Razumijevanje tehnika razbijanja lozinki koje hakeri koriste kako bi širom otvorili vaše online račune izvrstan je način da osigurate da vam se to nikada neće dogoditi.
Sigurno ćete uvijek morati promijeniti svoju zaporku, i to ponekad hitnije nego što mislite, ali ublažavanje krađe odličan je način da ostanete na vrhu sigurnosti svog računa. Uvijek možete otići na www.haveibeenpwned.com i provjeriti jeste li u opasnosti, ali loše je razmišljanje samo o tome da je vaša lozinka dovoljno sigurna da ne bude hakirana.
Dakle, kako bismo vam pomogli razumjeti kako hakeri dobivaju vaše lozinke - sigurne ili na neki drugi način - sastavili smo popis deset najboljih tehnika razbijanja lozinki koje koriste hakeri. Neke od dolje navedenih metoda svakako su zastarjele, ali to ne znači da se još uvijek ne koriste. Pažljivo pročitajte i naučite što ublažiti.
Deset najboljih tehnika razbijanja lozinki koje koriste hakeri
1. Napad na rječnik
Napad rječnika koristi jednostavnu datoteku koja sadrži riječi koje se mogu pronaći u rječniku, pa otuda i njegov prilično jednostavan naziv. Drugim riječima, ovaj napad koristi upravo one riječi koje mnogi ljudi koriste kao svoju lozinku.
Pametno grupiranje riječi kao što su "letmein" ili "superadministratorguy" neće spriječiti da vaša lozinka bude razbijena na ovaj način - pa, ne duže od nekoliko dodatnih sekundi.
2. Brute Force napad
Slično napadu rječnika, napad grubom silom dolazi s dodatnim bonusom za hakera. Umjesto jednostavnog korištenja riječi, napad grubom silom omogućuje im otkrivanje riječi koje nisu u rječniku radeći kroz sve moguće alfa-numeričke kombinacije od aaa1 do zzz10.
Nije brzo, pod uvjetom da vaša lozinka ima više od nekoliko znakova, ali će na kraju otkriti vašu lozinku. Napadi grube sile mogu se skratiti dodavanjem dodatnih računalnih snaga, u smislu procesorske snage – uključujući iskorištavanje snage GPU-a vaše video kartice – i broja strojeva, kao što je korištenje distribuiranih računalnih modela poput online rudara bitcoina.
3. Napad na Rainbow Table
Rainbow tablice nisu toliko šarene kao što njihovo ime implicira, ali za hakera bi vaša lozinka mogla biti na kraju. Na najjednostavniji mogući način, duginu tablicu možete spustiti u popis unaprijed izračunatih hashova – brojčanu vrijednost koja se koristi prilikom šifriranja lozinke. Ova tablica sadrži hasheve svih mogućih kombinacija lozinki za bilo koji algoritam raspršivanja. Rainbow tablice su atraktivne jer skraćuju vrijeme potrebno za probijanje hash lozinke na jednostavno traženje nečega na popisu.
Međutim, dugini stolovi su ogromne, glomazne stvari. Za rad im je potrebna ozbiljna računalna snaga i tablica postaje beskorisna ako je hash koji pokušava pronaći "posoljen" dodavanjem nasumičnih znakova u svoju lozinku prije raspršivanja algoritma.
Govori se o postojećim stolovima slane duge, ali oni bi bili toliko veliki da bi ih bilo teško koristiti u praksi. Vjerojatno bi radili samo s unaprijed definiranim skupom "slučajnih znakova" i nizovima lozinki ispod 12 znakova jer bi inače veličina tablice bila previsoka čak i hakerima na državnoj razini.
4. Krađa identiteta
Postoji jednostavan način za hakiranje, zatražiti od korisnika njegovu ili njezinu lozinku. E-poruka za krađu identiteta vodi nesuđenog čitatelja na lažnu stranicu za prijavu povezanu s bilo kojom uslugom kojoj haker želi pristupiti, obično tražeći od korisnika da ispravi neki užasan problem sa svojom sigurnošću. Ta stranica zatim pregleda njihovu lozinku i haker je može koristiti u vlastite svrhe.
Zašto se mučiti s probijanjem lozinke kada će vam je korisnik ionako rado dati?
5. Društveni inženjering
Društveni inženjering preuzima cijeli koncept "pitajte korisnika" izvan pristigle pošte s kojom se krađa identiteta obično drži iu stvarni svijet.
Omiljeno društvenog inženjera je nazvati ured koji se predstavlja kao stručnjak za IT sigurnost i jednostavno zatražiti lozinku za pristup mreži. Iznenadili biste se koliko često ovo funkcionira. Neki čak imaju nužne spolne žlijezde da nose odijelo i bedž s imenom prije nego uđu u posao kako bi recepcioneru postavili isto pitanje licem u lice.
6. Zlonamjerni softver
Keylogger ili screen scraper može instalirati zlonamjerni softver koji bilježi sve što upišete ili snima zaslon tijekom procesa prijave, a zatim prosljeđuje kopiju ove datoteke hakerskom centru.
Neki zlonamjerni softver će potražiti postojanje datoteke lozinke klijenta web preglednika i kopirati je koja će, osim ako nije ispravno šifrirana, sadržavati lako dostupne spremljene lozinke iz korisnikove povijesti pregledavanja.
7. Offline Cracking
Lako je zamisliti da su lozinke sigurne kada sustavi koje štite blokiraju korisnike nakon tri ili četiri pogrešna nagađanja, blokirajući automatizirane aplikacije za pogađanje. Pa, to bi bilo točno da nije činjenica da se većina hakiranja lozinki odvija izvan mreže, koristeći skup hashova u datoteci lozinke koja je 'dobivena' od kompromitovanog sustava.
Često je dotični cilj kompromitiran hakiranjem treće strane, koja zatim omogućuje pristup poslužiteljima sustava i tim važnim hash datotekama korisničkih lozinki. Razbijač lozinki tada može potrajati koliko god treba da pokuša razbiti kod bez upozorenja ciljnog sustava ili pojedinog korisnika.
8. Surfanje ramenima
Drugi oblik društvenog inženjeringa, surfanje po ramenima, baš kao što to podrazumijeva, podrazumijeva zavirivanje preko ramena osobe dok unose vjerodajnice, lozinke itd. Iako je koncept vrlo niske tehnologije, iznenadili biste se koliko lozinki i osjetljivih informacija je ukraden na ovaj način, stoga budite svjesni svoje okoline kada pristupate bankovnim računima itd. u pokretu.
Najsigurniji od hakera će se maskirati kao kurir paketa, serviser klima uređaja ili bilo što drugo što im omogućuje pristup poslovnoj zgradi. Nakon što uđu, "uniforma" servisnog osoblja pruža svojevrsnu slobodnu propusnicu za nesmetano lutanje uokolo i zapisivanje lozinki koje unose pravi članovi osoblja. Također pruža izvrsnu priliku da pogledate sve one post-it bilješke zalijepljene na prednji dio LCD zaslona s ucrtanim prijavama.
9. Pauk
Pametni hakeri shvatili su da su mnoge korporativne lozinke sastavljene od riječi koje su povezane sa samim poslovanjem. Proučavanje korporativne literature, materijala za prodaju web-mjesta, pa čak i web-mjesta konkurenata i navedenih kupaca može pružiti streljivo za izradu prilagođenog popisa riječi za korištenje u napadu grubom silom.
Doista pametni hakeri automatizirali su proces i pustili spidering aplikaciju, slično web indekserima koje koriste vodeće tražilice da identificiraju ključne riječi, da prikupi i usporedi popise za njih.
10. Pogodi
Najbolji prijatelj krekera lozinki je, naravno, predvidljivost korisnika. Osim ako je uistinu nasumična lozinka stvorena pomoću softvera namijenjenog zadatku, malo je vjerojatno da će 'nasumična' lozinka koju generira korisnik biti išta od te vrste.
Umjesto toga, zahvaljujući emocionalnoj vezanosti našeg mozga za stvari koje volimo, velike su šanse da se te nasumične lozinke temelje na našim interesima, hobijima, kućnim ljubimcima, obitelji i tako dalje. Zapravo, lozinke se obično temelje na svim stvarima o kojima volimo razgovarati na društvenim mrežama, pa čak i uključiti u svoje profile. Vrlo je vjerojatno da će krekeri lozinki pogledati ove informacije i napraviti nekoliko – često točnih – obrazovanih nagađanja kada pokušavaju probiti zaporku na razini potrošača bez pribjegavanja rječničkim napadima ili napadima grube sile.
Ostali napadi kojih se treba čuvati
Ako hakerima nešto nedostaje, to nije kreativnost. Koristeći razne tehnike i prilagođavajući se sigurnosnim protokolima koji se stalno mijenjaju, ovi uljezi i dalje uspijevaju.
Na primjer, svatko na društvenim mrežama vjerojatno je vidio zabavne kvizove i šablone u kojima se od vas traži da razgovarate o svom prvom autu, omiljenoj hrani, pjesmi broj jedan za vaš 14. rođendan. Iako se ove igre čine bezopasnim i svakako ih je zabavno objavljivati, one su zapravo otvoreni predložak za sigurnosna pitanja i odgovore za provjeru pristupa računu.
Prilikom postavljanja računa, možda pokušajte koristiti odgovore koji se zapravo ne odnose na vas, ali koje možete lako zapamtiti. "Koji je bio tvoj prvi auto?" Umjesto iskrenog odgovora, stavite auto iz snova. U suprotnom, jednostavno nemojte objavljivati sigurnosne odgovore na internetu.
Drugi način za dobivanje pristupa je jednostavno poništavanje lozinke. Najbolja linija obrane od provalnika koji poništi vašu zaporku je korištenje adrese e-pošte koju često provjeravate i ažuriranje vaših podataka za kontakt. Ako je dostupno, uvijek omogućite 2-faktorsku provjeru autentičnosti. Čak i ako haker sazna vašu lozinku, ne može pristupiti računu bez jedinstvenog kontrolnog koda.
Često postavljana pitanja
Zašto mi treba drugačija lozinka za svaku stranicu?
Vjerojatno znate da ne biste trebali davati svoje lozinke i ne biste trebali preuzimati sadržaj s kojim niste upoznati, ali što je s računima na koje se svakodnevno prijavljujete? Pretpostavimo da za svoj bankovni račun koristite istu lozinku koju koristite za proizvoljni račun kao što je Grammarly. Ako je Grammarly hakiran, korisnik tada ima i vašu bankovnu lozinku (i možda vašu e-poštu, što dodatno olakšava pristup svim vašim financijskim resursima).
Što mogu učiniti da zaštitim svoje račune?
Korištenje 2FA na svim računima koji nude tu značajku, korištenje jedinstvenih lozinki za svaki račun i korištenje mješavine slova i simbola najbolja je linija obrane od hakera. Kao što je prethodno navedeno, postoji mnogo različitih načina na koje hakeri dobivaju pristup vašim računima, tako da druge stvari koje trebate redovito činiti je da vaš softver i aplikacije budu ažurirani (za sigurnosne zakrpe) i izbjegavanje preuzimanja s kojima niste upoznati.
Koji je najsigurniji način čuvanja lozinki?
Praćenje nekoliko jedinstveno čudnih lozinki može biti nevjerojatno teško. Iako je daleko bolje proći kroz postupak poništavanja lozinke nego kompromitirati svoje račune, to je dugotrajno. Kako biste zaštitili svoje lozinke, možete koristiti uslugu poput Last Pass ili KeePass za spremanje svih lozinki računa.
Također možete koristiti jedinstveni algoritam kako biste zadržali svoje lozinke i istovremeno ih lakše zapamtili. Na primjer, PayPal bi mogao biti nešto poput hwpp+c832. U suštini, ova lozinka je prvo slovo svakog prekida u URL-u (//www.paypal.com) s posljednjim brojem u godini rođenja svih u vašem domu (samo kao primjer). Kada se prijavite na svoj račun, pogledajte URL koji će vam dati prvih nekoliko slova ove lozinke.
Dodajte simbole kako biste svoju lozinku još teže hakirali, ali ih organizirajte tako da ih je lakše zapamtiti. Na primjer, simbol "+" može biti za sve račune koji se odnose na zabavu, dok "!" može se koristiti za financijske račune.