Pochopenie techník prelomenia hesiel, ktoré hackeri používajú na otvorenie vašich online účtov, je skvelý spôsob, ako zabezpečiť, aby sa vám to nikdy nestalo.
Určite si vždy budete musieť zmeniť heslo a niekedy naliehavejšie, než si myslíte, ale zmiernenie rizika krádeže je skvelý spôsob, ako zostať na vrchole bezpečnosti svojho účtu. Vždy môžete prejsť na stránku www.haveibeenpwned.com a skontrolovať, či ste v nebezpečenstve, ale jednoducho myslieť si, že vaše heslo je dostatočne bezpečné na to, aby ste ho nenapadli, je zlý spôsob myslenia.
Aby sme vám pomohli pochopiť, ako hackeri získavajú vaše heslá – zabezpečené alebo inak – zostavili sme zoznam desiatich najlepších techník na prelomenie hesiel, ktoré hackeri používajú. Niektoré z nižšie uvedených metód sú určite zastarané, ale to neznamená, že sa stále nepoužívajú. Pozorne čítajte a zistite, proti čomu sa treba zmierňovať.
Desať najlepších techník na prelomenie hesiel, ktoré používajú hackeri
1. Slovníkový útok
Slovníkový útok používa jednoduchý súbor obsahujúci slová, ktoré možno nájsť v slovníku, preto jeho pomerne jednoduchý názov. Inými slovami, tento útok používa presne tie slová, ktoré mnohí ľudia používajú ako svoje heslo.
Dômyselné zoskupenie slov ako „letmein“ alebo „superadministratorguy“ nezabráni tomu, aby vaše heslo bolo prelomené týmto spôsobom – teda nie na viac ako pár sekúnd navyše.
2. Útok hrubou silou
Podobne ako slovníkový útok, aj útok hrubou silou prichádza s ďalším bonusom pre hackera. Namiesto jednoduchého používania slov im útok hrubou silou umožňuje odhaliť slová, ktoré nie sú v slovníku, a to pomocou všetkých možných alfanumerických kombinácií od aaa1 po zzz10.
Nie je to rýchle, za predpokladu, že vaše heslo má viac ako niekoľko znakov, ale nakoniec vaše heslo odhalí. Útoky hrubou silou možno skrátiť pridaním ďalšieho výpočtového výkonu, pokiaľ ide o výkon spracovania – vrátane využitia výkonu GPU vašej grafickej karty – a čísla strojov, ako je napríklad použitie distribuovaných výpočtových modelov, ako sú online baníci na bitcoiny.
3. Rainbow Table Attack
Dúhové tabuľky nie sú také farebné, ako by sa mohlo zdať z ich názvu, ale pre hackera môže byť vaše heslo na konci. Najpriamejším možným spôsobom môžete dúhovú tabuľku zredukovať na zoznam vopred vypočítaných hashov – číselnú hodnotu použitú pri šifrovaní hesla. Táto tabuľka obsahuje hodnoty hash všetkých možných kombinácií hesiel pre ľubovoľný daný hašovací algoritmus. Dúhové tabuľky sú atraktívne, pretože skracujú čas potrebný na prelomenie hash hesla na jednoduché vyhľadanie niečoho v zozname.
Dúhové stoly sú však obrovské, nepraktické veci. Na spustenie vyžadujú seriózny výpočtový výkon a tabuľka sa stane zbytočnou, ak hash, ktorý sa snaží nájsť, bol „osolený“ pridaním náhodných znakov do hesla pred hashovaním algoritmu.
Hovorí sa o existencii solených dúhových stolov, ale tieto by boli také veľké, že by sa dali ťažko použiť v praxi. Pravdepodobne by fungovali iba s preddefinovanou sadou „náhodných znakov“ a reťazcami hesiel kratšími ako 12 znakov, pretože veľkosť tabuľky by inak bola zakázaná aj pre hackerov na štátnej úrovni.
4. Phishing
Existuje jednoduchý spôsob, ako hacknúť, požiadajte používateľa o jeho heslo. Phishingový e-mail vedie nič netušiaceho čitateľa na falošnú prihlasovaciu stránku spojenú s akoukoľvek službou, ku ktorej chce hacker pristupovať, zvyčajne požiadaním používateľa, aby napravil nejaký hrozný problém so svojou bezpečnosťou. Táto stránka potom prečíta ich heslo a hacker ho môže použiť na svoj vlastný účel.
Prečo sa namáhať s prelomením hesla, keď vám ho používateľ aj tak s radosťou poskytne?
5. Sociálne inžinierstvo
Sociálne inžinierstvo posúva celý koncept „spýtaj sa používateľa“ mimo doručenú poštu, ktorú má phishing tendenciu držať sa v reálnom svete.
Obľúbeným sociálnym inžinierom je zavolať do kancelárie, ktorá sa vydáva za IT bezpečnostného technika, a jednoducho požiadať o heslo pre prístup k sieti. Boli by ste prekvapení, ako často to funguje. Niektorí dokonca majú potrebné pohlavné žľazy na to, aby si obliekli oblek a odznak s menom predtým, než vstúpia do podniku, aby sa tvárou v tvár recepčnej spýtali rovnakú otázku.
6. Škodlivý softvér
Keylogger alebo škrabka obrazovky môže byť nainštalovaný malvérom, ktorý zaznamenáva všetko, čo napíšete, alebo urobí snímky obrazovky počas procesu prihlásenia, a potom pošle kópiu tohto súboru do centrály hackerov.
Niektorý malvér bude hľadať existenciu súboru s heslom klienta webového prehliadača a skopíruje ho, ktorý, ak nie je správne zašifrovaný, bude obsahovať ľahko dostupné uložené heslá z histórie prehliadania používateľa.
7. Offline cracking
Je ľahké si predstaviť, že heslá sú bezpečné, keď systémy, ktoré chránia, uzamknú používateľov po troch alebo štyroch nesprávnych uhádnutiach, čím zablokujú aplikácie na automatické hádanie. No, to by bola pravda, keby to nebolo tak, že väčšina hackingu hesiel prebieha offline pomocou množiny hashov v súbore hesiel, ktorý bol „získaný“ z kompromitovaného systému.
Príslušný cieľ bol často kompromitovaný prostredníctvom hacknutia tretej strany, ktorá potom poskytuje prístup k systémovým serverom a tým najdôležitejším súborom hash hesiel používateľa. Prelomenie hesiel potom môže trvať tak dlho, ako potrebujú, aby sa pokúsili prelomiť kód bez toho, aby upozornili cieľový systém alebo jednotlivého používateľa.
8. Ramenné surfovanie
Ďalšia forma sociálneho inžinierstva, surfovanie cez rameno, presne tak, ako to naznačuje, zahŕňa nahliadnutie cez plece človeka, keď zadáva poverenia, heslá atď. je odcudzený týmto spôsobom, takže majte prehľad o svojom okolí, keď budete na cestách pristupovať k bankovým účtom atď.
Najdôveryhodnejší z hackerov prevezmú masku balíkového kuriéra, technika klimatizácie alebo čohokoľvek iného, čo im umožní prístup do kancelárskej budovy. Akonáhle sú dnu, „uniforma“ obslužného personálu poskytuje akýsi voľný priechod, aby sa mohol bez prekážok potulovať a všímať si heslá zadávané skutočnými zamestnancami. Poskytuje tiež vynikajúcu príležitosť pozrieť si všetky tie post-it poznámky prilepené na prednej strane LCD obrazoviek s napísanými prihlasovacími údajmi.
9. Pavúky
Dômyselní hackeri si uvedomili, že mnohé firemné heslá sa skladajú zo slov, ktoré súvisia so samotným podnikaním. Štúdium firemnej literatúry, predajných materiálov na webových stránkach a dokonca aj webových stránok konkurentov a kótovaných zákazníkov môže poskytnúť muníciu na vytvorenie vlastného zoznamu slov, ktorý sa použije pri útoku hrubou silou.
Naozaj dôvtipní hackeri tento proces zautomatizovali a nechali pavučinovú aplikáciu, podobnú webovým prehľadávačom, ktoré využívajú popredné vyhľadávače, aby identifikovali kľúčové slová, zbierali a porovnávali zoznamy.
10. Hádaj
Najlepším priateľom prelamovačov hesiel je, samozrejme, predvídateľnosť používateľa. Pokiaľ nebolo pomocou softvéru určeného pre danú úlohu vytvorené skutočne náhodné heslo, je nepravdepodobné, že by používateľom vygenerované „náhodné“ heslo bolo niečo také.
Namiesto toho, vďaka emocionálnemu pripútaniu nášho mozgu k veciam, ktoré máme radi, je pravdepodobné, že tieto náhodné heslá sú založené na našich záujmoch, koníčkoch, domácich miláčikoch, rodine atď. V skutočnosti majú heslá tendenciu vychádzať zo všetkých vecí, o ktorých radi chatujeme na sociálnych sieťach a dokonca ich zaraďujeme do našich profilov. Pri pokuse o prelomenie hesla na úrovni spotrebiteľa bez toho, aby sa uchýlili k slovníkovým útokom alebo útokom hrubou silou, sa používatelia na prelomenie hesiel veľmi pravdepodobne pozerajú na tieto informácie a urobia niekoľko – často správnych – kvalifikovaných odhadov.
Ďalšie útoky, na ktoré si treba dávať pozor
Ak hackerom niečo chýba, nie je to kreativita. Použitím rôznych techník a prispôsobením sa neustále sa meniacim bezpečnostným protokolom sú títo votrelci naďalej úspešní.
Napríklad, ktokoľvek na sociálnych sieťach pravdepodobne videl zábavné kvízy a šablóny, ktoré vás žiadajú, aby ste hovorili o svojom prvom aute, obľúbenom jedle, pesničke číslo jedna na vaše 14. narodeniny. Aj keď sa tieto hry zdajú neškodné a ich uverejňovanie je určite zábavné, v skutočnosti sú otvorenou šablónou pre bezpečnostné otázky a odpovede na overenie prístupu k účtu.
Pri zakladaní účtu možno skúste použiť odpovede, ktoré sa vás v skutočnosti netýkajú, ale ktoré si ľahko zapamätáte. "Aké bolo tvoje prvé auto?" Namiesto pravdivej odpovede si dajte svoje vysnívané auto. V opačnom prípade jednoducho nezverejňujte žiadne bezpečnostné odpovede online.
Ďalším spôsobom, ako získať prístup, je jednoduché obnovenie hesla. Najlepšou líniou obrany proti útočníkovi, ktorý obnoví vaše heslo, je použitie e-mailovej adresy, ktorú často kontrolujete, a udržiavanie aktuálnych kontaktných informácií. Ak je k dispozícii, vždy povoľte 2-faktorové overenie. Aj keď sa hacker dozvie vaše heslo, nebude mať prístup k účtu bez jedinečného overovacieho kódu.
často kladené otázky
Prečo potrebujem pre každú stránku iné heslo?
Pravdepodobne viete, že by ste nemali prezrádzať svoje heslá a nemali by ste si sťahovať žiadny obsah, ktorý nepoznáte, ale čo účty, do ktorých sa prihlasujete každý deň? Predpokladajme, že pre svoj bankový účet používate rovnaké heslo, aké používate pre svoj ľubovoľný účet, ako je Grammarly. Ak je Grammarly napadnutý, používateľ má potom aj vaše bankové heslo (a možno aj váš e-mail, vďaka čomu bude ešte jednoduchšie získať prístup ku všetkým vašim finančným zdrojom).
Čo môžem urobiť na ochranu svojich účtov?
Používanie 2FA na ľubovoľných účtoch, ktoré túto funkciu ponúkajú, používanie jedinečných hesiel pre každý účet a používanie kombinácie písmen a symbolov je najlepšou líniou obrany proti hackerom. Ako už bolo uvedené, existuje mnoho rôznych spôsobov, ako hackeri získavajú prístup k vašim účtom, takže ďalšie veci, ktoré musíte zabezpečiť, aby ste sa ubezpečili, že to robíte pravidelne, je udržiavanie vášho softvéru a aplikácií v aktualizovanom stave (v prípade bezpečnostných opráv) a vyhnúť sa sťahovaniu, ktoré nepoznáte.
Aký je najbezpečnejší spôsob uchovávania hesiel?
Udržať krok s niekoľkými jedinečne zvláštnymi heslami môže byť neuveriteľne ťažké. Aj keď je oveľa lepšie prejsť procesom obnovenia hesla ako kompromitovať vaše účty, je to časovo náročné. Ak chcete zachovať svoje heslá v bezpečí, môžete použiť službu ako Last Pass alebo KeePass na uloženie všetkých hesiel vašich účtov.
Môžete tiež použiť jedinečný algoritmus na uchovanie hesiel a zároveň ich ľahšie zapamätanie. Napríklad PayPal môže byť niečo ako hwpp+c832. Toto heslo je v podstate prvým písmenom každého prerušenia adresy URL (//www.paypal.com) s posledným číslom v roku narodenia každého vo vašej domácnosti (len ako príklad). Keď sa prihlásite do svojho účtu, zobrazte adresu URL, ktorá vám poskytne niekoľko prvých písmen tohto hesla.
Pridajte symboly, aby bolo hacknutie hesla ešte ťažšie, ale usporiadajte ich tak, aby sa dali ľahšie zapamätať. Napríklad symbol „+“ môže byť pre všetky účty súvisiace so zábavou, zatiaľ čo symbol „!“ možno použiť na finančné účty.