Ang 8 Karaniwang Mga Trick na Ginamit upang Mag-hack ng Mga Password

Ang 8 Karaniwang Mga Trick na Ginamit upang Mag-hack ng Mga Password

Kapag naririnig mo ang 'paglabag sa seguridad,' ano ang nasa isip mo? Isang malevolent hacker na nakaupo sa harap ng mga screen na sakop sa Matrix na digital na teksto? O isang basement na naninirahan sa basement na hindi pa nakakakita ng ilaw sa loob ng tatlong linggo? Paano ang tungkol sa isang makapangyarihang supercomputer na nagtatangkang i-hack ang buong mundo?





Ang pag-hack ay tungkol sa isang bagay: ang iyong password. Kung mahuhulaan ng isang tao ang iyong password, hindi nila kailangan ang magarbong mga diskarte sa pag-hack at mga supercomputer. Mag-log in lang sila, gumaganap bilang ikaw. Kung ang iyong password ay maikli at simple, tapos na ang laro.



Mayroong walong mga karaniwang taktika na ginagamit ng mga hacker upang i-hack ang iyong password.





1. Hack Hack

Una sa karaniwang gabay sa taktika ng pag-hack ng password ay ang pag-atake sa diksyunaryo. Bakit ito tinawag na isang atake sa diksyonaryo? Sapagkat awtomatiko nitong sinusubukan ang bawat salita sa isang tinukoy na 'diksyonaryo' laban sa password. Ang diksyunaryo ay hindi mahigpit na ginamit mo sa paaralan.

Hindi. Ang diksyunaryo na ito ay talagang isang maliit na file na naglalaman ng pinakakaraniwang ginagamit na mga kombinasyon ng password, din. Kasama rito ang 123456, qwerty, password, iloveyou, at all-time classic, hunter2.



kailangan mo ng pahintulot upang maisagawa ang pagkilos na ito windows 10 tanggalin ang folder

Ang detalye sa talahanayan sa itaas ay nagdetalye ng mga pinaka-leak na password noong 2016. Sa ibaba sa talahanayan ay detalyado ang pinaka-leak na mga password noong 2020.

Tandaan ang pagkakapareho ng dalawa — at tiyaking hindi mo gagamitin ang mga hindi kapani-paniwalang simpleng pagpipilian na ito.



Mga kalamangan: Mabilis; Karaniwan ay mag-a-unlock ang ilang mga nakamamanghang protektadong account.

Kahinaan: Kahit na ang bahagyang mas malakas na mga password ay mananatiling ligtas.



Manatiling ligtas: Gumamit ng isang malakas na solong paggamit ng password para sa bawat account, kasabay ng a app sa pamamahala ng password . Hinahayaan ka ng tagapamahala ng password na iimbak ang iyong iba pang mga password sa isang lalagyan. Pagkatapos ay maaari kang gumamit ng isang solong, nakakatawang malakas na password para sa bawat site.

Kaugnay: Google Password Manager: Paano Magsimula

2. Malupit na puwersa

Susunod, ang atake ng malupit na puwersa, kung saan susubukan ng isang magsasalakay ang bawat posibleng kumbinasyon ng character. Ang mga pagsubok na password ay tutugma sa mga pagtutukoy para sa mga panuntunan sa pagiging kumplikado, hal. kabilang ang isang pang-itaas na kaso, isang maliit na kaso, mga decimal ng Pi, ang iyong order sa pizza, at iba pa.

Susubukan din ng isang brute force na atake ang pinaka karaniwang ginagamit na mga kumbinasyon ng character na alphanumeric din muna. Kabilang dito ang dati nang nakalista na mga password, pati na rin ang 1q2w3e4r5t, zxcvbnm, at qwertyuiop. Maaari itong tumagal ng isang napakahabang oras upang malaman ang isang password gamit ang pamamaraang ito, ngunit ganap na nakasalalay sa pagiging kumplikado ng password.

Mga kalamangan: Sa teoretikal, ito ay pumutok sa anumang password sa pamamagitan ng pagsubok ng bawat kumbinasyon.

Kahinaan: Nakasalalay sa haba ng password at kahirapan, maaaring tumagal ng isang mahabang panahon. Magtapon ng ilang mga variable tulad ng $, &, {, o], at pag-uunawaang ang password ay naging napakahirap.

Manatiling ligtas: Palaging gumamit ng isang variable na kumbinasyon ng mga character, at kung saan posible, ipakilala ang labis na mga simbolo upang madagdagan ang pagiging kumplikado .

3. Phishing

Hindi ito mahigpit na isang 'hack,' ngunit ang mabiktima ng isang pagtatangka sa phishing o spear-phishing ay karaniwang matatapos nang masama. Ang mga pangkalahatang email sa phishing ay ipinapadala ng bilyun-bilyong sa lahat ng uri ng mga gumagamit ng internet sa buong mundo.

Ang isang email sa phishing ay karaniwang gumagana tulad nito:

  1. Tumatanggap ang target na gumagamit ng isang spoofed na email na nagsasabing magmula sa isang pangunahing samahan o negosyo.
  2. Ang spoofed email ay nangangailangan ng agarang pansin, na nagtatampok ng isang link sa isang website.
  3. Ang link na ito ay talagang kumokonekta sa isang pekeng portal ng pag-login, kinutya upang lumitaw nang eksaktong kapareho ng lehitimong site.
  4. Ang hindi pinaghihinalaang target na gumagamit ay pumapasok sa kanilang mga kredensyal sa pag-login at alinman sa muling pag-redirect o sinabi na subukang muli.
  5. Ang mga kredensyal ng gumagamit ay ninakaw, ipinagbibili, o ginamit nang masama (o pareho).

Ang pang-araw-araw na dami ng spam na ipinadala sa buong mundo ay nananatiling mataas, na tumutukoy sa higit sa kalahati ng lahat ng mga email na ipinadala sa buong mundo. Bukod dito, ang dami ng mga nakakahamak na attachment ay mataas din, kasama ang Kaspersky pagpuna higit sa 92 milyong nakakahamak na mga attachment mula Enero hanggang Hunyo 2020. Tandaan, para lamang ito sa Kaspersky, kaya ang totoong bilang ay mas mataas .

Bumalik sa 2017, ang pinakamalaking pang-akit sa phishing ay isang pekeng invoice. Gayunpaman, noong 2020, ang pandamdam ng COVID-19 ay nagbigay ng isang bagong banta sa phishing.

Noong Abril 2020, hindi nagtagal matapos ang maraming mga bansa ay napunta sa pandemic lockdown, Google inihayag hinaharangan nito ang higit sa 18 milyong may temang nakakahamak na spam at mga phishing na email sa COVID-19 bawat araw. Napakalaking bilang ng mga email na ito ang gumagamit ng opisyal na tatak ng gobyerno o samahan sa kalusugan para sa pagiging lehitimo at mahuli ang mga biktima.

Mga kalamangan: Ang gumagamit ay literal na nagbibigay ng kanilang impormasyon sa pag-login, kasama ang mga password — medyo mataas na rate ng hit, madaling iniakma sa mga tukoy na serbisyo o partikular na tao sa isang pag-atake ng sibat-phishing.

Kahinaan: Madaling masala ang mga spam email, naka-blacklist ang mga domain ng spam, at mga pangunahing tagabigay tulad ng Google na patuloy na nag-a-update ng mga proteksyon.

Manatiling ligtas: Manatiling may pag-aalinlangan sa mga email, at taasan ang iyong spam filter sa pinakamataas na setting o, mas mabuti pa, gumamit ng isang maagap na whitelist. Gamitin isang link checker upang matiyak kung ang isang link sa email ay lehitimo bago mag-click.

4. Social Engineering

Ang social engineering ay mahalagang phishing sa totoong mundo, malayo sa screen.

Ang isang pangunahing bahagi ng anumang audit sa seguridad ay sinusukat kung ano ang naiintindihan ng buong workforce. Halimbawa, isang telepono ang isang kumpanya ng seguridad ay magpapadala ng telepono sa negosyo na kanilang ini-audit. Sinasabi ng 'mang-atake' sa tao sa telepono na sila ang bagong koponan ng suporta sa tech ng tanggapan, at kailangan nila ang pinakabagong password para sa isang tukoy na bagay.

Ang isang hindi mapag-aalinlanganan na indibidwal ay maaaring ibigay ang mga key nang walang pag-pause para mag-isip.

Ang nakakatakot na bagay ay kung gaano ito kadalas gumagana. Ang social engineering ay mayroon nang daang siglo. Ang pagiging duplicate upang makakuha ng pagpasok sa isang ligtas na lugar ay isang pangkaraniwang paraan ng pag-atake at isa na binabantayan lamang laban sa edukasyon.

Ito ay sapagkat ang pag-atake ay hindi palaging hihiling ng direkta para sa isang password. Maaari itong isang pekeng tubero o elektrisyan na humihiling ng pagpasok sa isang ligtas na gusali, at iba pa.

Kapag sinabi ng isang tao na naloko sila sa pagbubunyag ng kanilang password, madalas na ito ang resulta ng social engineering.

Mga kalamangan: Ang mga may kasanayang social engineer ay maaaring kumuha ng impormasyong may mataas na halaga mula sa isang hanay ng mga target. Maaari itong i-deploy laban sa halos lahat, saanman. Ito ay lubos na nakawin.

Kahinaan: Ang pagkabigo sa isang social engineering ay maaaring magtaas ng mga hinala tungkol sa isang paparating na pag-atake, at walang katiyakan kung ang wastong impormasyon ay nakuha.

Manatiling ligtas : Ito ay isang nakakalito. Ang isang matagumpay na pag-atake sa social engineering ay kumpleto sa oras na mapagtanto mong may mali. Ang kamalayan sa edukasyon at seguridad ay isang pangunahing taktika ng pagpapagaan. Iwasang mag-post ng personal na impormasyon na maaaring magamit laban sa iyo sa paglaon.

5. Talaan ng Rainbow

Ang isang talahanayan ng bahaghari ay karaniwang isang pag-atake sa offline na password. Halimbawa, ang isang umaatake ay nakakuha ng isang listahan ng mga pangalan ng gumagamit at password, ngunit naka-encrypt ang mga ito. Ang naka-encrypt na password ay na-hash. Nangangahulugan ito na mukhang ganap itong naiiba mula sa orihinal na password.

Halimbawa, ang iyong password ay (sana hindi!) Logmein. Ang kilalang hash ng MD5 para sa password na ito ay '8f4047e3233b39e4444e1aef240e80aa.'

Gibberish sa iyo at ako. Ngunit sa ilang mga kaso, ang magsasalakay ay magpapatakbo ng isang listahan ng mga password ng plaintext sa pamamagitan ng isang hashing algorithm, ihinahambing ang mga resulta laban sa isang naka-encrypt na file ng password. Sa ibang mga kaso, ang encryption algorithm ay mahina, at ang karamihan sa mga password ay basag na, tulad ng MD5 (kaya't alam natin ang tukoy na hash para sa 'logmein.'

Dito nagmumula ang table ng bahaghari. Sa halip na iproseso ang daan-daang libu-libong mga potensyal na password at itugma ang kanilang nagresultang hash, ang isang table ng bahaghari ay isang malaking hanay ng mga precomputadong mga halagang hash na tukoy sa algorithm.

Ang paggamit ng isang table ng bahaghari ay nababawasan nang husto ang oras na kinakailangan upang ma-crack ang isang hash password — ngunit hindi ito perpekto. Maaaring bumili ang mga hacker ng mga prefilled na table ng bahaghari na pinamumunuan ng milyun-milyong mga potensyal na pagsasama.

Mga kalamangan: Maaaring malaman ang mga kumplikadong password sa isang maikling oras; binibigyan ang hacker ng maraming kapangyarihan sa ilang mga sitwasyon sa seguridad.

Kahinaan: Nangangailangan ng isang malaking halaga ng puwang upang maiimbak ang napakalaking (minsan terabytes) na rainbow table. Gayundin, ang mga umaatake ay limitado sa mga halagang nilalaman sa talahanayan (kung hindi man, dapat silang magdagdag ng isa pang buong talahanayan).

kung paano makakuha ng youtube upang ihinto ang pagrekomenda ng mga video

Manatiling ligtas: Isa pang nakakalito. Nag-aalok ang mga table ng bahaghari ng isang malawak na hanay ng mga potensyal na umaatake. Iwasan ang anumang mga site na gumagamit ng SHA1 o MD5 bilang kanilang algorithm sa pag-hash ng password. Iwasan ang anumang mga site na naglilimita sa iyo sa mga maikling password o pinaghihigpitan ang mga character na maaari mong gamitin. Palaging gumamit ng isang kumplikadong password.

Kaugnay: Paano Sasabihin Kung ang isang Site ay Nag-iimbak ng Mga Password bilang Plaintext (At Ano ang Gagawin)

6. Malware / Keylogger

Ang isa pang tiyak na paraan upang mawala ang iyong mga kredensyal sa pag-login ay ang mabagsak ng malware. Ang malware ay nasa lahat ng dako, na may potensyal na makagawa ng napakalaking pinsala. Kung ang variant ng malware ay nagtatampok ng isang keylogger, maaari mong makita lahat ng iyong mga account na nakompromiso.

Bilang kahalili, maaaring partikular na ma-target ng malware ang pribadong data o magpakilala ng isang malayuang pag-access sa Trojan upang nakawin ang iyong mga kredensyal.

Mga kalamangan: Libu-libong mga variant ng malware, maraming napapasadyang, na may maraming madaling paraan ng paghahatid. Ang isang magandang pagkakataon ng isang mataas na bilang ng mga target ay susuko sa hindi bababa sa isang variant. Maaari itong mapuntahan, na pinapayagan ang karagdagang pag-aani ng pribadong data at mga kredensyal sa pag-login.

Kahinaan: Pagkakataon na hindi gagana ang malware, o na-quarantine bago mag-access ng data; walang garantiya na kapaki-pakinabang ang data.

Manatiling ligtas : I-install at regular na i-update ang iyong antivirus at antimalware software. Maingat na isaalang-alang ang iyong mga mapagkukunan sa pag-download. Huwag mag-click sa pamamagitan ng mga pakete sa pag-install na naglalaman ng bundleware at marami pa. Umiwas sa mga nakakasamang site (mas madaling sabihin kaysa tapos na). Gumamit ng mga tool sa pag-block ng script upang ihinto ang mga nakakahamak na script.

7. Spidering

Spidering relasyon sa atake sa diksyunaryo. Kung ang isang hacker ay tina-target ang isang tukoy na institusyon o negosyo, maaari nilang subukan ang isang serye ng mga password na nauugnay sa mismong negosyo. Maaaring basahin at makolekta ng hacker ang isang serye ng mga nauugnay na termino - o gumamit ng isang spider ng paghahanap upang gawin ang trabaho para sa kanila.

Maaaring narinig mo ang term na 'spider' dati. Ang mga spider ng paghahanap na ito ay lubos na katulad sa mga gumagapang sa pamamagitan ng internet, pag-index ng nilalaman para sa mga search engine. Ginagamit ang listahan ng pasadyang salita laban sa mga account ng gumagamit sa pag-asang makahanap ng isang tugma.

Mga kalamangan: Maaaring mag-unlock ng mga account para sa mga indibidwal na may mataas na ranggo sa loob ng isang organisasyon. Medyo madaling pagsamahin at nagdaragdag ng isang labis na sukat sa isang pag-atake sa diksyonaryo.

Kahinaan: Maaaring magtapos na walang bunga kung ang seguridad ng network ng samahan ay maayos na na-configure.

Manatiling ligtas: Muli, gumagamit lamang ng malakas, solong-paggamit ng mga password na binubuo ng mga random na string; walang nagli-link sa iyong katauhan, negosyo, samahan, at iba pa.

maaari mong patakbuhin ang linux sa isang mac

8. Surfing sa Balikat

Ang pangwakas na pagpipilian ay isa sa pinakamahalaga. Paano kung ang isang tao ay tumingin lamang sa iyong balikat habang nagta-type ka sa iyong password?

Ang pag-surf sa balikat ay medyo nakakatawa, ngunit nangyayari ito. Kung nagtatrabaho ka sa isang abala sa downtown café at hindi binibigyang pansin ang iyong paligid, ang isang tao ay maaaring makakuha ng sapat na malapit upang tandaan ang iyong password habang nagta-type ka.

Mga kalamangan: Mababang teknolohiya na diskarte sa pagnanakaw ng isang password.

Kahinaan: Dapat kilalanin ang target bago malaman ang password; maaaring ipakita ang kanilang mga sarili sa proseso ng pagnanakaw.

Manatiling ligtas: Manatiling mapagmasid sa mga nasa paligid mo kapag nagta-type ng iyong password. Takpan ang iyong keyboard at takpan ang iyong mga key habang nag-input.

Palaging Gumamit ng isang Malakas, Natatanging, Single-Use na Password

Kaya, paano mo titigilan ang isang hacker na nakawin ang iyong password? Ang talagang maikling sagot ay iyon hindi ka maaaring maging 100 porsiyento na ligtas . Ang mga tool na ginagamit ng mga hacker upang magnakaw ng iyong data ay palaging nagbabago at maraming mga video at tutorial sa paghula ng mga password o pag-alam kung paano mag-hack ng isang password.

Ang isang bagay ay sigurado: ang paggamit ng isang malakas, natatanging, solong paggamit ng password ay hindi kailanman nasaktan ang sinuman.

Magbahagi Magbahagi Mag-tweet Email 5 Mga Tool sa Password upang Lumikha ng Malakas na mga Passphrase at i-update ang Iyong Seguridad

Lumikha ng isang malakas na password na maaari mong matandaan sa paglaon. Gamitin ang mga app na ito upang mai-upgrade ang iyong seguridad gamit ang mga bagong malalakas na password ngayon.

Basahin Susunod Mga Kaugnay na Paksa
  • Seguridad
  • Mga Tip sa Password
  • Online Security
  • Pag-hack
  • Mga Tip sa Seguridad
Tungkol sa May-akda Gavin Phillips(945 Mga Artikulo Na-publish)

Si Gavin ay ang Junior Editor para sa Windows at Technology na Ipinaliwanag, isang regular na nag-aambag sa Tunay na Kapaki-pakinabang na Podcast, at isang regular na tagasuri ng produkto. Siya ay may isang BA (Hons) Contemporary Writing na may Mga Digital Art na Kasanayan na nakawan mula sa mga burol ng Devon, pati na rin sa isang dekada ng propesyonal na karanasan sa pagsulat. Masisiyahan siya sa maraming halaga ng tsaa, mga board game, at football.

Higit pa Mula sa Gavin Phillips

Mag-subscribe sa aming newsletter

Sumali sa aming newsletter para sa mga tip sa tech, pagsusuri, libreng ebook, at eksklusibong deal!

Mag-click dito upang mag-subscribe