Suprasti slaptažodžių nulaužimo metodus, kuriuos įsilaužėliai naudoja norėdami plačiai atverti jūsų internetines paskyras, yra puikus būdas užtikrinti, kad jums taip niekada nenutiktų.
Žinoma, visada turėsite pakeisti slaptažodį, o kartais ir skubiau, nei manote, tačiau apsisaugoti nuo vagysčių yra puikus būdas užtikrinti paskyros saugumą. Visada galite apsilankyti www.haveibeenpwned.com ir patikrinti, ar jums negresia pavojus, tačiau tiesiog manyti, kad jūsų slaptažodis yra pakankamai saugus, kad į jį nebūtų įsilaužta, yra blogas požiūris.
Taigi, norėdami padėti suprasti, kaip įsilaužėliai gauna jūsų slaptažodžius – saugius ar kitokius – sudarėme dešimties populiariausių įsilaužėlių naudojamų slaptažodžių nulaužimo metodų sąrašą. Kai kurie iš toliau pateiktų metodų tikrai yra pasenę, tačiau tai nereiškia, kad jie vis dar nenaudojami. Atidžiai perskaitykite ir sužinokite, nuo ko sušvelninti.
Dešimt populiariausių įsilaužėlių naudojamų slaptažodžių nulaužimo būdų
1. Žodyno puolimas
Žodyno ataka naudoja paprastą failą, kuriame yra žodžių, kuriuos galima rasti žodyne, taigi ir gana paprastas pavadinimas. Kitaip tariant, ši ataka naudoja būtent tokius žodžius, kuriuos daugelis žmonių naudoja kaip savo slaptažodį.
Sumaniai sugrupavus žodžius, tokius kaip „letmein“ arba „superadministratorguy“, tokiu būdu slaptažodis nebus nulaužtas – na, ne ilgiau nei kelias sekundes.
2. Brute Force Attack
Panašiai kaip ir žodyno ataka, žiaurios jėgos ataka įsilaužėliui suteikia papildomą priedą. Užuot tiesiog vartoję žodžius, žiaurios jėgos ataka leidžia aptikti ne žodyno žodžius, naudojant visas įmanomas raidžių ir skaičių kombinacijas nuo aaa1 iki zzz10.
Tai nėra greita, jei jūsų slaptažodis yra ilgesnis nei sauja simbolių, tačiau galiausiai jis atskleidžia jūsų slaptažodį. Brutalios jėgos atakas galima sutrumpinti panaudojus papildomas skaičiavimo arklio galias, kalbant apie apdorojimo galią, įskaitant vaizdo plokštės GPU galios panaudojimą, ir mašinų skaičių, pvz., naudojant paskirstytus skaičiavimo modelius, pvz., internetinius bitkoinų kasyklas.
3. Vaivorykštės stalo puolimas
Vaivorykštės lentelės nėra tokios spalvingos, kaip gali numanyti jų pavadinimas, bet įsilaužėliui slaptažodis gali būti jo pabaigoje. Paprasčiausiu įmanomu būdu vaivorykštės lentelę galite sudėti į iš anksto apskaičiuotų maišų sąrašą – skaitinę reikšmę, naudojamą šifruojant slaptažodį. Šioje lentelėje yra visų galimų slaptažodžių derinių maišos bet kuriam duotam maišos algoritmui. Vaivorykštės lentelės yra patrauklios, nes sutrumpina laiką, reikalingą slaptažodžio maišos nulaužimui, kol tiesiog ieškote kažko sąraše.
Tačiau vaivorykštės lentelės yra didžiuliai, neparankūs dalykai. Jiems paleisti reikia didelės skaičiavimo galios, o lentelė tampa nenaudinga, jei maiša, kurią ji bando rasti, buvo „pasūdyta“ prie slaptažodžio pridėjus atsitiktinius simbolius prieš pradedant maišyti algoritmą.
Kalbama apie esamas sūdytas vaivorykštės lenteles, tačiau jos būtų tokios didelės, kad jas būtų sunku panaudoti praktiškai. Tikėtina, kad jie veiktų tik su iš anksto nustatytu „atsitiktinių simbolių“ rinkiniu ir slaptažodžių eilutėmis, mažesnėmis nei 12 simbolių, nes priešingu atveju lentelės dydis būtų per didelis net valstybės lygio įsilaužėliams.
4. Sukčiavimas
Yra paprastas būdas įsilaužti – paprašykite vartotojo slaptažodžio. Sukčiavimo el. laiškas nuveda nieko neįtariantį skaitytoją į suklastotą prisijungimo puslapį, susietą su bet kokia paslauga, kurią nori pasiekti įsilaužėlis, dažniausiai paprašydamas vartotojo išspręsti kokią nors baisią savo saugumo problemą. Tada šis puslapis nuskaito jų slaptažodį ir įsilaužėlis gali naudoti jį savo tikslams.
Kam nerimauti dėl slaptažodžio nulaužimo, kai vartotojas vis tiek mielai jį jums duos?
5. Socialinė inžinerija
Socialinė inžinerija perkelia visą „klausk vartotojo“ koncepciją už gautųjų ribų, kad sukčiavimas dažniausiai prilimpa prie realaus pasaulio.
Socialinio inžinieriaus mėgstamiausias dalykas yra paskambinti į biurą apsimetant IT saugos techniku ir tiesiog paprašyti tinklo prieigos slaptažodžio. Nustebtumėte, kaip dažnai tai veikia. Kai kurie netgi turi reikiamas lytines liaukas, kad galėtų apsivilkti kostiumą ir pasipuošti vardo ženkleliu, prieš eidami į verslą, kad užduotų tą patį klausimą registratorei akis į akį.
6. Kenkėjiška programa
Klavišų kaupiklį arba ekrano grandiklį gali įdiegti kenkėjiška programa, kuri registruoja viską, ką įvedate, arba daro ekrano kopijas prisijungimo proceso metu, o tada persiunčia šio failo kopiją įsilaužėlių centrui.
Kai kurios kenkėjiškos programos ieškos žiniatinklio naršyklės kliento slaptažodžio failo ir nukopijuos jį, kuriame, nebent tinkamai užšifruota, bus lengvai pasiekiami išsaugoti slaptažodžiai iš vartotojo naršymo istorijos.
7. Krekingas neprisijungus
Nesunku įsivaizduoti, kad slaptažodžiai yra saugūs, kai jų saugomos sistemos užblokuoja vartotojus po trijų ar keturių klaidingų spėjimų, blokuodamos automatines spėjimo programas. Na, tai būtų tiesa, jei ne tai, kad dauguma slaptažodžių įsilaužimo vyksta neprisijungus, naudojant maišos rinkinį slaptažodžio faile, kuris buvo „gautas“ iš pažeistos sistemos.
Dažnai aptariamas tikslas buvo pažeistas įsilaužus trečiajai šaliai, kuri suteikia prieigą prie sistemos serverių ir tų visų svarbių vartotojo slaptažodžių maišos failų. Tada slaptažodžių laužytojas gali užtrukti tiek laiko, kiek reikia, kad nulaužtų kodą, neįspėjus tikslinės sistemos ar atskiro vartotojo.
8. Plečių banglenčių sportas
Kita socialinės inžinerijos forma, naršymas per petį, kaip tai reiškia, reiškia žvilgtelėti per žmogaus pečius, kai jie įveda kredencialus, slaptažodžius ir pan. Nors ši koncepcija yra labai žemos technologijos, nustebtumėte, kiek daug slaptažodžių ir slaptos informacijos yra pavogtas tokiu būdu, todėl stebėkite aplinką, kai pasiekiate banko sąskaitas ir pan.
Labiausiai pasitikintys įsilaužėliai prisidės prie siuntų kurjerio, oro kondicionavimo techniko ar bet ko kito, kas jiems suteikia prieigą prie biurų pastato. Kai jie patenka, aptarnaujančio personalo „uniforma“ suteikia tam tikrą nemokamą leidimą netrukdomai klaidžioti ir atkreipti dėmesį į slaptažodžius, kuriuos įveda tikri darbuotojai. Tai taip pat suteikia puikią galimybę peržvelgti visus LCD ekranų priekyje priklijuotus užrašus su užrašytais prisijungimo duomenimis.
9. Voras
Sumanūs įsilaužėliai suprato, kad daugelis įmonių slaptažodžių yra sudaryti iš žodžių, susijusių su pačiu verslu. Studijuodami įmonių literatūrą, svetainių pardavimo medžiagą ir net konkurentų bei sąraše esančių klientų svetaines, galite sudaryti amuniciją, kad būtų galima sukurti pasirinktinį žodžių sąrašą, kuris bus naudojamas žiaurios jėgos atakai.
Tikrai sumanūs įsilaužėliai automatizavo šį procesą ir leidžia skraidančiosioms programoms, panašioms į pirmaujančių paieškos sistemų naudojamus žiniatinklio tikrintuvus, identifikuoti raktinius žodžius, rinkti ir lyginti jų sąrašus.
10. Atspėk
Žinoma, geriausias slaptažodžių laužytojų draugas yra vartotojo nuspėjamumas. Nebent tikrai atsitiktinis slaptažodis buvo sukurtas naudojant užduočiai skirtą programinę įrangą, naudotojo sukurtas „atsitiktinis“ slaptažodis greičiausiai nebus panašus.
Vietoj to, dėl mūsų smegenų emocinio prisirišimo prie dalykų, kurie mums patinka, yra tikimybė, kad atsitiktiniai slaptažodžiai yra pagrįsti mūsų pomėgiais, pomėgiais, augintiniais, šeima ir pan. Tiesą sakant, slaptažodžiai dažniausiai yra pagrįsti visais dalykais, apie kuriuos mėgstame kalbėtis socialiniuose tinkluose ir netgi įtraukti į savo profilius. Labai tikėtina, kad slaptažodžių laužytojai peržiūrės šią informaciją ir padarys keletą (dažnai teisingų) pagrįstų spėjimų, kai bando nulaužti vartotojo lygio slaptažodį nesinaudodami žodyno ar žiaurios jėgos atakomis.
Kiti išpuoliai, kurių reikia saugotis
Jei įsilaužėliams ko nors trūksta, tai ne kūrybiškumas. Naudodami įvairius metodus ir prisitaikydami prie nuolat kintančių saugos protokolų, šie įsilaužėliai ir toliau sėkmingai veikia.
Pavyzdžiui, kas nors socialinėje žiniasklaidoje tikriausiai matė linksmas viktorinas ir šablonus, kuriuose prašoma pakalbėti apie savo pirmąjį automobilį, mėgstamą maistą, dainą numeris vienas per 14-ąjį gimtadienį. Nors šie žaidimai atrodo nekenksmingi ir juos tikrai smagu skelbti, jie iš tikrųjų yra atviras saugos klausimų ir paskyros prieigos patvirtinimo atsakymų šablonas.
Kurdami paskyrą galbūt pabandykite naudoti atsakymus, kurie iš tikrųjų nėra susiję su jumis, bet kuriuos galite lengvai prisiminti. "Koks buvo jūsų pirmasis automobilis?" Užuot atsakę nuoširdžiai, įdėkite savo svajonių automobilį. Priešingu atveju tiesiog neskelbkite jokių saugumo atsakymų internete.
Kitas būdas gauti prieigą yra tiesiog iš naujo nustatyti slaptažodį. Geriausia apsisaugoti nuo slaptažodžio iš naujo nustatančio įsiterpiančio asmens el. pašto adreso, kurį dažnai tikrinate, ir nuolat atnaujinant kontaktinę informaciją. Jei įmanoma, visada įjunkite 2 faktorių autentifikavimą. Net jei įsilaužėlis sužinos jūsų slaptažodį, jis negali pasiekti paskyros be unikalaus patvirtinimo kodo.
Dažnai užduodami klausimai
Kodėl man reikia skirtingo slaptažodžio kiekvienai svetainei?
Tikriausiai žinote, kad neturėtumėte išduoti slaptažodžių ir neturėtumėte atsisiųsti turinio, kurio nesate susipažinę, bet kaip dėl paskyrų, prie kurių prisijungiate kiekvieną dieną? Tarkime, kad savo banko sąskaitai naudojate tą patį slaptažodį, kurį naudojate savavališkai paskyrai, pvz., „Grammarly“. Jei „Grammarly“ yra įsilaužta, vartotojas taip pat turi jūsų banko slaptažodį (ir galbūt jūsų el. pašto adresą, todėl bus dar lengviau pasiekti visus jūsų finansinius išteklius).
Ką galiu padaryti, kad apsaugočiau savo paskyras?
2FA naudojimas visose paskyrose, kuriose yra ši funkcija, unikalių slaptažodžių naudojimas kiekvienai paskyrai ir raidžių bei simbolių derinys yra geriausia gynybos linija nuo įsilaužėlių. Kaip minėta anksčiau, yra daug skirtingų būdų, kaip įsilaužėliai gauna prieigą prie jūsų paskyrų, todėl kiti dalykai, kuriuos reikia atlikti, kad įsitikintumėte, jog darote reguliariai, yra nuolat atnaujinama programinė įranga ir programos (saugos pataisos) ir venkite bet kokių atsisiuntimų, su kuriais nesate susipažinę.
Koks yra saugiausias slaptažodžių saugojimo būdas?
Gali būti nepaprastai sunku neatsilikti nuo kelių unikaliai keistų slaptažodžių. Nors daug geriau atlikti slaptažodžio nustatymo iš naujo procesą, nei pažeisti paskyras, tai užima daug laiko. Norėdami apsaugoti savo slaptažodžius, galite naudoti tokias paslaugas kaip Last Pass arba KeePass, kad išsaugotumėte visus paskyros slaptažodžius.
Taip pat galite naudoti unikalų algoritmą, kad išsaugotumėte slaptažodžius ir būtų lengviau juos įsiminti. Pavyzdžiui, PayPal gali būti kažkas panašaus į hwpp+c832. Iš esmės šis slaptažodis yra pirmoji kiekvienos URL pertraukos raidė (//www.paypal.com) su paskutiniu skaičiumi kiekvieno jūsų namuose gimimo metais (kaip pavyzdys). Kai prisijungiate prie savo paskyros, peržiūrėkite URL, kuris suteiks jums kelias pirmąsias šio slaptažodžio raides.
Pridėkite simbolių, kad slaptažodį būtų dar sunkiau nulaužti, bet sutvarkykite juos taip, kad juos būtų lengviau įsiminti. Pavyzdžiui, simbolis „+“ gali būti skirtas bet kurioms su pramogomis susijusioms paskyroms, o „! gali būti naudojamas finansinėms sąskaitoms.