הבנת הטכניקות לפיצוח סיסמאות שהאקרים משתמשים בהן כדי לפוצץ את החשבונות המקוונים שלך לרווחה היא דרך נהדרת להבטיח שזה לא יקרה לך לעולם.
כיצד להחזיר את הכרום הישן
אין ספק שתמיד תצטרך לשנות את הסיסמה שלך, ולפעמים בדחיפות רבה ממה שאתה חושב, אך הפחתה נגד גניבה היא דרך נהדרת להישאר בראש אבטחת חשבונך. אתה תמיד יכול ללכת www.haveibeenpwned.com כדי לבדוק אם אתה נמצא בסיכון, אבל פשוט לחשוב שהסיסמה שלך מאובטחת מספיק כדי לא להיפרץ אליה זה חשיבה גרועה שיש לך.
לכן, כדי לעזור לך להבין איך האקרים מקבלים את הסיסמאות שלך - מאובטחות או אחרות - ריכזנו רשימה של עשר הטכניקות לפיצוח סיסמאות בהן משתמשים האקרים. חלק מהשיטות הבאות בהחלט מיושנות, אך אין זה אומר שעדיין לא משתמשים בהן. קרא בעיון ולמד במה להקל.
עשרת הטכניקות הראשונות לפיצוח סיסמאות בהן משתמשים האקרים
1. התקפת מילון
התקפת המילון משתמשת בקובץ פשוט המכיל מילים שניתן למצוא במילון, ומכאן שמו הדי פשוט. במילים אחרות, התקפה זו משתמשת בדיוק בסוג המלים שאנשים רבים משתמשים כסיסמה שלהם.
קיבוץ מילים חכם יחד כמו letmein או superadministratorguy לא ימנע מהסיסמה שלך להיסדק בצורה זו - ובכן, לא ליותר מכמה שניות נוספות.
2. התקפת כוח אכזרי
בדומה להתקפת המילון, ההתקפה הכוחנית מגיעה עם בונוס נוסף עבור ההאקר. במקום פשוט להשתמש במילים, מתקפת כוח אכזרית מאפשרת להם לזהות מילים שאינן מילוניות על ידי עבודה בכל הצירופים האלפא-מספריים האפשריים מ- aaa1 ל- zzz10.
זה לא מהיר, בתנאי שהסיסמא שלך ארוכה בכמה קומץ תווים, אך בסופו של דבר היא תחשוף את הסיסמה שלך. ניתן לקצר התקפות כוח אכזרי על ידי השלכת כוחות סוס מחשוביים נוספים, הן מבחינת כוח העיבוד - כולל רתימת הכוח של ה- GPU של כרטיס המסך שלך והן מספרי מכונות, כגון שימוש במודלי מחשוב מבוזרים כמו כורי ביטקוין מקוונים.
3. התקפת שולחן קשת
שולחנות קשת אינם צבעוניים ככל ששמם עשוי לרמוז, אך מבחינת האקר, הסיסמה שלך בהחלט יכולה להיות בסוף שלה. באופן הכי פשוט שאפשר, תוכלו להרתיח שולחן קשת לרשימה של חשיפות מחושבות מראש - הערך המספרי המשמש בעת הצפנת סיסמה. טבלה זו מכילה hashes של כל שילובי הסיסמאות האפשריים עבור כל אלגוריתם hashing נתון. שולחנות קשת אטרקטיביים מכיוון שזה מקטין את הזמן הדרוש לפיצוח חשיש סיסמא פשוט לחיפוש משהו ברשימה.
עם זאת, שולחנות קשת הם דברים ענקיים ומסורבלים. הם דורשים כוח מחשוב רציני כדי להפעיל וטבלה הופכת חסרת תועלת אם החשיש שהוא מנסה למצוא הומלח על ידי הוספת תווים אקראיים לסיסמה שלו לפני כיבוש האלגוריתם.
יש דיבורים על שולחנות קשת מלוחים, אך אלה יהיו כה גדולים עד שקשה להשתמש בהם בפועל. סביר להניח שהם יעבדו רק עם ערכת תווים אקראית מוגדרת מראש ומחרוזות סיסמה מתחת ל -12 תווים, שכן גודל הטבלה יהיה אסור אפילו להאקרים ברמת המדינה אחרת.
4. פישינג
יש דרך קלה לפרוץ, לבקש מהמשתמש את הסיסמה שלו. דוא'ל התחזות מוביל את הקורא התמימי לדף כניסה מזויף המשויך לכל שירות שהוא האקר רוצה לגשת אליו, בדרך כלל על ידי בקשה מהמשתמש לתקן בעיה נוראית באבטחתו. דף זה מדליק את הסיסמה שלהם וההאקר יכול להשתמש בו למטרה שלהם.
מדוע לטרוח לטרוח בפיצוח הסיסמה כאשר המשתמש בכל זאת ייתן לך אותה בשמחה?
5. הנדסה חברתית
הנדסה חברתית מוציאה את כל מושג המשתמש מחוץ לתיבת הדואר הנכנס שפישינג נוטה לדבוק בעולם האמיתי אליו.
מועדף על המהנדס החברתי הוא להתקשר למשרד שמתחזה לאיש טכנולוגיה בתחום האבטחה ופשוט לבקש את סיסמת הגישה לרשת. תתפלא כמה פעמים זה עובד. לחלקם יש אפילו את הגונדות הדרושות כדי ללבוש חליפה ותג שמות לפני שנכנסים לעסק כדי לשאול את פקידת הקבלה את אותה שאלה פנים אל פנים.
6. תוכנות זדוניות
מפתח התקנים או מגרד מסך, יכול להיות מותקן על ידי תוכנה זדונית המתעדת את כל מה שאתה מקליד או מצלם תמונות במהלך תהליך הכניסה, ואז מעביר עותק של קובץ זה למרכז ההאקרים.
תוכנות זדוניות מסוימות יחפשו את קיומו של קובץ סיסמת לקוח של דפדפן האינטרנט ועתיקו אותו, אלא אם כן הוא מוצפן כהלכה, יכיל סיסמאות שמורות נגישות בקלות מהיסטוריית הגלישה של המשתמש.
7. פיצוח לא מקוון
קל לדמיין כי סיסמאות בטוחות כאשר המערכות עליהן הם מגנים נועלות משתמשים לאחר שלוש או ארבע ניחושים שגויים, וחוסמות יישומי ניחוש אוטומטיים. ובכן, זה יהיה נכון אלמלא העובדה שרוב פריצת הסיסמאות מתבצעת במצב לא מקוון, תוך שימוש בערכת hashes בקובץ סיסמה אשר 'הושג' ממערכת שנפגעה.
לעיתים קרובות היעד המדובר נפגע באמצעות פריצה לצד שלישי, המספקת גישה לשרתי המערכת ולקבצי ה- hash של סיסמת המשתמש החשובים ביותר. פיצוח הסיסמאות יכול להימשך זמן רב ככל שיידרש לנסות ולפצח את הקוד מבלי להתריע על מערכת היעד או על המשתמש הפרטי.
8. גלישת כתפיים
צורה אחרת של הנדסה חברתית, גלישת כתפיים, בדיוק כפי שמשתמע מכך, כרוכה בהצצה על כתפיו של אדם בזמן שהוא מזין אישורים, סיסמאות וכו '. למרות שהרעיון הוא טכנולוגיה נמוכה מאוד, תתפלאו כמה סיסמאות ומידע רגיש נגנב בדרך זו, לכן הישאר מודע לסביבתיך בעת גישה לחשבונות בנק וכו 'בדרכים.
הבטוחים ביותר בהאקרים ייקחו מסווה של שליח חבילות, טכנאי שירות מזגנים, או כל דבר אחר שמקנה להם גישה לבניין משרדים. ברגע שהם נכנסים, מדי אנשי השירות מספקים מעין מעבר חופשי לשוטט באין מפריע, ולשים לב לסיסמאות שהוזנו על ידי אנשי צוות אמיתיים. זה גם מספק הזדמנות מצוינת לגלגל העין את כל אותם פתקי פוסט-איט שנדבקו לחזית מסכי LCD עם כניסות מקושקשות עליהם.
9. עכביש
האקרים נבונים הבינו כי סיסמאות ארגוניות רבות מורכבות ממילים המחוברות לעסק עצמו. לימוד ספרות תאגידית, חומר מכירות אתרים ואפילו אתרי אינטרנט של מתחרים ולקוחות רשומים יכול לספק את התחמושת לבניית רשימת מילים מותאמת אישית לשימוש בהתקפה אכזרית.
האקרים נבונים באמת ביצעו אוטומטית את התהליך ואפשרו ליישום ספיידר, בדומה לסורקי האינטרנט המועסקים על ידי מנועי חיפוש מובילים כדי לזהות מילות מפתח, לאסוף ולאסוף עבורם את הרשימות.
10. נחשו
החבר הכי טוב של פוצחי הסיסמאות, כמובן, הוא החיזוי של המשתמש. אלא אם כן נוצרה סיסמא אקראית באמת באמצעות תוכנה ייעודית למשימה, סביר להניח כי סיסמא 'אקראית' שנוצרה על ידי המשתמש אינה דומה לסוג זה.
במקום זאת, בזכות ההתייחסות הרגשית של מוחנו לדברים שאנחנו אוהבים, הסיכויים הם שסיסמאות אקראיות מבוססות על תחומי העניין שלנו, התחביבים, חיות המחמד, המשפחה וכו '. למעשה, סיסמאות נוטות להתבסס על כל הדברים שאנחנו אוהבים לשוחח עליהם ברשתות חברתיות ואף לכלול בפרופילים שלנו. פיצוחי סיסמאות צפויים מאוד להסתכל על מידע זה ולהעלות כמה ניחושים משכילים - לעתים קרובות נכונים - כאשר הם מנסים לפצח סיסמא ברמת הצרכן מבלי לנקוט במתקפות מילוניות או כוח אכזרי.
התקפות אחרות שיש להיזהר מהן
אם להאקרים חסר משהו, זו לא יצירתיות. תוך שימוש במגוון טכניקות ובהתאמה לפרוטוקולי אבטחה המשתנים ללא הרף, משתלבים אלה ממשיכים להצליח.
לדוגמה, כל אחד ברשתות החברתיות ראה ככל הנראה את החידונים והתבניות המהנות שמבקשות ממך לדבר על המכונית הראשונה שלך, האוכל האהוב עליך, השיר מספר אחד ביום הולדתך ה -14. המשחקים האלה אמנם נראים לא מזיקים והם בהחלט מהנים לפרסום, אך הם למעשה תבנית פתוחה לשאלות אבטחה ותשובות לאימות גישה לחשבון.
כשאתה מקים חשבון, נסה אולי להשתמש בתשובות שאינן נוגעות לך באמת, אך שאותן תוכל לזכור בקלות. מה הייתה המכונית הראשונה שלך? במקום לענות בכנות, שימו במקום זאת את מכונית החלומות שלכם. אחרת, פשוט אל תפרסם תשובות אבטחה באינטרנט.
דרך נוספת לקבל גישה היא פשוט איפוס הסיסמה שלך. קו ההגנה הטוב ביותר כנגד משתתף המאפס את הסיסמה שלך הוא באמצעות כתובת דוא'ל שאתה בודק לעיתים קרובות ושומר על פרטי הקשר שלך. אם זמין, הפעל תמיד אימות דו-גורמי. גם אם ההאקר לומד את הסיסמה שלך, הם לא יכולים לגשת לחשבון ללא קוד אימות ייחודי.
שאלות נפוצות
מדוע אני זקוק לסיסמה אחרת לכל אתר?
אתה בטח יודע שאתה לא צריך למסור את הסיסמאות שלך ואתה לא צריך להוריד שום תוכן שאתה לא מכיר, אבל מה עם החשבונות שאתה נכנס אליהם כל יום? נניח שאתה משתמש באותה סיסמה עבור חשבון הבנק שלך שבו אתה משתמש לחשבון שרירותי כמו דקדוק. אם Grammarly נפרץ, למשתמש יש גם את הסיסמה הבנקאית שלך (ואולי גם הדוא'ל שלך מקלה על גישה לכל המשאבים הכספיים שלך).
מה אוכל לעשות כדי להגן על חשבונותיי?
השימוש ב- 2FA בכל חשבונות שמציעים את התכונה, שימוש בסיסמאות ייחודיות לכל חשבון ושימוש בתערובת של אותיות וסמלים הוא קו ההגנה הטוב ביותר מפני האקרים. כאמור, ישנן דרכים רבות ושונות בהן האקרים מקבלים גישה לחשבונות שלך, ולכן דברים אחרים שאתה צריך כדי לוודא שאתה עושה באופן קבוע הם לעדכן את התוכנה והאפליקציות שלך (לתיקוני אבטחה) ו הימנעות מהורדות שאתה לא מכיר.
מה הדרך הבטוחה ביותר לשמור סיסמאות?
שמירה על מספר סיסמאות מוזרות במיוחד יכולה להיות קשה להפליא. אמנם עדיף לעבור את תהליך איפוס הסיסמה מאשר לפגוע בחשבונות שלך, אך זה גוזל זמן. כדי לשמור על הסיסמאות שלך בטוח אתה יכול להשתמש בשירות כמו Last Pass או KeePass כדי לשמור את כל סיסמאות החשבון שלך.
אתה יכול גם להשתמש באלגוריתם ייחודי כדי לשמור על הסיסמאות שלך תוך כדי קל יותר לזכור אותם. לדוגמה, PayPal יכולה להיות משהו כמו hwpp + c832. בעיקרון, סיסמה זו היא האות הראשונה של כל הפסקה בכתובת האתר (https://www.paypal.com) עם המספר האחרון בשנת הלידה של כל מי שבביתכם (רק כדוגמה). כשאתה נכנס לחשבונך, צפה בכתובת האתר שתעניק לך את האותיות הראשונות של הסיסמה הזו.
הוסף סמלים כדי להפוך את הסיסמה שלך לקשה עוד יותר לפריצה, אך ארגן אותם כך שיהיה קל יותר לזכור אותם. לדוגמה, סמל + יכול להיות לכל חשבונות הקשורים לבידור בזמן ש-! יכול לשמש לחשבונות פיננסיים.
