Kuidas parooli murdmine töötab?

Paroolid takistavad juurdepääsu teie kontodele ja seetõttu on küberkurjategijad nii innukad neid sihtima. Paroolide murdmine on väga populaarne, kuid siin saab kasutada rohkem kui ühte meetodit.

Niisiis, kuidas saab parooli murdmist läbi viia ja kas saate seda vältida?

Mis on parooli murdmine?

Paroolimurdmist kasutatakse kasutajate paroolide paljastamiseks, et küberkurjategijad saaksid nende kontodele sisse häkkida.

Paljud meie kontod, näiteks panganduseks, suhtlemiseks, ostlemiseks ja töötamiseks kasutatavad kontod, on kaitstud paroolidega, seega pole üllatav, et häkkerid soovivad neid andmeid kätte saada.

Sisestage parooli murdmine. Erinevate meetodite abil on pahatahtlikel isikutel võimalus paljastada teie tõeline parool, andes neile juurdepääsu teie kontole, kui neil on ka teie e-posti aadress või kasutajanimi (mille kinnihoidmine võib olla murettekitavalt lihtne of).

Sõltuvalt teie parooli keerukusest võidakse seda murda mõne sekundi kuni miljonite aastate jooksul. Lihtsaid paroole on ilmselgelt lihtsam lahti murda, seetõttu on oluline häkkerite tõrjumiseks oma parool tõhusalt struktureerida (seda käsitleme hiljem).

Kõige populaarsemad paroolimurdmise meetodid

Aastate jooksul on paroolide murdmine mitmekesistunud mitmeks meetodiks – mõned on edukamad kui teised. Niisiis, milliseid meetodeid häkkerid paroolide murdmisel kõige sagedamini kasutavad?

1. Brute Force rünnakud

Jõhja jõu rünnakud küberkurjategijad kasutavad neid sageli kontode häkkimiseks. See murdmismeetod hõlmab kõigi võimalike tähtede, numbrite või sümbolite kombinatsioonide läbimist, mis võivad antud paroolis sisalduda. See on sisuliselt katse-eksituse meetod või kõrvaldamisprotsess, mis jätkub seni, kuni jõutakse õige fraasini.

Jõhja jõu rünnakud on eriti tõhusad lihtsamate paroolide puhul, näiteks need, kus ei kasutata suurtähti või sümboleid ja numbreid.

Toore jõu rünnaku saab lõpule viia vähem kui minutiga, kuigi on palju juhtumeid, kus see võtab palju kauem aega. Mõned küberkurjategijad lasevad protsessil kesta nädalaid, kuid või isegi aastaid, olenevalt sellest, kui väärtuslik parool on. Kui toore jõu rünnak on edukas, maandub see õigele paroolile, andes häkkerile juurdepääsu kõigele, mida nad üritavad teha.

2. Andmepüük

Andmepüük on populaarne küberkuritegevuse taktika, ja seda saab kasutada andmete varguse ja pahavara levitamiseks. Paroolimurdmise puhul on andmepüügi rünnaku ilmselge eesmärk andmete vargus.

Andmepüügirünnakud toimuvad tavaliselt meili, SMS-i või sotsiaalmeedia (eriti DM-ide) kaudu. Kui sihtmärgiks on sisselogimismandaadid, hõlmab rünnak sageli pahatahtlikku osalejat, kes saadab sihtmärkidele ametliku üksusena esineva suhtluse.

Näiteks võib pettur saata ohvrile meili, väites, et on tema valitud panga töötaja. Meilis öeldakse tavaliselt, et nende kontol on tuvastatud ebatavaline tegevus ja nad peavad veebis sisse logima, et kontrollida, kas see oli tema. Teksti all on link väidetavale sisselogimislehele. Kuid tegelikkuses on see link pahatahtlikule andmepüügilehele, mis näeb välja peaaegu identne ametliku sisselogimislehega, varastades samal ajal ka teie sisestatud andmeid.

Kui ohver satub kelmusesse, sisestab ta andmepüügilehele oma sisselogimismandaadid, mille ründaja seejärel kogub. Sel hetkel on ründajal ohvri konto kasutajanimi ja parool, mis annab neile volitamata juurdepääsu.

3. Man-in-the-Middle rünnakud

Nagu nimigi ütleb, Man-in-the-Middle (MitM) rünnakud kaasata pahatahtlik osaleja, kes asetab end ohvri ja rakenduse või veebisaidi vahele.

Inimese keskel olevad rünnakud võivad esineda mitmel kujul, sealhulgas:

• Meili kaaperdamine.
• HTTPS-i võltsimine.
• HTML-i võltsimine.
• SSL-i võltsimine.
• Wi-Fi võltsimine.

Üks rünnakute vorm hõlmab pahatahtlikku operaatorit, kes kuulab aktiivselt pealt kasutaja ja serveri vahelist suhtlust. Sellise stsenaariumi korral pääseb ründaja võrgule juurde nõrkuse kaudu ja seejärel skannib rakendust või saiti turvaauku tuvastamiseks. Kui haavatavus leitakse, sihivad nad seda ja hakkavad seejärel sihtima kasutajaid, kui nad suhtlevad rakenduste ja veebisaitidega ohustatud võrgu kaudu.

Seejärel, kui ohver sisestab mis tahes andmeid või saab rakendusest andmeid, on need ründajale nähtavad. Sel juhul, kui nad sisestavad parooli, saab ründaja selle taastada. Kui need andmed tuleb dekrüpteerida, on see järgmine samm. Nüüd saab pahatahtlik operaator ohvri andmeid kasutada soovitud viisil.

4. Klahvide logimine

Klahvide logimine on andmete varguse meetod, mis hõlmab iga klahvivajutuse logimist, mille ohver oma seadmes teeb, olgu selleks siis lauaarvuti, sülearvuti, tahvelarvuti, nutitelefon või muu sarnane.

Klahvilogijad tulevad pahavara kujul; ründeks kasutatud pahatahtlikud programmid. Kui seade on nakatunud klahvilogijaga, näeb pahatahtlik operaator seejärel kõike, mida ohver kirjutab, näiteks e-kirju, makseteavet, sisselogimismandaate või midagi muud!

Seega, kui logite kunagi sisse klahvilogijaga nakatunud seadmes kontole või sisestate lihtsalt oma sisselogimismandaadid märkmete rakendusse või paroolihaldurisse, näete kõike, mida sisestate. Seejärel võtab ründaja need mandaadid ja kasutab juurdepääsu ühele või mitmele teie võrgukontole.

Sa pead teadma kuidas klahvilogijaid tuvastada ja eemaldada teie andmete kaitsmiseks, kui teie seadmed nakatuvad.

Kuidas vältida parooli murdmist

Paroolimurdmise vältimine nõuab paari meedet, alustades loomulikult kasutatavatest paroolidest. Kuigi on ahvatlev kasutada kõigi oma kontode jaoks lihtsat parooli, ohustab see teid tohutult paroolimurdmise, eriti jõhkra jõu rünnakute eest. Enamik veebisaite kirjeldab parooli loomisel mõningaid nõudeid, nagu suur- ja suurtähtede segamine, sümbolite ja numbrite kasutamine ning minimaalne pikkus.

Need on kindlad parameetrid, mida tuleb järgida, kuid on ka muid asju, mida peaksite vältima, näiteks isikliku teabe (nt sünnipäevad, nimed jne) kasutamine paroolides. Samuti peaksite vältima sama parooli kasutamist kõigi oma kontode jaoks: kui teie mandaat satuvad kontole Ründaja käes, on neil võimalus teha veelgi rohkem kahju, ohustades rohkem kui ühte konto.

Lisaks paroolide täpsustamisele peaksite ka teadma kuidas tuvastada andmepüügiga seotud suhtlust, kuna neid kasutatakse ka sisselogimismandaatide varastamiseks. Mõned märgid, millele peaksite alati tähelepanu pöörama, on järgmised:

• Kehv õigekiri ja grammatika.
• Ebatavaline meiliaadress.
• Pakutud lingid.
• Lingid, mille kontrolliv sait on pahatahtlikena esile tõstnud.
• Liiga veenev/kiireloomuline keel.

Lisaks peaksite kaaluma kahe- või mitmefaktorilise autentimise kasutamist, et lisada oma kontodele täiendav turvakiht. Nii, kui ründaja proovib sisse logida teie kasutajanime ja parooliga, peate esmalt kontrollima sisselogimiskatset eraldi seadmest või kanalist, näiteks SMS-ist või e-postist.

Paroolimurdmine seab kõik ohtu

Pole kahtlust, et need paroolimurdmise tehnikad ohustavad kasutajate turvalisust ja privaatsust kogu maailmas. Paroolimurdmise kaudu on juba varastatud tohutul hulgal andmeid ja ei saa öelda, et teid ei võeta sihikule. Seega veenduge, et teate, kuidas sellest pahatahtlikust ettevõtmisest eemale hoida, et hoida oma kontod turvalisena.