītajiem varavīksnes galdiem, taču tie būtu tik lieli, ka tos būtu grūti izmantot praksē. Tie, visticamāk, darbotos tikai ar iepriekš definētu “nejaušas rakstzīmju” kopu un paroļu virknēm, kas ir mazākas par 12 rakstzīmēm, jo pretējā gadījumā tabulas lielums būtu pārmērīgs pat štata līmeņa hakeriem.
4. Pikšķerēšana
Ir vienkāršs veids, kā uzlauzt, pajautājiet lietotājam viņa vai viņas paroli. Pikšķerēšanas e-pasts noved nenojaušo lasītāju uz viltotu pieteikšanās lapu, kas saistīta ar pakalpojumu, kuram hakeris vēlas piekļūt, parasti pieprasot lietotājam novērst kādu briesmīgu drošības problēmu. Pēc tam šī lapa nolasa viņu paroli, un hakeris var to izmantot saviem mērķiem.
Kāpēc gan censties uzlauzt paroli, ja lietotājs tik un tā jums to ar prieku iedos?
5. Sociālā inženierija
Sociālā inženierija aizved visu jēdzienu “jautāt lietotājam” ārpus iesūtnes, ko pikšķerēšana mēdz pieķerties reālajai pasaulei.
Sociālā inženiera iecienītākais ir piezvanīt uz biroju, uzdodoties par IT drošības tehnoloģiju speciālistu, un vienkārši pajautāt tīkla piekļuves paroli. Jūs būtu pārsteigts, cik bieži tas darbojas. Dažiem pat ir nepieciešamie dzimumdziedzeri, lai uzvilktu uzvalku un vārda žetonu, pirms ieiet uzņēmumā, lai uzdotu to pašu jautājumu aci pret aci.
6. Ļaunprātīga programmatūra
Taustiņu bloķētāju jeb ekrāna skrāpi var instalēt ļaunprātīga programmatūra, kas reģistrē visu, ko rakstāt, vai pieteikšanās procesa laikā uzņem ekrānuzņēmumus un pēc tam pārsūta šī faila kopiju uz hakeru centru.
Dažas ļaunprātīgas programmatūras meklēs tīmekļa pārlūkprogrammas klienta paroles faila esamību un kopēs to, kurā, ja vien tas nav pareizi šifrēts, būs viegli pieejamas saglabātas paroles no lietotāja pārlūkošanas vēstures.
7. Krekinga bezsaistē
Ir viegli iedomāties, ka paroles ir drošas, ja sistēmas, kuras tās aizsargā, bloķē lietotājus pēc trīs vai četriem nepareiziem minējumiem, bloķējot automātiskās minēšanas lietojumprogrammas. Tā būtu taisnība, ja nebūtu tā, ka lielākā daļa paroļu uzlaušanas notiek bezsaistē, izmantojot jaucējkodu kopu paroles failā, kas ir “iegūta” no apdraudētas sistēmas.
Bieži vien attiecīgais mērķis ir apdraudēts trešās puses uzlaušanas dēļ, kas pēc tam nodrošina piekļuvi sistēmas serveriem un tiem ļoti svarīgajiem lietotāja paroļu jaucējfailiem. Paroles uzlauzējs var aizņemt tik ilgu laiku, cik nepieciešams, lai mēģinātu uzlauzt kodu, nebrīdinot mērķa sistēmu vai atsevišķu lietotāju.
8. Plecu sērfošana
Cits sociālās inženierijas veids, plecu sērfošana, tāpat kā tas nozīmē, ir saistīta ar skatīšanos pār cilvēka pleciem, kamēr viņi ievada akreditācijas datus, paroles utt. Lai gan šī koncepcija ir ļoti zema tehnoloģija, jūs būtu pārsteigts, cik daudz paroļu un sensitīvas informācijas tiek nozagts šādā veidā, tāpēc esiet informēts par savu apkārtni, kad piekļūstat bankas kontiem utt., atrodoties ceļā.
Vispārliecinātākie hakeri izmantos paku kurjera, gaisa kondicionēšanas servisa tehniķa vai jebko citu, kas viņiem ļaus piekļūt biroja ēkai. Kad tie ir ievietoti, apkalpojošā personāla "uniforma" nodrošina sava veida bezmaksas caurlaidi, lai netraucēti klīst apkārt un ņemtu vērā paroles, kuras ievada īsti darbinieki. Tas arī sniedz lielisku iespēju aplūkot visas tās piezīmes, kas ielīmētas LCD ekrāna priekšpusē un uz kurām ir uzrakstīti pieteikumvārdi.
9. Zirnekļošana
Atjautīgi hakeri ir sapratuši, ka daudzas korporatīvās paroles sastāv no vārdiem, kas saistīti ar pašu biznesu. Korporatīvās literatūras, vietņu pārdošanas materiālu un pat konkurentu un sarakstā iekļauto klientu vietņu izpēte var nodrošināt munīciju, lai izveidotu pielāgotu vārdu sarakstu, ko izmantot brutāla spēka uzbrukumā.
Patiešām gudri hakeri ir automatizējuši procesu un ļauj izmantot lietojumprogrammu, kas ir līdzīga vadošo meklētājprogrammu izmantotajām tīmekļa rāpuļprogrammām, lai identificētu atslēgvārdus, apkopotu un salīdzinātu to sarakstus.
10. Uzminiet
Paroļu uzlauzēju labākais draugs, protams, ir lietotāja paredzamība. Ja vien nav izveidota patiesi nejauša parole, izmantojot šim uzdevumam paredzētu programmatūru, lietotāja ģenerēta “nejaušas” parole, visticamāk, nebūs līdzīga.
Tā vietā, pateicoties mūsu smadzeņu emocionālajai pieķeršanās lietām, kas mums patīk, iespējams, ka šīs nejaušās paroles ir balstītas uz mūsu interesēm, vaļaspriekiem, mājdzīvniekiem, ģimeni un tā tālāk. Faktiski paroles parasti ir balstītas uz visām lietām, par kurām mums patīk tērzēt sociālajos tīklos un pat iekļaut to savos profilos. Mēģinot uzlauzt patērētāja līmeņa paroli, neizmantojot vārdnīcas vai brutāla spēka uzbrukumus, paroļu uzlauzēji, ļoti iespējams, aplūkos šo informāciju un izdarīs dažus — bieži vien pareizus — pamatotus minējumus.
Citi uzbrukumi, no kuriem jāuzmanās
Ja hakeriem kaut kā trūkst, tas nav radošums. Izmantojot dažādus paņēmienus un pielāgojoties pastāvīgi mainīgajiem drošības protokoliem, šie traucētāji turpina gūt panākumus.
Piemēram, ikviens sociālajos saziņas līdzekļos, iespējams, ir redzējis jautrās viktorīnas un veidnes, kurās jums tiek lūgts pastāstīt par savu pirmo automašīnu, iecienītāko ēdienu, dziesmu numur viens jūsu 14. dzimšanas dienā. Lai gan šīs spēles šķiet nekaitīgas un tās noteikti ir jautri publicēt, tās patiesībā ir atvērta veidne drošības jautājumiem un konta piekļuves verifikācijas atbildēm.
Izveidojot kontu, iespējams, mēģiniet izmantot atbildes, kas patiesībā neattiecas uz jums, bet kuras varat viegli atcerēties. "Kāda bija jūsu pirmā automašīna?" Tā vietā, lai atbildētu patiesi, novietojiet savu sapņu automašīnu. Pretējā gadījumā vienkārši nepublicējiet drošības atbildes tiešsaistē.
Vēl viens veids, kā iegūt piekļuvi, ir vienkārši atiestatīt paroli. Labākā aizsardzība pret traucētāju, kas atiestata jūsu paroli, ir izmantot e-pasta adresi, kuru bieži pārbaudāt, un regulāri atjaunināt savu kontaktinformāciju. Ja iespējams, vienmēr iespējojiet 2 faktoru autentifikāciju. Pat ja hakeris uzzina jūsu paroli, viņš nevar piekļūt kontam bez unikāla verifikācijas koda.
bieži uzdotie jautājumi
Kāpēc man ir nepieciešama atšķirīga parole katrai vietnei?
Jūs droši vien zināt, ka jums nevajadzētu izpaust savas paroles un nevajadzētu lejupielādēt saturu, ko nezināt, bet kā ir ar kontiem, kuros pierakstāties katru dienu? Pieņemsim, ka savam bankas kontam izmantojat to pašu paroli, ko izmantojat patvaļīgam kontam, piemēram, Grammarly. Ja Grammarly tiek uzlauzts, lietotājam ir arī jūsu bankas parole (un, iespējams, jūsu e-pasts, kas ļauj vēl vieglāk piekļūt visiem jūsu finanšu resursiem).
Ko es varu darīt, lai aizsargātu savus kontus?
2FA izmantošana visos kontos, kas piedāvā šo funkciju, unikālo paroļu izmantošana katram kontam un burtu un simbolu kombinācija ir labākā aizsardzības līnija pret hakeriem. Kā minēts iepriekš, ir daudz dažādu veidu, kā hakeri var piekļūt jūsu kontiem, tāpēc citas lietas, kas jums ir nepieciešamas, lai pārliecinātos, ka jūs regulāri veicat, ir programmatūras un lietotņu atjaunināšana (drošības ielāpus) un izvairoties no lejupielādēm, kuras neesat pazīstams.
Kāds ir drošākais veids, kā glabāt paroles?
Sekot līdzi vairākām unikāli dīvainām parolēm var būt neticami grūti. Lai gan ir daudz labāk veikt paroles atiestatīšanas procesu, nevis uzlauzt jūsu kontus, tas ir laikietilpīgs. Lai aizsargātu savas paroles, varat izmantot tādus pakalpojumus kā Last Pass vai KeePass, lai saglabātu visas sava konta paroles.
Varat arī izmantot unikālu algoritmu, lai saglabātu paroles, vienlaikus atvieglojot to iegaumēšanu. Piemēram, PayPal varētu būt kaut kas līdzīgs hwpp+c832. Būtībā šī parole ir pirmais burts no katra URL (//www.paypal.com) pārtraukuma ar pēdējo ciparu dzimšanas gadā ikviena jūsu mājā (tikai kā piemērs). Kad dodaties, lai pieteiktos savā kontā, skatiet URL, kas sniegs dažus pirmos šīs paroles burtus.
Pievienojiet simbolus, lai padarītu paroles uzlaušanu vēl grūtāku, taču sakārtojiet tos tā, lai tos būtu vieglāk atcerēties. Piemēram, simbols “+” var būt jebkuram kontam, kas saistīts ar izklaidi, savukārt simbols “!” var izmantot finanšu kontiem.