8 nejběžnějších triků používaných k hackování hesel

8 nejběžnějších triků používaných k hackování hesel

Co se vám vybaví, když uslyšíte „narušení bezpečnosti“? Zlovolný hacker sedící před obrazovkami pokrytými digitálním textem ve stylu Matrixu? Nebo teenager žijící ve sklepě, který tři týdny neviděl denní světlo? Co třeba výkonný superpočítač, který se pokouší hacknout celý svět?





Hacking je o jedné věci: vaše heslo. Pokud někdo dokáže uhádnout vaše heslo, nepotřebuje efektní hackerské techniky a superpočítače. Prostě se přihlásí a budou se chovat jako vy. Pokud je vaše heslo krátké a jednoduché, hra skončila.





Hackeři používají k hackování vašeho hesla osm běžných taktik.





1. Slovník Hack

Nejprve ve společné příručce pro taktiku hackování hesel je slovníkový útok. Proč se tomu říká slovníkový útok? Protože automaticky zkouší každé slovo v definovaném „slovníku“ proti heslu. Slovník není přesně ten, který jste používali ve škole.

Ne. Tento slovník je ve skutečnosti malý soubor obsahující také nejčastěji používané kombinace hesel. To zahrnuje 123456, qwerty, heslo, iloveyou a klasiku všech dob, hunter2.



jak vytvořit spouštěcí disketu

Výše uvedená tabulka podrobně popisuje hesla, která nejvíce unikla v roce 2016. Níže uvedená tabulka podrobně popisuje hesla, která byla nejvíce prozrazena v roce 2020.

Všimněte si podobnosti mezi těmito dvěma - a ujistěte se, že nepoužíváte tyto neuvěřitelně jednoduché možnosti.





Profesionálové: Rychle; obvykle odemkne některé žalostně chráněné účty.

Nevýhody: I mírně silnější hesla zůstanou zabezpečená.





Zůstat v bezpečí: Pro každý účet použijte silné jednorázové heslo ve spojení s aplikace pro správu hesel . Správce hesel vám umožňuje uložit další hesla do úložiště. Pak můžete pro každé stránky použít jediné, směšně silné heslo.

Příbuzný: Správce hesel Google: Jak začít

2. Brute Force

Další útok hrubou silou, kdy útočník zkouší všechny možné kombinace postav. Pokusná hesla budou odpovídat specifikacím pro pravidla složitosti, např. včetně jednoho velkého písmena, jednoho malého písmene, desetinných míst Pi, vaší objednávky pizzy atd.

Útok hrubou silou také nejprve vyzkouší nejčastěji používané kombinace alfanumerických znaků. Patří sem dříve uvedená hesla a také 1q2w3e4r5t, zxcvbnm a qwertyuiop. Zjistit heslo pomocí této metody může trvat velmi dlouho, ale to zcela závisí na složitosti hesla.

Profesionálové: Teoreticky to prolomí každé heslo vyzkoušením každé kombinace.

Nevýhody: V závislosti na délce hesla a obtížnosti to může trvat extrémně dlouho. Vložte několik proměnných, jako je $, &, {, nebo], a zjistit heslo je extrémně obtížné.

Zůstat v bezpečí: Vždy používejte variabilní kombinaci znaků a pokud je to možné, zavést další symboly pro zvýšení složitosti .

3. Phishing

Nejde vyloženě o „hack“, ale propadnutí pokusu o phishing nebo spear-phishing obvykle skončí špatně. Obecné phishingové e -maily zasílané v miliardách všem uživatelům internetu po celém světě.

Phishingový e -mail obecně funguje takto:

  1. Cílový uživatel obdrží podvržený e -mail, který údajně pochází od velké organizace nebo firmy.
  2. Falešný e -mail vyžaduje okamžitou pozornost a obsahuje odkaz na web.
  3. Tento odkaz se ve skutečnosti připojuje k falešnému přihlašovacímu portálu, zesměšněnému tak, aby vypadal úplně stejně jako legitimní web.
  4. Nic netušící cílový uživatel zadá své přihlašovací údaje a bude buď přesměrován, nebo mu řekne, aby to zkusil znovu.
  5. Přihlašovací údaje uživatele jsou odcizeny, prodány nebo použity nekalým způsobem (nebo obojí).

Denní objem nevyžádané pošty odesílaný do celého světa je stále vysoký, což představuje více než polovinu všech e -mailů odeslaných globálně. Kromě toho je u společnosti Kaspersky také vysoký objem škodlivých příloh všímat si více než 92 milionů škodlivých příloh od ledna do června 2020. Pamatujte, že to je jen pro Kaspersky, takže skutečné číslo je mnohem vyšší .

Ještě v roce 2017 byla největší phishingová návnada falešná faktura. V roce 2020 však pandemie COVID-19 poskytla novou hrozbu phishingu.

V dubnu 2020, nedlouho poté, co mnoho zemí vstoupilo do zablokování pandemie, společnost Google oznámil denně blokovalo více než 18 milionů škodlivých e-mailů se spamem a phishingem s tématem COVID-19. Obrovské množství těchto e-mailů používá oficiální legitimitu vládních nebo zdravotnických organizací a legitimně zasahuje oběti.

Profesionálové: Uživatel doslova odevzdává své přihlašovací údaje, včetně hesel-relativně vysokou míru úspěšnosti, snadno přizpůsobenou konkrétním službám nebo konkrétním lidem při útoku spear-phishing.

Nevýhody: E -maily se spamem se snadno filtrují, spamové domény jsou na černé listině a hlavní poskytovatelé, jako je Google, neustále aktualizují ochranu.

Zůstat v bezpečí: Zůstaňte skeptičtí k e -mailům a zvyšte svůj filtr nevyžádané pošty na nejvyšší úroveň, nebo ještě lépe, použijte proaktivní seznam povolených. Použití ověřovač odkazů, který zjistí pokud je e -mailový odkaz před kliknutím legitimní.

4. Sociální inženýrství

Sociální inženýrství je v podstatě phishing v reálném světě, mimo obrazovku.

Základní součástí každého bezpečnostního auditu je zjištění, čemu rozumí celá pracovní síla. Bezpečnostní společnost například zatelefonuje firmě, kterou auditují. „Útočník“ řekne osobě v telefonu, že je novým týmem technické podpory kanceláře, a že pro něco konkrétního potřebuje nejnovější heslo.

Nic netušící jedinec může předat klíče bez přestávky k zamyšlení.

Děsivé je, jak často to funguje. Sociální inženýrství existuje po staletí. Být duplicitní pro získání vstupu do zabezpečené oblasti je běžný způsob útoku, který je chráněn pouze vzděláváním.

Důvodem je, že útok nebude vždy požadovat přímo heslo. Může to být falešný instalatér nebo elektrikář, který žádá o vstup do zabezpečené budovy atd.

Když někdo říká, že byl podveden k odhalení svého hesla, je to často důsledek sociálního inženýrství.

Profesionálové: Kvalifikovaní sociální inženýři dokážou extrahovat hodnotné informace z řady cílů. Lze jej nasadit téměř proti komukoli a kdekoli. Je to extrémně nenápadné.

Nevýhody: Selhání sociálního inženýrství může vzbuzovat podezření z blížícího se útoku a nejistotu, zda jsou získány správné informace.

Zůstat v bezpečí : To je ošidné. Úspěšný útok na sociální inženýrství bude dokončen, dokud si neuvědomíte, že je něco špatně. Vzdělávání a povědomí o bezpečnosti jsou základní taktikou zmírňování. Vyhněte se zveřejňování osobních údajů, které by mohly být později použity proti vám.

5. Duhový stůl

Duhový stůl je obvykle offline útok na heslo. Útočník například získal seznam uživatelských jmen a hesel, ale jsou šifrována. Šifrované heslo je hašováno. To znamená, že vypadá úplně jinak než původní heslo.

Například vaše heslo je (doufejme, že ne!) Logmein. Známý hash MD5 pro toto heslo je „8f4047e3233b39e4444e1aef240e80aa“.

Je to na vás a na mě. Ale v určitých případech útočník spustí seznam hesel ve formátu prostého textu pomocí hashovacího algoritmu a porovná výsledky se šifrovaným souborem hesel. V ostatních případech je šifrovací algoritmus zranitelný a většina hesel je již prolomena, jako MD5 (proto známe konkrétní hash pro „logmein“.

Tady si duhový stůl přijde na své. Místo toho, aby museli zpracovávat stovky tisíc potenciálních hesel a odpovídat jejich výslednému hashu, je duhová tabulka obrovskou sadou předpočítaných hodnot hash specifických pro algoritmy.

Použití duhové tabulky drasticky zkracuje čas potřebný k prolomení hashovaného hesla - ale není to dokonalé. Hackeři si mohou zakoupit předplněné duhové stoly naplněné miliony potenciálních kombinací.

Profesionálové: Dokáže v krátké době zjistit složitá hesla; poskytuje hackerům velkou moc nad určitými bezpečnostními scénáři.

Nevýhody: Vyžaduje obrovské množství prostoru pro uložení obrovského (někdy terabajtového) duhového stolu. Útočníci jsou také omezeni na hodnoty obsažené v tabulce (v opačném případě musí přidat další celou tabulku).

jak upravit dpi ve Photoshopu

Zůstat v bezpečí: Další záludný. Duhové stoly nabízejí širokou škálu útočných potenciálů. Vyhněte se jakýmkoli stránkám, které jako algoritmus pro hash hesel používají SHA1 nebo MD5. Vyhněte se všem webům, které vás omezují na krátká hesla nebo omezují znaky, které můžete použít. Vždy používejte složité heslo.

Související: Jak zjistit, zda web ukládá hesla jako prostý text (a co dělat)

6. Malware/Keylogger

Dalším jistým způsobem, jak ztratit přihlašovací údaje, je faulovat malware. Malware je všude, s potenciálem způsobit obrovské škody. Pokud varianta malwaru obsahuje keylogger, můžete ho najít Všechno vaše účty ohroženy.

Alternativně by malware mohl cílit na soukromá data nebo zavést trojského koně pro vzdálený přístup a ukrást vaše přihlašovací údaje.

Profesionálové: Tisíce variant malwaru, mnoho přizpůsobitelných, s několika snadnými způsoby doručení. Dobrá šance, že vysoký počet cílů podlehne alespoň jedné variantě. Může to zůstat nezjištěno, což umožňuje další sklizeň soukromých dat a přihlašovacích údajů.

Nevýhody: Šance, že malware nebude fungovat nebo bude v karanténě před přístupem k datům; žádná záruka, že data jsou užitečná.

Zůstat v bezpečí : Nainstalujte si a pravidelně aktualizujte svůj antivirus a antimalware software. Pečlivě zvažte své zdroje stahování. Neklikejte na instalační balíčky obsahující bundleware a další. Vyhněte se hanebným stránkám (snadněji se to říká, než dělá). K zastavení škodlivých skriptů použijte nástroje pro blokování skriptů.

7. Spidering

Pavoučí vazby do slovníkového útoku. Pokud se hacker zaměřuje na konkrétní instituci nebo firmu, může vyzkoušet řadu hesel týkajících se samotné firmy. Hacker mohl přečíst a porovnat řadu souvisejících výrazů - nebo použít vyhledávacího pavouka, aby za ně udělal práci.

Možná jste už někdy slyšeli výraz „pavouk“. Tyto vyhledávací pavouky jsou velmi podobné těm, které procházejí internetem a indexují obsah pro vyhledávače. Vlastní seznam slov se pak použije proti uživatelským účtům v naději, že najde shodu.

Profesionálové: Může potenciálně odemknout účty vysoce postaveným jednotlivcům v rámci organizace. Poměrně snadné sestavení a přidání dalšího rozměru slovníkovému útoku.

Nevýhody: Pokud je zabezpečení organizační sítě dobře nakonfigurováno, může to skončit bezvýsledně.

Zůstat v bezpečí: Opět používejte pouze silná jednorázová hesla složená z náhodných řetězců; nic, co by spojovalo vaši osobu, podnikání, organizaci atd.

jak starý musíš být pro paypal

8. Surfování na ramenou

Poslední možnost je jednou z nejzákladnějších. Co když se vám někdo při zadávání hesla jen podívá přes rameno?

Surfování na ramenou zní trochu směšně, ale stává se. Pokud pracujete v rušné kavárně v centru města a nevěnujete pozornost svému okolí, mohl by se někdo dostat dostatečně blízko, aby si při psaní poznamenal vaše heslo.

Profesionálové: Nízko technologický přístup ke krádeži hesla.

Nevýhody: Než zjistíte heslo, musíte identifikovat cíl; se mohli odhalit v procesu krádeže.

Zůstat v bezpečí: Při zadávání hesla buďte pozorní k lidem kolem vás. Během zadávání zakryjte klávesnici a zakryjte klávesy.

Vždy používejte silné, jedinečné a jednorázové heslo

Jak tedy zabráníte hackerovi krást vaše heslo? Opravdu krátká odpověď je, že nemůžete být opravdu stoprocentně v bezpečí . Nástroje, které hackeři používají ke krádeži vašich dat, se neustále mění a existuje nespočet videí a návodů na hádání hesel nebo učení, jak hacknout heslo.

Jedna věc je jistá: použití silného, ​​jedinečného hesla na jedno použití nikdy nikomu neublíží.

Podíl Podíl tweet E-mailem 5 Nástroje pro vytváření hesel k vytváření silných přístupových frází a aktualizaci zabezpečení

Vytvořte silné heslo, které si později zapamatujete. Pomocí těchto aplikací upgradujte své zabezpečení pomocí nových silných hesel ještě dnes.

Číst dále
Související témata
  • Bezpečnostní
  • Tipy pro heslo
  • Zabezpečení online
  • Hackování
  • Bezpečnostní tipy
O autorovi Gavin Phillips(945 publikovaných článků)

Gavin je juniorský editor pro Windows a vysvětlenou technologii, pravidelný přispěvatel do Skutečně užitečného podcastu a pravidelný recenzent produktů. Má BA (Hons) Contemporary Writing with Digital Art Practices drancované z kopců Devonu, stejně jako více než deset let zkušeností s profesionálním psaním. Má rád velké množství čaje, deskových her a fotbalu.

Více od Gavina Phillipse

Přihlaste se k odběru našeho zpravodaje

Připojte se k našemu zpravodaji a získejte technické tipy, recenze, bezplatné elektronické knihy a exkluzivní nabídky!

Kliknutím sem se přihlásíte k odběru