Ang pag-unawa sa mga diskarte sa pag-crack ng password na ginagamit ng mga hacker upang pumutok nang bukas ang iyong mga online account ay isang mahusay na paraan upang matiyak na hindi ito nangyayari sa iyo.
liga ng mga alamat kung paano ipakita ang ping
Tiyak na palaging kakailanganin mong baguhin ang iyong password, at kung minsan ay mas mapilit kaysa sa iniisip mo, ngunit ang pagpapagaan laban sa pagnanakaw ay isang mahusay na paraan upang manatili sa tuktok ng iyong seguridad sa account. Maaari kang laging magtungo sa www.haveibeenpwned.com upang suriin kung nasa panganib ka, ngunit ang simpleng pag-iisip ng iyong password ay sapat na ligtas upang hindi ma-hack, ay isang masamang pag-iisip na mayroon.
Kaya, upang matulungan kang maunawaan kung paano nakukuha ng mga hacker ang iyong mga password - ligtas o kung hindi man - pinagsama namin ang isang listahan ng nangungunang sampung mga diskarte sa pag-crack ng password na ginamit ng mga hacker. Ang ilan sa mga pamamaraan sa ibaba ay tiyak na lipas na sa panahon, ngunit hindi ito nangangahulugan na hindi pa rin ito ginagamit. Basahing mabuti at alamin kung ano ang dapat mapigilan.
Ang Nangungunang sampung mga diskarte sa pag-crack ng password na ginamit ng mga Hacker
1. Pag-atake sa Diksyonaryo
Ang pag-atake sa diksyunaryo ay gumagamit ng isang simpleng file na naglalaman ng mga salita na maaaring matagpuan sa isang diksyunaryo, kaya't diretso nitong pangalan. Sa madaling salita, ang pag-atake na ito ay gumagamit ng eksaktong uri ng mga salitang ginagamit ng maraming tao bilang kanilang password.
Ang matalinong pagpapangkat ng mga salita nang magkasama tulad ng letmein o superadistratorguy ay hindi pipigilan ang iyong password mula sa pagiging basag sa ganitong paraan - mabuti, hindi hihigit sa ilang dagdag na segundo.
2. Pag-atake ng Brute Force
Katulad ng pag-atake sa diksyonaryo, ang pag-atake ng brute force ay mayroong dagdag na bonus para sa hacker. Sa halip na simpleng paggamit ng mga salita, isang pag-atake ng malupit na puwersa ay hinahayaan silang makita ang mga salitang hindi diksyonaryo sa pamamagitan ng pagtatrabaho sa lahat ng mga posibleng kumbinasyon ng alpha-numeric mula aaa1 hanggang zzz10.
Hindi ito mabilis, sa kondisyon na ang iyong password ay mahigit sa isang bilang ng mga character ang haba, ngunit malalaman nito ang iyong password sa paglaon. Ang pag-atake ng malupit na puwersa ay maaaring paikliin sa pamamagitan ng paghagis ng karagdagang compute horsepower, sa mga tuntunin ng parehong kapangyarihan sa pagproseso - kasama ang paggamit ng lakas ng iyong video card GPU - at mga numero ng makina, tulad ng paggamit ng mga ibinahaging mga modelo ng computing tulad ng mga online bitcoin miner.
3. Pag-atake ng Talahanayan ng Rainbow
Ang mga talahanayan ng bahaghari ay hindi kasing makulay tulad ng maaaring ipahiwatig ng kanilang pangalan ngunit, para sa isang hacker, ang iyong password ay maaaring nasa dulo nito. Sa pinaka-prangkang paraan na posible, maaari mong pakuluan ang isang table ng bahaghari sa isang listahan ng paunang-compute na mga hash - ang numerong halaga na ginamit kapag nag-encrypt ng isang password. Naglalaman ang talahanayan na ito ng mga hash ng lahat ng posibleng mga kombinasyon ng password para sa anumang naibigay na algorithm ng pag-hash. Ang mga talahanayan ng bahaghari ay kaakit-akit dahil binabawasan nito ang oras na kinakailangan upang ma-crack ang isang hash ng password upang tingnan lamang ang isang bagay sa isang listahan.
Gayunpaman, ang mga talahanayan ng bahaghari ay napakalaki, hindi mabibigat na bagay. Nangangailangan ang mga ito ng seryosong kapangyarihan sa computing upang tumakbo at ang isang mesa ay magiging walang silbi kung ang hash na sinusubukan nitong hanapin ay inasnan ng pagdaragdag ng mga random na character sa password nito bago pa ma-hash ang algorithm.
Mayroong pag-uusap tungkol sa inalat na mga lamesa ng bahaghari, ngunit ang mga ito ay magiging napakalaki upang mahirap gamitin sa pagsasanay. Malamang gagana lamang sila sa isang paunang natukoy na random na hanay ng character at mga string ng password sa ibaba 12 character dahil ang laki ng talahanayan ay magiging ipinagbabawal sa kahit na mga hacker sa antas ng estado kung hindi man.
4. Phishing
Mayroong isang madaling paraan upang mag-hack, tanungin ang gumagamit para sa kanyang password. Ang isang email sa phishing ay hahantong sa hindi mapag-alaman na mambabasa sa isang spoofed na pag-log in na pahina na nauugnay sa anumang serbisyo na nais ng hacker na i-access, kadalasan sa pamamagitan ng paghingi sa gumagamit na mailagay ang ilang kakila-kilabot na problema sa kanilang seguridad. Ang pahina na iyon pagkatapos ay i-skims ang kanilang password at ang hacker ay maaaring gamitin ito para sa kanilang sariling layunin.
Bakit mag-abala sa pagpunta sa problema ng pag-crack ng password kung gayon ay maligayang ibibigay ito ng gumagamit sa iyo pa rin?
5. Social Engineering
Kinukuha ng social engineering ang buong tinanong ang konsepto ng gumagamit sa labas ng inbox na ang phishing ay may gawi na manatili at sa totoong mundo.
Ang isang paborito ng social engineer ay tumawag sa isang opisina na nagpapanggap bilang isang IT security tech na tao at hihilingin lamang ang password sa pag-access sa network. Mamangha ka sa kung gaano ito kadalas gumagana. Ang ilan ay mayroon ding kinakailangang mga gonad upang magbigay ng isang suit at pangalanan na badge bago maglakad sa isang negosyo upang tanungin ang mga tumatanggap sa parehong tanong nang harapan.
6. Malware
Ang isang keylogger, o screen scraper, ay maaaring mai-install ng malware na nagtatala ng lahat ng iyong nai-type o kumukuha ng mga screenshot sa panahon ng isang proseso ng pag-login, at pagkatapos ay pasulong ang isang kopya ng file na ito sa sentral ng hacker.
Hahanapin ng ilang malware ang pagkakaroon ng isang file ng password ng client ng web browser at kokopyahin ito na, maliban kung maayos na naka-encrypt, maglalaman ng madaling ma-access na naka-save na mga password mula sa kasaysayan ng pagba-browse ng gumagamit.
7. Offline Cracking
Madaling isipin na ang mga password ay ligtas kapag ang mga system na pinoprotektahan ang pag-lock ang mga gumagamit pagkatapos ng tatlo o apat na maling hula, na humahadlang sa mga awtomatikong application ng paghula. Kaya, totoo iyon kung hindi dahil sa ang katunayan na ang karamihan sa pag-hack ng password ay nagaganap nang offline, gamit ang isang hanay ng mga hash sa isang file ng password na 'nakuha' mula sa isang nakompromisong system.
Kadalasan ang pinag-uusapan na target ay nakompromiso sa pamamagitan ng isang pag-hack sa isang third party, na pagkatapos ay nagbibigay ng pag-access sa mga server ng system at ang mga pinakamahalagang file ng hash ng password ng gumagamit. Ang cracker ng password ay maaaring tumagal hangga't kailangan nilang subukan at i-crack ang code nang hindi binabalaan ang target na system o indibidwal na gumagamit.
8. Surfing sa Balikat
Ang isa pang anyo ng panlipunang inhinyeriya, pag-surf sa balikat, tulad din ng ipinahihiwatig nito, nagsasama ng pagsilip sa balikat ng isang tao habang pumapasok sila sa mga kredensyal, password, atbp. Bagaman ang konsepto ay napakababa ng tech, magugulat ka kung gaano karaming mga password at sensitibong impormasyon ninakaw sa ganitong paraan, kaya manatiling may kamalayan ng iyong paligid kapag nag-a-access sa mga bank account, atbp.
Ang pinaka-tiwala sa mga hacker ay kukuha ng isang parsel courier, technician ng aircon service, o anumang bagay na makakapag-access sa kanila sa isang gusali ng tanggapan. Kapag nakapasok na sila, ang uniporme ng mga tauhan ng serbisyo ay nagbibigay ng isang uri ng libreng pass upang gumala sa paligid na walang hadlang, at gumawa ng tala ng mga password na ipinasok ng tunay na mga miyembro ng kawani. Nagbibigay din ito ng isang mahusay na pagkakataon upang eyeball lahat ng mga tala ng post-it na natigil sa harap ng mga LCD screen na may nakasulat na mga pag-login sa kanila.
9. Spidering
Ang mga savvy hacker ay napagtanto na maraming mga password ng kumpanya ay binubuo ng mga salitang nakakonekta sa mismong negosyo. Ang pag-aaral ng panitikan ng kumpanya, materyal sa pagbebenta ng website, at maging ang mga website ng mga kakumpitensya at nakalistang mga customer ay maaaring magbigay ng bala upang bumuo ng isang pasadyang listahan ng salita na gagamitin sa isang mabangis na atake.
Ang tunay na matalinong mga hacker ay na-automate ang proseso at hinayaan ang isang spidering application, katulad ng mga web crawler na nagtatrabaho ng nangungunang mga search engine upang kilalanin ang mga keyword, kolektahin at kolektahin ang mga listahan para sa kanila.
10. Hulaan
Ang matalik na kaibigan ng mga crackers ng password, siyempre, ay ang kakayahang mahulaan ng gumagamit. Maliban kung ang isang tunay na random na password ay nalikha gamit ang software na nakatuon sa gawain, ang isang 'random' na password na binuo ng gumagamit ay malamang na hindi maging anupaman sa uri.
Sa halip, salamat sa emosyonal na pagkakabit ng aming talino sa mga bagay na gusto namin, ang mga pagkakataon na ang mga random na password ay nakabatay sa aming mga interes, libangan, alagang hayop, pamilya, at iba pa. Sa katunayan, ang mga password ay may posibilidad na batay sa lahat ng mga bagay na nais naming makipag-chat tungkol sa mga social network at isama pa sa aming mga profile. Ang mga crackers ng password ay malamang na tingnan ang impormasyong ito at gumawa ng ilang - madalas na tama - edukado na mga hula kapag sinusubukang i-crack ang isang password sa antas ng consumer nang hindi gumagamit ng mga pag-atake sa diksyonaryo o malupit na puwersa.
Iba Pang Pag-atake upang Mag-ingat Sa
Kung ang mga hacker ay walang kakulangan, hindi ito pagkamalikhain. Paggamit ng iba't ibang mga diskarte at pag-aangkop sa patuloy na pagbabago ng mga security security, ang mga interloper na ito ay patuloy na nagtatagumpay.
Halimbawa, ang sinuman sa Social Media ay malamang na nakita ang mga nakakatuwang mga pagsusulit at template na humihiling sa iyo na pag-usapan ang tungkol sa iyong unang kotse, iyong paboritong pagkain, ang numero unong kanta sa iyong ika-14 na kaarawan. Habang ang mga larong ito ay tila hindi nakakasama at tiyak na masaya silang mai-post, talagang isang bukas silang template para sa mga katanungan sa seguridad at mga sagot sa pag-verify sa pag-access sa account.
Kapag nagse-set up ng isang account, marahil subukang gumamit ng mga sagot na hindi talaga nauugnay sa iyo ngunit, na madali mong matandaan. Ano ang iyong unang kotse? Sa halip na sagutin ang totoo, ilagay mo na lang ang pangarap mong kotse. Kung hindi man, huwag lamang mag-post ng anumang mga sagot sa seguridad sa online.
Ang isa pang paraan upang makakuha ng pag-access ay simpleng pag-reset ng iyong password. Ang pinakamahusay na linya ng depensa laban sa isang interloper na pag-reset ng iyong password ay ang paggamit ng isang email address na madalas mong suriin at mapanatili ang iyong impormasyon sa pakikipag-ugnay. Kung magagamit, palaging paganahin ang pagpapatotoo ng 2-factor. Kahit na matutunan ng hacker ang iyong password, hindi nila ma-access ang account nang walang natatanging code sa pag-verify.
Mga Madalas Itanong
Bakit kailangan ko ng ibang password para sa bawat site?
Marahil alam mo na hindi mo dapat ibigay ang iyong mga password at hindi ka dapat mag-download ng anumang nilalaman na hindi mo pamilyar, ngunit paano ang mga account na nag-sign in ka araw-araw? Ipagpalagay na gumagamit ka ng parehong password para sa iyong bank account na ginagamit mo para sa isang di-makatwirang account tulad ng Grammarly. Kung ang Grammarly ay na-hack, ang gumagamit ay mayroon ding iyong password sa pagbabangko (at posibleng ang iyong email na ginagawang mas madali upang makakuha ng pag-access sa lahat ng iyong mga mapagkukunang pampinansyal).
Ano ang maaari kong gawin upang maprotektahan ang aking mga account?
Ang paggamit ng 2FA sa anumang mga account na nag-aalok ng tampok, paggamit ng natatanging mga password para sa bawat account, at paggamit ng isang halo ng mga titik at simbolo ay ang pinakamahusay na linya ng depensa laban sa mga hacker. Tulad ng nakasaad dati, maraming iba't ibang mga paraan upang makakuha ng pag-access ang mga hacker sa iyong mga account, kaya ang iba pang mga bagay na kailangan mong tiyakin na regular mong ginagawa ay pinapanatili ang iyong software at mga app na napapanahon (para sa mga patch ng seguridad) at pag-iwas sa anumang mga pag-download na hindi mo pamilyar.
Ano ang pinakaligtas na paraan upang mapanatili ang mga password?
Ang pagsunod sa ilang mga natatanging kakaibang mga password ay maaaring maging hindi kapani-paniwalang mahirap. Bagaman mas mahusay na dumaan sa proseso ng pag-reset ng password kaysa sa makompromiso ang iyong mga account, gugugol ng oras. Upang mapanatiling ligtas ang iyong mga password maaari kang gumamit ng isang serbisyo tulad ng Last Pass o KeePass upang mai-save ang lahat ng iyong mga password sa account.
Maaari mo ring gamitin ang isang natatanging algorithm upang mapanatili ang iyong mga password habang ginagawang mas madaling alalahanin ang mga ito. Halimbawa, ang PayPal ay maaaring isang bagay tulad ng hwpp + c832. Mahalaga, ang password na ito ay ang unang titik ng bawat pahinga sa URL (https://www.paypal.com) na may huling numero sa taon ng kapanganakan ng lahat sa iyong tahanan (tulad ng isang halimbawa). Kapag nagpunta ka upang mag-log in sa iyong account, tingnan ang URL na magbibigay sa iyo ng mga unang ilang titik ng password na ito.
Magdagdag ng mga simbolo upang gawing mas mahirap i-hack ang iyong password ngunit ayusin ang mga ito upang mas madaling matandaan ang mga ito. Halimbawa, ang simbolo ng + ay maaaring para sa anumang mga account na nauugnay sa aliwan habang ang! maaaring magamit para sa mga financial account.
