Pochopení technik prolomení hesla, které hackeři používají k otevření vašich online účtů dokořán, je skvělý způsob, jak zajistit, aby se vám to nikdy nestalo.
USB pevný disk se nezobrazuje
Určitě budete vždy muset změnit své heslo a někdy i naléhavěji, než si myslíte, ale zmírnění rizika krádeže je skvělý způsob, jak si udržet přehled o zabezpečení svého účtu. Vždy se můžete vydat www.haveibeenpwned.com zkontrolovat, zda vám nehrozí riziko, ale prostě si myslíte, že vaše heslo je dostatečně bezpečné, aby vás nemohlo hacknout, je špatné myšlení.
Abychom vám pomohli pochopit, jak hackeři získávají vaše hesla - bezpečná nebo jiná - sestavili jsme seznam deseti nejlepších technik prolomení hesel, které hackeři používají. Některé z níže uvedených metod jsou jistě zastaralé, ale to neznamená, že se stále nepoužívají. Přečtěte si pozorně a zjistěte, proti čemu se můžete zmírnit.
Deset nejlepších technik prolomení hesla, které používají hackeři
1. Slovníkový útok
Útok slovníku používá jednoduchý soubor obsahující slova, která lze najít ve slovníku, a proto jeho poměrně přímočarý název. Jinými slovy, tento útok používá přesně ten druh slov, který mnoho lidí používá jako své heslo.
Chytré seskupení slov, například letmein nebo superadministratorguy, nezabrání tomu, aby vaše heslo bylo takto prolomeno - tedy ne déle než několik sekund navíc.
2. Brute Force Attack
Podobně jako útok slovníku, útok hrubou silou přichází s bonusem pro hackera. Místo pouhého použití slov jim útok hrubou silou umožňuje detekovat slova, která nejsou ve slovníku, a to prostřednictvím všech možných alfanumerických kombinací od aaa1 po zzz10.
Není to rychlé, pokud vaše heslo přesahuje několik znaků, ale nakonec to heslo odhalí. Útoky hrubou silou lze zkrátit tím, že vrhnete další výpočetní výkon, a to jak z hlediska výpočetního výkonu - včetně využití výkonu grafického procesoru vaší grafické karty -, tak z hlediska počtu strojů, například pomocí distribuovaných výpočetních modelů, jako jsou online bitcoinoví horníci.
3. Duhový útok na stůl
Duhové stoly nejsou tak barevné, jak by jejich název mohl naznačovat, ale pro hackera může být vaše heslo na konci. Nejpřímějším možným způsobem můžete uvést duhovou tabulku dolů do seznamu předpočítaných hashů - číselná hodnota použitá při šifrování hesla. Tato tabulka obsahuje hodnoty hash všech možných kombinací hesel pro daný hashovací algoritmus. Duhové tabulky jsou atraktivní, protože zkracují čas potřebný k prolomení hodnoty hash hesla, takže stačí jen vyhledat něco v seznamu.
Duhové stoly jsou však obrovské a nepraktické věci. K provozu potřebují vážnou výpočetní sílu a tabulka se stane nepoužitelnou, pokud hash, který se pokouší najít, byl osolen přidáním náhodných znaků do hesla před hashováním algoritmu.
Mluví se o solených duhových stolech, ale ty by byly tak velké, že by bylo obtížné je v praxi použít. Pravděpodobně by pracovali pouze s předdefinovanou náhodnou znakovou sadou a řetězci hesel pod 12 znaků, protože velikost tabulky by byla pro ostatní hackery na úrovni státu neúnosná.
4. Phishing
Existuje snadný způsob hackování, požádejte uživatele o heslo. Phishingový e-mail vede nic netušícího čtenáře na falešnou přihlašovací stránku spojenou s jakoukoli službou, ke které chce hacker přistupovat, obvykle tak, že požádá uživatele, aby napravil hrozný problém s jejich zabezpečením. Tato stránka pak skimuje jejich heslo a hacker je může použít k vlastnímu účelu.
Proč byste se měli obtěžovat tím, že prolomíte heslo, když vám jej uživatel stejně šťastně dá?
5. Sociální inženýrství
Sociální inženýrství převezme celý koncept uživatele mimo doručenou poštu, který phishing má tendenci držet se a do reálného světa.
Oblíbeným sociálním technikem je zavolat do kanceláře a vydávat se za technologa v oblasti zabezpečení IT a jednoduše požádat o heslo pro přístup k síti. Byli byste překvapeni, jak často to funguje. Někteří dokonce mají potřebné pohlavní žlázy, aby si mohli obléknout jmenovku a jmenovku, než vstoupí do podniku a zeptají se recepční na stejnou otázku tváří v tvář.
6. Malware
Keylogger nebo škrabka na obrazovku může být nainstalován malwarem, který zaznamenává vše, co napíšete, nebo pořídí snímky obrazovky během procesu přihlášení, a poté předá kopii tohoto souboru hackerské centrále.
Některý malware vyhledá existenci souboru hesla klienta webového prohlížeče a zkopíruje jej, který, pokud nebude správně zašifrován, bude obsahovat snadno přístupná uložená hesla z historie procházení uživatele.
7. Praskání offline
Je snadné si představit, že hesla jsou bezpečná, když systémy, které chrání, blokují uživatele po třech nebo čtyřech nesprávných odhadech, které blokují aplikace automatického hádání. To by byla pravda, kdyby nebylo skutečnosti, že většina hackerů hesel probíhá offline, pomocí sady hodnot hash v souboru hesel, který byl „získán“ z napadeného systému.
Dotčený cíl byl často napaden hacknutím na třetí stranu, která pak poskytuje přístup k systémovým serverům a všem důležitým hash souborům uživatelských hesel. Cracker hesel pak může trvat tak dlouho, dokud se nepokusí prolomit kód, aniž by varoval cílový systém nebo jednotlivého uživatele.
8. Procházení ramen
Jiná forma sociálního inženýrství, surfování přes rameno, jak už z toho vyplývá, znamená pokukování přes ramena člověka při zadávání přihlašovacích údajů, hesel atd. Ačkoli je tento koncept velmi nízký, překvapilo by vás, kolik hesel a citlivých informací je odcizena tímto způsobem, takže při přístupu k bankovním účtům atd. zůstaňte v obraze o svém okolí.
Nejdůvěryhodnější z hackerů se převleče za kurýra, technika letecké dopravy nebo cokoli jiného, co jim zajistí přístup do kancelářské budovy. Jakmile jsou dovnitř, uniforma servisního personálu poskytuje jakýsi volný průchod, aby se mohla nerušeně procházet a zaznamenávat hesla zadávaná skutečnými zaměstnanci. Poskytuje také vynikající příležitost k oční bulvě všech těch post-it poznámek přilepených na přední stranu LCD obrazovek s přiškrcenými přihlašovacími údaji.
9. Spidering
Zdatní hackeři si uvědomili, že mnoho firemních hesel se skládá ze slov, která jsou spojena se samotným podnikáním. Studium firemní literatury, prodejních materiálů na webových stránkách a dokonce i webových stránek konkurentů a uvedených zákazníků může poskytnout munici k vytvoření vlastního seznamu slov, který lze použít při útoku hrubou silou.
Opravdu důvtipní hackeři tento proces automatizovali a nechali spiderující aplikaci, podobnou webovým prohledávačům, které používají přední vyhledávače k identifikaci klíčových slov, shromažďování a sestavování seznamů pro ně.
10. Hádej
Nejlepším přítelem crackerů hesel je samozřejmě předvídatelnost uživatele. Pokud nebylo pomocí softwaru vyhrazeného pro tento úkol vytvořeno skutečně náhodné heslo, je nepravděpodobné, že by heslo vytvořené uživatelem bylo „něco takového“.
Místo toho díky emocionální vazbě našich mozků na věci, které se nám líbí, je pravděpodobné, že tato náhodná hesla budou založena na našich zájmech, koníčcích, mazlíčcích, rodině atd. Ve skutečnosti jsou hesla obvykle založena na všech věcech, o kterých si rádi povídáme na sociálních sítích, a dokonce je zahrnujeme do našich profilů. Je velmi pravděpodobné, že crackery hesel tyto informace prozkoumají a učiní několik - často správných - poučených odhadů při pokusu o prolomení hesla na úrovni spotřebitele, aniž by se uchýlily ke slovníku nebo útokům hrubou silou.
Další útoky, na které je třeba si dávat pozor
Pokud hackerům něco chybí, není to kreativita. Pomocí různých technik a přizpůsobením se neustále se měnícím bezpečnostním protokolům tito vetřelci nadále uspějí.
Například kdokoli na sociálních médiích pravděpodobně viděl zábavné kvízy a šablony, které vás žádají, abyste si promluvili o svém prvním autě, vašem oblíbeném jídle a písni číslo jedna k vašim 14. narozeninám. I když se tyto hry zdají neškodné a zveřejňování je určitě zábavné, ve skutečnosti představují otevřenou šablonu pro bezpečnostní otázky a odpovědi na ověření přístupu k účtu.
Při vytváření účtu možná zkuste použít odpovědi, které se vás ve skutečnosti netýkají, ale které si snadno pamatujete. Jaké bylo vaše první auto? Místo toho, abyste odpověděli pravdivě, vložte místo toho své vysněné auto. Jinak jednoduše nezveřejňujte žádné bezpečnostní odpovědi online.
Dalším způsobem, jak získat přístup, je jednoduše resetovat heslo. Nejlepší možností obrany proti vetřelci, kteří resetují vaše heslo, je používání e-mailové adresy, kterou často kontrolujete, a udržování aktuálních kontaktních údajů. Pokud je k dispozici, vždy povolte dvoufaktorové ověřování. I když se hacker naučí vaše heslo, nebude mít přístup k účtu bez jedinečného ověřovacího kódu.
Často kladené otázky
Proč potřebuji pro každé stránky jiné heslo?
Pravděpodobně víte, že byste neměli rozdávat svá hesla a neměli byste stahovat žádný obsah, který neznáte, ale co účty, do kterých se každý den přihlašujete? Předpokládejme, že používáte stejné heslo pro svůj bankovní účet, které používáte pro libovolný účet, jako je Grammarly. Pokud je Grammarly napaden, má uživatel také vaše bankovní heslo (a možná i váš e-mail, což ještě více usnadňuje přístup ke všem vašim finančním zdrojům).
Co mohu udělat pro ochranu svých účtů?
Nejlepší metodou ochrany proti hackerům je použití služby 2FA na jakýchkoli účtech, které tuto funkci nabízejí, používání jedinečných hesel pro každý účet a kombinace písmen a symbolů. Jak již bylo řečeno, existuje mnoho různých způsobů, jak hackeři získají přístup k vašim účtům, takže další věci, které potřebujete, abyste se ujistili, že děláte pravidelně, udržují váš software a aplikace aktuální (pro bezpečnostní záplaty) a vyhnout se stahování, které nejste obeznámeni.
Jaký je nejbezpečnější způsob uchovávání hesel?
Udržet krok s několika jedinečně podivnými hesly může být neuvěřitelně obtížné. I když je mnohem lepší projít procesem obnovení hesla, než je kompromitovat vaše účty, je to časově náročné. Aby byla vaše hesla v bezpečí, můžete k uložení všech hesel k účtu použít službu jako Last Pass nebo KeePass.
Můžete také použít jedinečný algoritmus k uchování hesel a jejich snazšímu zapamatování. Například PayPal může být něco jako hwpp + c832. V zásadě je toto heslo prvním písmenem každého přerušení adresy URL (https://www.paypal.com) s posledním číslem v roce narození každého ve vaší domácnosti (jen jako příklad). Když se přihlásíte ke svému účtu, podívejte se na adresu URL, která vám dá několik prvních písmen tohoto hesla.
Přidejte symboly, aby bylo vaše heslo ještě obtížnější hackovat, ale uspořádejte je tak, aby byly lépe zapamatovatelné. Například symbol + může být pro všechny účty související se zábavou, zatímco! lze použít pro finanční účty.