Разумевање техника разбијања лозинки које хакери користе да би широм отворили ваше онлајн налоге је одличан начин да осигурате да вам се то никада неће догодити.
Сигурно ћете увек морати да промените лозинку, и то понекад хитније него што мислите, али ублажавање крађе је одличан начин да останете на врху безбедности свог налога. Увек можете да одете на ввв.хавеибеенпвнед.цом да проверите да ли сте у опасности, али једноставно размишљање да је ваша лозинка довољно сигурна да не буде хакована је лош начин размишљања.
Дакле, да бисмо вам помогли да разумете како хакери добијају ваше лозинке – безбедне или на неки други начин – саставили смо листу од десет најбољих техника разбијања лозинки које користе хакери. Неке од доле наведених метода су свакако застареле, али то не значи да се још увек не користе. Пажљиво прочитајте и научите шта да ублажите.
Десет најбољих техника разбијања лозинки које користе хакери
1. Напад са речником
Напад на речник користи једноставну датотеку која садржи речи које се могу наћи у речнику, па отуда и његов прилично једноставан назив. Другим речима, овај напад користи управо оне речи које многи људи користе као своју лозинку.
Паметно груписање речи заједно као што су „летмеин“ или „суперадминистраторгуи“ неће спречити да ваша лозинка буде разбијена на овај начин – па, не дуже од неколико додатних секунди.
2. Бруте Форце Аттацк
Слично нападу речником, напад грубом силом долази са додатним бонусом за хакера. Уместо једноставног коришћења речи, напад грубом силом им омогућава да открију речи које нису речници радећи кроз све могуће алфа-нумеричке комбинације од ааа1 до ззз10.
Није брзо, под условом да ваша лозинка има више од неколико знакова, али ће на крају открити вашу лозинку. Напади грубе силе могу се скратити додавањем додатних рачунарских снага, у смислу процесорске снаге – укључујући искориштавање снаге ГПУ-а ваше видео картице – и броја машина, као што је коришћење дистрибуираних рачунарских модела као што су онлајн рудари биткоина.
3. Раинбов Табле Аттацк
Дугине табеле нису толико шарене као што њихово име може да имплицира, али за хакера би ваша лозинка могла бити на крају. На најједноставнији могући начин, можете да спустите табелу дуге у листу унапред израчунатих хешева – нумеричку вредност која се користи приликом шифровања лозинке. Ова табела садржи хешове свих могућих комбинација лозинки за било који алгоритам хеширања. Раинбов табеле су атрактивне јер скраћују време потребно за разбијање хеш лозинке на једноставно тражење нечега на листи.
Међутим, дугини столови су огромне, гломазне ствари. За рад им је потребна озбиљна рачунарска снага и табела постаје бескорисна ако је хеш који покушава да пронађе „посољен“ додавањем насумичних знакова у своју лозинку пре хеширања алгоритма.
Говори се о постојању сланих дугиних столова, али они би били толико велики да би их било тешко користити у пракси. Они би вероватно радили само са унапред дефинисаним скупом „насумичних знакова“ и низовима лозинки испод 12 знакова јер би величина табеле у супротном била превисока чак и за хакере на државном нивоу.
4. Пецање
Постоји једноставан начин за хаковање, питајте корисника за његову или њену лозинку. Е-порука за крађу идентитета води несуђеног читаоца до лажне странице за пријаву која је повезана са било којом услугом којој хакер жели да приступи, обично тако што захтева од корисника да исправи неки ужасан проблем са својом безбедношћу. Та страница затим прегледа њихову лозинку и хакер може да је користи у своје сврхе.
Зашто се мучити са пробијањем лозинке када ће вам је корисник ионако радо дати?
5. Друштвени инжењеринг
Друштвени инжењеринг преузима цео концепт „питајте корисника“ ван пријемног сандучета са којим се пхисхинг обично држи иу стварни свет.
Омиљено друштвеног инжењера је да позове канцеларију која се представља као техничар за ИТ безбедност и једноставно затражи лозинку за приступ мрежи. Били бисте изненађени колико често ово функционише. Неки чак имају потребне гонаде да обуку одело и беџ са именом пре него што уђу у посао да би поставили исто питање рецепционеру лицем у лице.
6. Малвер
Кеилогер или скрапер за екран може да се инсталира помоћу злонамерног софтвера који бележи све што унесете или прави снимке екрана током процеса пријављивања, а затим прослеђује копију ове датотеке хакерском центру.
Неки злонамерни софтвер ће тражити постојање датотеке лозинке клијента веб претраживача и копирати је која ће, осим ако није правилно шифрована, садржати лако доступне сачуване лозинке из историје прегледања корисника.
7. Оффлине Црацкинг
Лако је замислити да су лозинке сигурне када системи које штите блокирају кориснике након три или четири погрешна нагађања, блокирајући апликације за аутоматско погађање. Па, то би било тачно да није чињеница да се већина хаковања лозинки одвија ван мреже, користећи скуп хешова у датотеци лозинке која је „добијена“ од компромитованог система.
Често је дотични циљ компромитован путем хаковања треће стране, која затим обезбеђује приступ системским серверима и тим најважнијим хеш датотекама лозинки корисника. Крекеру лозинке тада може потрајати онолико дуго колико треба да покуша да провали код без упозорења циљног система или појединачног корисника.
8. Сурфовање раменима
Други облик друштвеног инжењеринга, сурфовање по рамену, баш као што подразумева, подразумева завиривање преко рамена особе док уносе акредитиве, лозинке, итд. Иако је концепт веома ниске технологије, изненадили бисте се колико лозинки и осетљивих информација је украден на овај начин, па будите свесни свог окружења када приступате банковним рачунима итд. у покрету.
Најпоузданији хакери ће се маскирати као курир пакета, сервисер клима уређаја или било шта друго што им омогућава приступ пословној згради. Када уђу, „униформа“ службеног особља пружа неку врсту бесплатне пропуснице за несметано лутање около и бележење лозинки које уносе прави чланови особља. Такође пружа одличну прилику да погледате све оне пост-ит белешке залепљене на предњој страни ЛЦД екрана са исписаним подацима за пријаву.
9. Спидеринг
Паметни хакери су схватили да су многе корпоративне лозинке састављене од речи које су повезане са самим пословањем. Проучавање корпоративне литературе, материјала за продају веб-сајтова, па чак и веб-сајтова конкурената и наведених купаца може да пружи муницију за прављење прилагођене листе речи за употребу у нападу грубом силом.
Заиста паметни хакери су аутоматизовали процес и дозволили апликацији као пауку, сличном веб претраживачима које користе водећи претраживачи да идентификују кључне речи, да прикупи и упореди листе за њих.
10. Погоди
Најбољи пријатељ крекера лозинки је, наравно, предвидљивост корисника. Осим ако заиста насумична лозинка није креирана помоћу софтвера намењеног задатку, мало је вероватно да ће „насумична“ лозинка коју је генерисао корисник бити ишта од те врсте.
Уместо тога, захваљујући емоционалној везаности нашег мозга за ствари које волимо, велике су шансе да су те насумичне лозинке засноване на нашим интересовањима, хобијима, кућним љубимцима, породици и тако даље. У ствари, лозинке се обично заснивају на свим стварима о којима волимо да ћаскамо на друштвеним мрежама, па чак и укључујемо у своје профиле. Крекери лозинки ће вероватно погледати ове информације и направити неколико – често тачних – образованих нагађања када покушавају да разбију лозинку на нивоу корисника без прибегавања нападима из речника или грубом силом.
Други напади којих се треба чувати
Ако хакерима нешто недостаје, то није креативност. Користећи различите технике и прилагођавајући се безбедносним протоколима који се стално мењају, ови умешачи настављају да успевају.
На пример, свако на друштвеним мрежама је вероватно видео забавне квизове и шаблоне у којима се од вас тражи да причате о свом првом ауту, омиљеној храни, песми број један за ваш 14. рођендан. Иако ове игре изгледају безопасно и свакако их је забавно објављивати, оне су заправо отворени шаблон за безбедносна питања и одговоре на верификацију приступа налогу.
Када постављате налог, можда покушајте да користите одговоре који се заправо не односе на вас, али које можете лако да запамтите. „Који је био твој први ауто?“ Уместо да искрено одговорите, ставите аутомобил из снова. У супротном, једноставно немојте објављивати безбедносне одговоре на мрежи.
Други начин да добијете приступ је једноставно ресетовање лозинке. Најбоља линија одбране од провалника који ресетује вашу лозинку је коришћење адресе е-поште коју често проверавате и ажурирање ваших контакт информација. Ако је доступно, увек омогућите 2-факторску аутентификацију. Чак и ако хакер сазна вашу лозинку, не може приступити налогу без јединственог верификационог кода.
Често постављана питања
Зашто ми је потребна другачија лозинка за сваки сајт?
Вероватно знате да не би требало да дате своје лозинке и не би требало да преузимате ниједан садржај са којим нисте упознати, али шта је са налозима на које се пријављујете сваки дан? Претпоставимо да користите исту лозинку за свој банковни рачун коју користите за произвољни налог као што је Граммарли. Ако је Граммарли хакован, корисник тада има и вашу банкарску лозинку (и можда вашу е-пошту, што додатно олакшава приступ свим вашим финансијским ресурсима).
Шта могу да урадим да заштитим своје налоге?
Коришћење 2ФА на свим налозима који нуде ту функцију, коришћење јединствених лозинки за сваки налог и коришћење мешавине слова и симбола је најбоља линија одбране од хакера. Као што је раније речено, постоји много различитих начина на које хакери добијају приступ вашим налозима, тако да друге ствари које треба да будете сигурни да редовно радите је да одржавате свој софтвер и апликације ажурним (за безбедносне закрпе) и избегавање преузимања са којима нисте упознати.
Који је најсигурнији начин чувања лозинки?
Праћење неколико јединствено чудних лозинки може бити невероватно тешко. Иако је далеко боље проћи кроз процес ресетовања лозинке него компромитовати своје налоге, то одузима много времена. Да бисте заштитили своје лозинке, можете користити услугу као што је Ласт Пасс или КееПасс да бисте сачували све лозинке за налог.
Такође можете да користите јединствени алгоритам да задржите своје лозинке и истовремено их лакше запамтите. На пример, ПаиПал може бити нешто попут хвпп+ц832. У суштини, ова лозинка је прво слово сваке паузе у УРЛ адреси (//ввв.паипал.цом) са последњим бројем у години рођења свих у вашем дому (само као пример). Када се пријавите на свој налог, погледајте УРЛ који ће вам дати првих неколико слова ове лозинке.
Додајте симболе да бисте своју лозинку учинили још тежим за хаковање, али их организујте тако да их је лакше запамтити. На пример, симбол „+“ може бити за све налоге који се односе на забаву док „!” може се користити за финансијске рачуне.