De 8 vanligste triksene som brukes til å hacke passord

De 8 vanligste triksene som brukes til å hacke passord

Når du hører 'sikkerhetsbrudd', hva tenker du på? En ondskapsfull hacker som sitter foran skjermer dekket av digital tekst i Matrix-stil? Eller en tenåring i kjelleren som ikke har sett dagslys på tre uker? Hva med en kraftig superdatamaskin som prøver å hacke hele verden?





Hacking handler om én ting: passordet ditt. Hvis noen kan gjette passordet ditt, trenger de ikke fancy hackingsteknikker og superdatamaskiner. De vil bare logge inn og opptre som deg. Hvis passordet ditt er kort og enkelt, er spillet over.



Det er åtte vanlige taktikker hackere bruker for å hacke passordet ditt.





1. Dictionary hack

Først opp i den vanlige passordhacking -taktikkguiden er ordbokangrepet. Hvorfor kalles det et ordbokangrep? Fordi det automatisk prøver hvert ord i en definert 'ordbok' mot passordet. Ordboken er ikke strengt den du brukte på skolen.

Nei. Denne ordboken er faktisk også en liten fil som inneholder de mest brukte passordkombinasjonene. Det inkluderer 123456, qwerty, passord, iloveyou og all-time classic, hunter2.



hvordan laste ned alle Facebook -data

Tabellen ovenfor beskriver de mest lekkede passordene i 2016. Tabellen nedenfor beskriver de mest lekkede passordene i 2020.

Legg merke til likhetene mellom de to - og pass på at du ikke bruker disse utrolig enkle alternativene.



Fordeler: Fort; vil vanligvis låse opp noen fryktelig beskyttede kontoer.

Ulemper: Selv litt sterkere passord vil forbli sikre.



Vær trygg: Bruk et sterkt engangspassord for hver konto, sammen med en passordbehandling app . Med passordbehandling kan du lagre de andre passordene dine i et depot. Deretter kan du bruke et enkelt, latterlig sterkt passord for hvert nettsted.

I slekt: Google Password Manager: Slik kommer du i gang

2. Brute Force

Deretter angriper brute force -angrepet, der en angriper prøver alle mulige tegnkombinasjoner. Forsøkte passord vil matche spesifikasjonene for kompleksitetsreglene, f.eks. inkludert en stor bokstav, en liten bokstav, desimaler av Pi, din pizzaordre og så videre.

Et brute force -angrep vil også prøve de mest brukte alfanumeriske tegnkombinasjonene først også. Disse inkluderer tidligere oppførte passord, samt 1q2w3e4r5t, zxcvbnm og qwertyuiop. Det kan ta veldig lang tid å finne ut et passord ved hjelp av denne metoden, men det avhenger helt av passordets kompleksitet.

Fordeler: Teoretisk sett vil det knekke ethvert passord ved å prøve hver kombinasjon.

Ulemper: Avhengig av passordlengde og vanskelighetsgrad kan det ta ekstremt lang tid. Legg inn noen få variabler som $, &, {, eller], og det er ekstremt vanskelig å finne ut passordet.

Vær trygg: Bruk alltid en variabel kombinasjon av tegn, og der det er mulig, introdusere ekstra symboler for å øke kompleksiteten .

3. Phishing

Dette er ikke strengt tatt et 'hack', men å falle bytte for et phishing- eller spear-phishing-forsøk vil vanligvis ende dårlig. Generelle phishing -e -poster sendes av milliarder til alle slags internettbrukere rundt om i verden.

En phishing -e -post fungerer vanligvis slik:

  1. Målbruker mottar en forfalsket e -post som påstås å være fra en stor organisasjon eller virksomhet.
  2. Forfalsket e -post krever umiddelbar oppmerksomhet, med en lenke til et nettsted.
  3. Denne lenken kobles faktisk til en falsk påloggingsportal, spottet for å se ut akkurat som det legitime nettstedet.
  4. Den intetanende målbrukeren angir påloggingsinformasjonen og blir enten omdirigert eller bedt om å prøve igjen.
  5. Brukerlegitimasjon blir stjålet, solgt eller brukt uhøflig (eller begge deler).

Det daglige spamvolumet som sendes over hele verden er fortsatt høyt, og står for over halvparten av alle e -postmeldinger som sendes globalt. Videre er mengden ondsinnede vedlegg også høyt med Kaspersky merke over 92 millioner ondsinnede vedlegg fra januar til juni 2020. Husk, dette er bare for Kaspersky, så det virkelige tallet er mye høyere .

Tilbake i 2017 var den største phishing -lokken en falsk faktura. Imidlertid utgjorde COVID-19-pandemien i 2020 en ny trussel mot phishing.

I april 2020, ikke lenge etter at mange land gikk inn i pandemisk låsing, Google kunngjort det blokkerte over 18 millioner ondsinnet spam og phishing-e-postmeldinger med COVID-19-tema per dag. Et stort antall av disse e-postene bruker offisiell regjering eller helseorganisasjonens merkevare for legitimitet og fanger ofre på vakt.

Fordeler: Brukeren overleverer bokstavelig talt sin påloggingsinformasjon, inkludert passord-relativt høy treffrate, lett tilpasset spesifikke tjenester eller bestemte personer i et spyd-phishing-angrep.

Ulemper: Søppelpostfiltrering blir lett filtrert, spam -domener svartelistet, og store leverandører som Google oppdaterer konstant beskyttelsen.

Vær trygg: Vær skeptisk til e -post, og øk spamfilteret til det høyeste nivået, eller enda bedre, bruk en proaktiv hviteliste. Bruk en lenkekontroll for å finne ut hvis en e -postkobling er legitim før du klikker.

4. Sosial ingeniørfag

Sosial ingeniørfag er i hovedsak phishing i den virkelige verden, borte fra skjermen.

En sentral del av enhver sikkerhetsrevisjon er å måle hva hele arbeidsstyrken forstår. For eksempel vil et sikkerhetsselskap ringe virksomheten de reviderer. 'Angriperen' forteller personen på telefonen at de er det nye kontoret for teknisk support, og de trenger det siste passordet for noe spesifikt.

En intetanende person kan overlevere nøklene uten en tenkepause.

Det skremmende er hvor ofte dette fungerer. Sosial ingeniørfag har eksistert i århundrer. Å være dobbelt for å få adgang til et sikkert område er en vanlig angrepsmetode og en som bare er beskyttet mot med utdanning.

Dette er fordi angrepet ikke alltid vil be om et passord direkte. Det kan være en falsk rørlegger eller elektriker som ber om adgang til en sikker bygning, og så videre.

Når noen sier at de ble lurt til å avsløre passordet sitt, er det ofte et resultat av sosial konstruksjon.

Fordeler: Dyktige sosiale ingeniører kan hente ut informasjon av høy verdi fra en rekke mål. Den kan distribueres mot nesten hvem som helst, hvor som helst. Det er ekstremt skjult.

Ulemper: En sosial ingeniørfeil kan vekke mistanke om et forestående angrep og usikkerhet om den riktige informasjonen er fremskaffet.

Vær trygg : Dette er vanskelig. Et vellykket sosialteknisk angrep vil være fullført når du skjønner at noe er galt. Utdannelse og bevissthet om sikkerhet er en kjernetiltak. Unngå å legge ut personlig informasjon som senere kan brukes mot deg.

5. Regnbuebord

Et regnbue bord er vanligvis et offlinepassordangrep. For eksempel har en angriper skaffet seg en liste over brukernavn og passord, men de er kryptert. Det krypterte passordet er hasket. Dette betyr at det ser helt annerledes ut enn det opprinnelige passordet.

For eksempel er passordet ditt (forhåpentligvis ikke!) Logmein. Den kjente MD5 -hashen for dette passordet er '8f4047e3233b39e4444e1aef240e80aa.'

Gibberish til deg og I. Men i visse tilfeller vil angriperen kjøre en liste med klartekstpassord gjennom en hashing -algoritme, og sammenligne resultatene med en kryptert passordfil. I andre tilfeller er krypteringsalgoritmen sårbar, og de fleste passord er allerede sprukket, som MD5 (derfor vet vi den spesifikke hashen for 'logmein'.

Dette er hvor regnbuebordet kommer til sin rett. I stedet for å måtte behandle hundretusenvis av potensielle passord og matche den resulterende hashen, er et regnbuetabell et stort sett med forhåndsberegnede algoritmespesifikke hashverdier.

Ved å bruke et regnbue -bord reduseres tiden det tar å knekke et hasket passord drastisk - men det er ikke perfekt. Hackere kan kjøpe forhåndsfylte regnbue -bord med millioner av potensielle kombinasjoner.

Fordeler: Kan finne ut komplekse passord på kort tid; gir hackeren mye makt over visse sikkerhetsscenarier.

Ulemper: Krever stor plass for å lagre det enorme (noen ganger terabyte) regnbuebordet. Angripere er også begrenset til verdiene i tabellen (ellers må de legge til en hel tabell).

hvor lenge skal macbook pro vare

Vær trygg: En annen vanskelig. Rainbow -bord tilbyr et bredt spekter av angrepspotensial. Unngå nettsteder som bruker SHA1 eller MD5 som passord -hashing -algoritme. Unngå nettsteder som begrenser deg til korte passord eller begrenser tegnene du kan bruke. Bruk alltid et komplekst passord.

Relatert: Hvordan fortelle om et nettsted lagrer passord som ren tekst (og hva jeg skal gjøre)

6. Malware/Keylogger

En annen sikker måte å miste påloggingsinformasjonen din er å bli skadet av skadelig programvare. Malware er overalt, med potensial til å gjøre massiv skade. Hvis malware -varianten har en keylogger, kan du finne alle av kontoene dine kompromittert.

Alternativt kan skadelig programvare spesifikt målrette mot private data eller introdusere en ekstern Trojan for å stjele legitimasjonen din.

Fordeler: Tusenvis av malware -varianter, mange tilpassbare, med flere enkle leveringsmetoder. En god sjanse for at et stort antall mål vil bukke under for minst én variant. Det kan gå uoppdaget, slik at ytterligere innhenting av private data og påloggingsinformasjon kan oppnås.

Ulemper: Mulighet for at skadelig programvare ikke fungerer, eller er i karantene før du får tilgang til data; ingen garanti for at data er nyttig.

Vær trygg : Installer og oppdater antivirus og antimalware regelmessig programvare. Vurder nøye nedlastningskildene dine. Ikke klikk deg gjennom installasjonspakker som inneholder bundleware og mer. Hold deg unna forferdelige sider (lettere sagt enn gjort). Bruk skriptblokkeringsverktøy for å stoppe ondsinnede skript.

7. Vurderer

Vurderer bånd til ordbokangrepet. Hvis en hacker retter seg mot en bestemt institusjon eller virksomhet, kan de prøve en rekke passord knyttet til selve virksomheten. Hackeren kunne lese og samle en rekke relaterte begreper - eller bruke en edderkopp for å gjøre jobben for dem.

Du har kanskje hørt begrepet 'edderkopp' før. Disse søkedderkoppene er ekstremt like de som søker gjennom internett og indekserer innhold for søkemotorer. Den tilpassede ordlisten brukes deretter mot brukerkontoer i håp om å finne en match.

Fordeler: Kan potensielt låse opp kontoer for høytstående personer i en organisasjon. Relativt enkelt å sette sammen og gir en ekstra dimensjon til et ordbokangrep.

Ulemper: Kan ende opp uten resultat hvis organisatorisk nettverkssikkerhet er godt konfigurert.

Vær trygg: Igjen, bare bruk sterke, engangspassord som består av tilfeldige strenger; ingenting som knytter seg til din personlighet, virksomhet, organisasjon og så videre.

hvordan du øker ram på macbook pro

8. Skuldersurfing

Det siste alternativet er et av de mest grunnleggende. Hva om noen bare ser seg over skulderen mens du skriver inn passordet ditt?

Skuldersurfing høres litt latterlig ut, men det skjer. Hvis du jobber i en travel sentrumskafé og ikke tar hensyn til omgivelsene, kan noen komme nær nok til å notere passordet ditt mens du skriver.

Fordeler: Lavteknologisk tilnærming til å stjele et passord.

Ulemper: Må identifisere målet før du finner ut passordet; kunne avsløre seg selv i ferd med å stjele.

Vær trygg: Vær oppmerksom på de rundt deg når du skriver passordet ditt. Dekk tastaturet og skjul tastene dine under innspillingen.

Bruk alltid et sterkt, unikt engangspassord

Så hvordan stopper du en hacker som stjeler passordet ditt? Det virkelig korte svaret er det du kan virkelig ikke være 100 prosent trygg . Verktøyene hackere bruker til å stjele dataene dine, endres hele tiden, og det finnes utallige videoer og opplæringsprogrammer for å gjette passord eller lære å hacke et passord.

En ting er sikkert: Å bruke et sterkt, unikt engangspassord skader aldri noen.

Dele Dele kvitring E -post 5 Passordverktøy for å lage sterke passord og oppdatere sikkerheten din

Lag et sterkt passord som du kan huske senere. Bruk disse appene til å oppgradere sikkerheten din med nye sterke passord i dag.

Les neste Relaterte temaer
  • Sikkerhet
  • Passordtips
  • Online sikkerhet
  • Hacking
  • Sikkerhetstips
Om forfatteren Gavin Phillips(945 artikler publisert)

Gavin er Junior Editor for Windows and Technology Explained, en fast bidragsyter til den virkelig nyttige podcasten, og en vanlig produktanmelder. Han har en BA (Hons) Contemporary Writing with Digital Art Practices plyndret fra åsene i Devon, i tillegg til over et tiår med profesjonell skriveopplevelse. Han liker store mengder te, brettspill og fotball.

Mer fra Gavin Phillips

Abonner på vårt nyhetsbrev

Bli med i vårt nyhetsbrev for tekniske tips, anmeldelser, gratis ebøker og eksklusive tilbud!

Klikk her for å abonnere