8 Trik Paling Umum Digunakan untuk Meretas Kata Laluan

8 Trik Paling Umum Digunakan untuk Meretas Kata Laluan

Apabila anda mendengar 'pelanggaran keselamatan', apa yang terlintas di fikiran anda? Seorang penggodam jahat duduk di depan skrin yang diliputi dalam teks digital gaya Matrix? Atau remaja yang tinggal di ruang bawah tanah yang belum melihat cahaya siang dalam tiga minggu? Bagaimana dengan superkomputer yang kuat yang cuba menggodam seluruh dunia?





Peretasan adalah satu perkara: kata laluan anda. Sekiranya seseorang dapat meneka kata laluan anda, mereka tidak memerlukan teknik penggodaman dan superkomputer mewah. Mereka hanya akan masuk, bertindak seperti anda. Sekiranya kata laluan anda pendek dan ringkas, permainan akan habis.



Terdapat lapan taktik biasa yang digunakan penggodam untuk menggodam kata laluan anda.





1. Hack Kamus

Yang pertama dalam panduan taktik penggodaman kata laluan yang biasa adalah serangan kamus. Mengapa disebut serangan kamus? Kerana ia secara automatik mencuba setiap perkataan dalam 'kamus' yang ditentukan dengan kata laluan. Kamus tidak betul-betul kamus yang anda gunakan di sekolah.

Tidak. Kamus ini sebenarnya fail kecil yang mengandungi kombinasi kata laluan yang paling biasa digunakan juga. Itu termasuk 123456, qwerty, kata laluan, iloveyou, dan klasik sepanjang masa, pemburu2.



cara membersihkan data lain di iphone

Jadual di atas memperincikan kata laluan yang paling banyak dibocorkan pada tahun 2016. Jadual di bawah memperincikan kata laluan yang paling banyak dibocorkan pada tahun 2020.

Perhatikan persamaan antara keduanya — dan pastikan anda tidak menggunakan pilihan yang sangat mudah ini.



Kelebihan: Cepat; biasanya akan membuka kunci beberapa akaun yang dilindungi.

Keburukan: Kata laluan yang sedikit kuat akan tetap selamat.



Kekal selamat: Gunakan kata laluan sekali pakai yang kuat untuk setiap akaun, bersama dengan a aplikasi pengurusan kata laluan . Pengurus kata laluan membolehkan anda menyimpan kata laluan anda yang lain di repositori. Kemudian anda boleh menggunakan satu kata laluan yang sangat kuat untuk setiap laman web.

Berkaitan: Pengurus Kata Laluan Google: Cara Bermula

2. Brute Force

Selanjutnya, serangan brute force, di mana penyerang mencuba setiap kemungkinan kombinasi karakter. Kata laluan yang dicuba akan sesuai dengan spesifikasi untuk peraturan kerumitan, mis. termasuk satu huruf besar, satu huruf kecil, perpuluhan Pi, pesanan pizza anda, dan sebagainya.

Serangan brute force juga akan mencuba kombinasi watak alfanumerik yang paling biasa digunakan terlebih dahulu. Ini termasuk kata laluan yang disenaraikan sebelumnya, serta 1q2w3e4r5t, zxcvbnm, dan qwertyuiop. Mungkin memerlukan masa yang sangat lama untuk mengetahui kata laluan menggunakan kaedah ini, tetapi itu bergantung sepenuhnya pada kerumitan kata laluan.

Kelebihan: Secara teorinya, ia akan memecahkan kata laluan dengan mencuba setiap kombinasi.

Keburukan: Bergantung pada panjang dan kesulitan kata laluan, mungkin memerlukan masa yang sangat lama. Buangkan beberapa pemboleh ubah seperti $, &, {, atau], dan mengetahui kata laluan menjadi sangat sukar.

Kekal selamat: Sentiasa gunakan kombinasi watak yang berubah-ubah, dan jika boleh, memperkenalkan simbol tambahan untuk meningkatkan kerumitan .

3. Pancingan data

Ini bukan sekadar 'hack', tetapi menjadi mangsa percubaan phishing atau spear-phishing biasanya akan berakhir dengan teruk. E-mel pancingan data umum dihantar oleh berbilion-bilion kepada semua pengguna internet di seluruh dunia.

E-mel pancingan data biasanya berfungsi seperti ini:

  1. Pengguna sasaran menerima e-mel palsu yang dikatakan berasal dari organisasi atau perniagaan utama.
  2. E-mel palsu menuntut perhatian segera, yang memaparkan pautan ke laman web.
  3. Pautan ini sebenarnya menghubungkan ke portal masuk palsu, diejek sehingga kelihatan sama seperti laman web yang sah.
  4. Pengguna sasaran yang tidak curiga memasukkan kelayakan masuk mereka dan diarahkan atau disuruh mencuba lagi.
  5. Kredensial pengguna dicuri, dijual, atau digunakan secara tidak sengaja (atau kedua-duanya).

Jumlah spam harian yang dihantar ke seluruh dunia tetap tinggi, merangkumi lebih separuh daripada semua e-mel yang dihantar di seluruh dunia. Tambahan pula, jumlah lampiran jahat juga tinggi, dengan Kaspersky mencatat lebih dari 92 juta lampiran berbahaya dari Januari hingga Jun 2020. Ingat, ini hanya untuk Kaspersky bilangan sebenarnya jauh lebih tinggi .

Kembali pada tahun 2017, daya tarikan pancingan data terbesar adalah invois palsu. Namun, pada tahun 2020, pandemi COVID-19 memberikan ancaman pancingan data baru.

Pada bulan April 2020, tidak lama setelah banyak negara mengalami penutupan wabak, Google diumumkan ia menyekat lebih daripada 18 juta e-mel spam dan phishing berbahaya bertema COVID-19 setiap hari. Sebilangan besar e-mel ini menggunakan penjenamaan rasmi kerajaan atau organisasi kesihatan untuk kesahan dan membuat mangsa terlindung.

Kelebihan: Pengguna secara harfiah menyerahkan maklumat log masuk mereka, termasuk kata laluan - kadar hit yang agak tinggi, mudah disesuaikan dengan perkhidmatan tertentu atau orang tertentu dalam serangan spear-phishing.

Keburukan: E-mel spam ditapis dengan mudah, domain spam disenarai hitam, dan penyedia utama seperti Google sentiasa mengemas kini perlindungan.

Kekal selamat: Jangan ragu terhadap e-mel, dan tingkatkan penapis spam anda ke tahap tertinggi atau, lebih baik lagi, gunakan senarai putih proaktif. Gunakan penyemak pautan untuk memastikan jika pautan e-mel sah sebelum mengklik.

4. Kejuruteraan Sosial

Kejuruteraan sosial pada dasarnya adalah pancingan data di dunia nyata, jauh dari layar.

Bahagian inti dari sebarang audit keselamatan adalah mengukur apa yang difahami oleh seluruh tenaga kerja. Sebagai contoh, syarikat keselamatan akan menelefon perniagaan yang mereka audit. 'Penyerang' memberitahu orang yang ada di telefon bahawa mereka adalah pasukan sokongan teknologi pejabat baru, dan mereka memerlukan kata laluan terkini untuk sesuatu yang spesifik.

Individu yang tidak curiga boleh menyerahkan kunci tanpa berhenti berfikir.

Yang menakutkan adalah seberapa kerap ini berfungsi. Kejuruteraan sosial telah wujud selama berabad-abad. Menjadi duplikasi untuk masuk ke kawasan yang selamat adalah kaedah serangan yang biasa dan satu-satunya cara yang tidak dilindungi dengan pendidikan.

Ini kerana serangan tidak akan selalu meminta kata laluan secara langsung. Mungkin tukang paip palsu atau juruelektrik meminta masuk ke bangunan yang selamat, dan sebagainya.

Apabila seseorang mengatakan bahawa mereka ditipu untuk mendedahkan kata laluan mereka, ini sering kali merupakan hasil kejuruteraan sosial.

Kelebihan: Jurutera sosial yang mahir dapat mengekstrak maklumat bernilai tinggi dari pelbagai sasaran. Ia dapat disebarkan kepada hampir semua orang, di mana sahaja. Ia sangat tersembunyi.

Keburukan: Kegagalan kejuruteraan sosial dapat menimbulkan kecurigaan mengenai serangan yang akan datang, dan ketidakpastian sama ada maklumat yang betul diperoleh.

Kekal selamat : Ini sukar. Serangan kejuruteraan sosial yang berjaya akan selesai apabila anda menyedari bahawa ada sesuatu yang salah. Kesedaran pendidikan dan keselamatan adalah taktik inti mitigasi. Elakkan menyiarkan maklumat peribadi yang kemudian boleh digunakan terhadap anda.

5. Jadual Pelangi

Meja pelangi biasanya merupakan serangan kata laluan luar talian. Sebagai contoh, penyerang telah memperoleh senarai nama pengguna dan kata laluan, tetapi mereka disulitkan. Kata laluan yang disulitkan dicincang. Ini bermaksud ia kelihatan sama sekali berbeza dengan kata laluan asal.

Contohnya, kata laluan anda (semoga tidak!) Logmein. Hash MD5 yang diketahui untuk kata laluan ini ialah '8f4047e3233b39e4444e1aef240e80aa.'

Mengganggu anda dan saya. Tetapi dalam kes tertentu, penyerang akan menjalankan senarai kata laluan biasa melalui algoritma hash, membandingkan hasilnya dengan fail kata laluan yang dienkripsi. Dalam kes lain, algoritma enkripsi rentan, dan kebanyakan kata laluan sudah retak, seperti MD5 (oleh itu mengapa kita mengetahui hash khusus untuk 'logmein.'

Di sinilah meja pelangi datang sendiri. Daripada harus memproses ratusan ribu kata laluan yang berpotensi dan sepadan dengan hash yang dihasilkannya, jadual pelangi adalah sekumpulan besar nilai hash khusus algoritma yang telah dikomputasi.

Menggunakan meja pelangi secara drastik mengurangkan masa yang diperlukan untuk memecahkan kata laluan yang dicincang - tetapi tidak sempurna. Peretas boleh membeli meja pelangi yang sudah siap diisi dengan berjuta-juta kombinasi berpotensi.

Kelebihan: Dapat mengetahui kata laluan yang kompleks dalam jangka masa yang singkat; memberikan penggodam banyak kuasa terhadap senario keselamatan tertentu.

Keburukan: Memerlukan banyak ruang untuk menyimpan meja pelangi (kadang-kadang terabyte) yang sangat besar. Juga, penyerang terhad kepada nilai-nilai yang terdapat dalam jadual (jika tidak, mereka mesti menambahkan keseluruhan jadual lain).

cara streaming dari mac ke roku

Kekal selamat: Satu lagi rumit. Meja pelangi menawarkan pelbagai potensi serangan. Elakkan mana-mana laman web yang menggunakan SHA1 atau MD5 sebagai algoritma hashing kata laluan mereka. Elakkan mana-mana laman web yang membatasi anda dengan kata laluan pendek atau menyekat watak yang boleh anda gunakan. Sentiasa gunakan kata laluan yang kompleks.

Berkaitan: Cara Memberitahu Jika Laman web Menyimpan Kata Laluan sebagai Plaintext (Dan Apa yang Perlu Dilakukan)

6. Perisian jahat / Keylogger

Cara lain yang pasti untuk kehilangan kelayakan masuk anda adalah dengan tidak mengikuti perisian hasad. Perisian hasad terdapat di mana-mana, dengan potensi untuk melakukan kerosakan besar. Sekiranya varian malware mempunyai keylogger, anda boleh menjumpainya semua akaun anda terganggu.

Sebagai alternatif, perisian hasad secara khusus dapat menyasarkan data peribadi atau memperkenalkan Trojan akses jauh untuk mencuri bukti kelayakan anda.

Kelebihan: Ribuan varian malware, banyak disesuaikan, dengan beberapa kaedah penghantaran yang mudah. Peluang baik sejumlah sasaran yang tinggi akan menyerah pada sekurang-kurangnya satu varian. Ia tidak dapat dikesan, yang memungkinkan pengambilan data peribadi dan maklumat masuk lebih lanjut.

Keburukan: Kemungkinan perisian hasad tidak akan berfungsi, atau dikarantina sebelum mengakses data; tiada jaminan bahawa data berguna.

Kekal selamat : Pasang dan kemas kini antivirus dan antimalware anda secara berkala perisian. Pertimbangkan sumber muat turun anda dengan teliti. Jangan klik pakej pemasangan yang mengandungi bundleware dan banyak lagi. Jauhkan dari laman web jahat (lebih senang daripada yang dilakukan). Gunakan alat penyekat skrip untuk menghentikan skrip jahat.

7. Labah-labah

Labah-labah mengikat serangan kamus. Sekiranya penggodam mensasarkan institusi atau perniagaan tertentu, mereka mungkin mencuba rangkaian kata laluan yang berkaitan dengan perniagaan itu sendiri. Penggodam dapat membaca dan menyusun serangkaian istilah yang berkaitan — atau menggunakan labah-labah carian untuk melakukan pekerjaan itu.

Anda mungkin pernah mendengar istilah 'labah-labah' sebelum ini. Labah-labah carian ini sangat serupa dengan yang merangkak melalui internet, mengindeks kandungan untuk mesin pencari. Senarai kata khusus kemudian digunakan terhadap akaun pengguna dengan harapan dapat mencari padanan.

Kelebihan: Boleh membuka kunci akaun untuk individu berpangkat tinggi dalam organisasi. Mudah digabungkan dan menambahkan dimensi tambahan pada serangan kamus.

Keburukan: Boleh berakhir tanpa hasil sekiranya keselamatan rangkaian organisasi dikonfigurasi dengan baik.

Kekal selamat: Sekali lagi, gunakan kata laluan sekali pakai yang kuat yang terdiri daripada rentetan rawak; tiada kaitan dengan persona, perniagaan, organisasi dan sebagainya.

berapa kos untuk menaik taraf dari windows 10 home to pro

8. Melayari Bahu

Pilihan terakhir adalah salah satu yang paling asas. Bagaimana jika seseorang melihat ke atas bahu anda semasa anda memasukkan kata laluan anda?

Melayari bahu terdengar agak tidak masuk akal, tetapi ia berlaku. Sekiranya anda bekerja di kafe pusat bandar yang sibuk dan tidak memperhatikan persekitaran anda, seseorang mungkin cukup dekat untuk mencatat kata laluan anda semasa anda menaip.

Kelebihan: Pendekatan teknologi rendah untuk mencuri kata laluan.

Keburukan: Mesti mengenal pasti sasaran sebelum mengetahui kata laluan; boleh mendedahkan diri mereka dalam proses mencuri.

Kekal selamat: Tetap perhatikan orang di sekitar anda semasa menaip kata laluan anda. Tutup papan kekunci anda dan sembunyikan kekunci anda semasa memasukkan.

Sentiasa Gunakan Kata Laluan yang Kuat, Unik, dan Tunggal

Jadi, bagaimana anda menghentikan penggodam mencuri kata laluan anda? Jawapan yang sangat pendek ialah anda tidak boleh selamat 100 peratus . Alat yang digunakan penggodam untuk mencuri data anda selalu berubah dan ada banyak video dan tutorial mengenai meneka kata laluan atau belajar bagaimana menggodam kata laluan.

Satu perkara yang pasti: menggunakan kata laluan yang kuat, unik dan sekali pakai tidak akan menyusahkan sesiapa pun.

Berkongsi Berkongsi Tweet E-mel 5 Alat Kata Laluan untuk Membuat Frasa Laluan yang Kuat dan Mengemas kini Keselamatan Anda

Buat kata laluan yang kuat yang anda boleh ingat kemudian. Gunakan aplikasi ini untuk meningkatkan keselamatan anda dengan kata laluan kuat baru hari ini.

Baca Seterusnya Topik-topik yang berkaitan
  • Keselamatan
  • Petua Kata Laluan
  • Keselamatan Dalam Talian
  • Peretasan
  • Petua Keselamatan
Mengenai Pengarang Gavin Phillips(945 Artikel Diterbitkan)

Gavin adalah Editor Junior untuk Windows dan Teknologi yang Dijelaskan, penyumbang tetap Podcast yang Sangat Berguna, dan pengulas produk biasa. Dia memiliki Penulisan Kontemporari BA (Kepujian) dengan Amalan Seni Digital yang dijarah dari bukit Devon, serta lebih dari satu dekad pengalaman menulis profesional. Dia menikmati banyak teh, permainan papan, dan bola sepak.

Lagi Dari Gavin Phillips

Langgan buletin kami

Sertailah buletin kami untuk mendapatkan petua, ulasan, ebook percuma, dan tawaran eksklusif!

Klik di sini untuk melanggan