Porozumění technikám prolomení hesel, které hackeři používají k otevření vašich online účtů, je skvělý způsob, jak zajistit, aby se vám to nikdy nestalo.
Určitě budete vždy muset změnit své heslo a někdy naléhavěji, než si myslíte, ale zmírnění rizika krádeže je skvělý způsob, jak zůstat na vrcholu zabezpečení svého účtu. Vždy můžete zamířit na stránku www.haveibeenpwned.com a zkontrolovat, zda nejste v ohrožení, ale myslet si, že je vaše heslo dostatečně bezpečné, aby k němu nebylo hacknuto, je špatný způsob myšlení.
Abychom vám pomohli porozumět tomu, jak hackeři získávají vaše hesla – zabezpečená nebo jinak – sestavili jsme seznam deseti nejlepších technik prolomení hesel používaných hackery. Některé z níže uvedených metod jsou jistě zastaralé, ale to neznamená, že se stále nepoužívají. Přečtěte si pozorně a zjistěte, proti čemu se bránit.
Deset nejlepších technik prolomení hesel používaných hackery
1. Slovníkový útok
Slovníkový útok používá jednoduchý soubor obsahující slova, která lze najít ve slovníku, proto je jeho poměrně přímočarý název. Jinými slovy, tento útok používá přesně ten druh slov, který mnoho lidí používá jako heslo.
Chytré seskupení slov jako „letmein“ nebo „superadministratorguy“ nezabrání tomu, aby bylo vaše heslo prolomeno tímto způsobem – tedy ne na více než několik sekund navíc.
2. Útok hrubou silou
Podobně jako slovníkový útok má útok hrubou silou pro hackera další bonus. Místo pouhého používání slov jim útok hrubou silou umožňuje detekovat slova, která nejsou ve slovníku, procházením všech možných alfanumerických kombinací od aaa1 po zzz10.
Není to rychlé, za předpokladu, že vaše heslo je delší než několik znaků, ale nakonec vaše heslo odhalí. Útoky hrubou silou lze zkrátit přidáním dodatečného výpočetního výkonu, a to jak z hlediska výpočetního výkonu – včetně využití výkonu GPU vaší grafické karty – tak z hlediska počtu strojů, jako je použití distribuovaných výpočetních modelů, jako jsou online těžaři bitcoinů.
3. Rainbow Table Attack
Rainbow tabulky nejsou tak barevné, jak by jejich název mohl naznačovat, ale pro hackera může být vaše heslo na konci. Tím nejpřímějším možným způsobem můžete duhovou tabulku převést na seznam předem vypočítaných hashů – číselné hodnoty používané při šifrování hesla. Tato tabulka obsahuje hashe všech možných kombinací hesel pro jakýkoli daný hashovací algoritmus. Rainbow tabulky jsou atraktivní, protože zkracují čas potřebný k prolomení hash hesla na pouhé vyhledání něčeho v seznamu.
Nicméně, duhové stoly jsou obrovské, nepraktické věci. Ke svému běhu vyžadují seriózní výpočetní výkon a tabulka se stává zbytečnou, pokud byl hash, který se snaží najít, „osolený“ přidáním náhodných znaků do hesla před hashováním algoritmu.
Hovoří se o existujících slaných duhových stolech, ale ty by byly tak velké, že by se daly jen těžko použít v praxi. Pravděpodobně by fungovaly pouze s předdefinovanou sadou „náhodných znaků“ a řetězci hesel kratšími než 12 znaků, protože velikost tabulky by jinak byla pro hackery na státní úrovni nedostupná.
4. Phishing
Existuje snadný způsob, jak hacknout, požádejte uživatele o jeho heslo. Phishingový e-mail zavede nic netušícího čtenáře na falešnou přihlašovací stránku spojenou s jakoukoli službou, ke které chce hacker získat přístup, obvykle tím, že požádá uživatele, aby napravil nějaký hrozný problém se svou bezpečností. Tato stránka pak přečte jejich heslo a hacker je může použít pro svůj vlastní účel.
Proč se namáhat s prolomením hesla, když vám ho uživatel stejně rád dá?
5. Sociální inženýrství
Sociální inženýrství přesouvá celý koncept „zeptejte se uživatele“ mimo doručenou poštu, kterou má phishing tendenci držet se skutečného světa.
Oblíbeným sociálním inženýrem je zavolat do kanceláře vydávající se za IT bezpečnostního technika a jednoduše požádat o heslo pro přístup k síti. Divili byste se, jak často to funguje. Někteří mají dokonce potřebné pohlavní žlázy, aby si oblékli oblek a jmenovku, než vejdou do podniku, aby se na stejnou otázku zeptali recepčního tváří v tvář.
6. Malware
Keylogger nebo screen scraper může být nainstalován malwarem, který zaznamenává vše, co píšete, nebo pořizuje snímky obrazovky během procesu přihlašování, a poté předává kopii tohoto souboru do centrály hackerů.
Některý malware bude hledat existenci souboru s hesly klienta webového prohlížeče a zkopíruje jej, který, pokud není správně zašifrován, bude obsahovat snadno dostupná uložená hesla z historie procházení uživatele.
7. Offline cracking
Je snadné si představit, že hesla jsou bezpečná, když systémy, které chrání, zablokují uživatele po třech nebo čtyřech chybných uhodnutích a zablokují automatické aplikace pro hádání. To by byla pravda, nebýt skutečnosti, že většina hackování hesel probíhá offline pomocí sady hashů v souboru hesel, který byl ‚získán‘ z kompromitovaného systému.
Dotyčný cíl byl často kompromitován prostřednictvím hacku na třetí straně, která pak poskytuje přístup k systémovým serverům a těmto velmi důležitým souborům hash uživatelských hesel. Prolomení hesel pak může trvat tak dlouho, jak potřebuje, aby se pokusil prolomit kód, aniž by upozornil cílový systém nebo jednotlivého uživatele.
8. Ramenní surfování
Další forma sociálního inženýrství, surfování přes rameno, přesně jak to naznačuje, znamená nahlížet lidem přes ramena při zadávání přihlašovacích údajů, hesel atd. Přestože jde o velmi nízkou technologii, byli byste překvapeni, kolik hesel a citlivých informací je tímto způsobem odcizen, proto buďte informováni o svém okolí, když přistupujete k bankovním účtům atd. na cestách.
Nejsebevědomější z hackerů převezme masku balíkového kurýra, servisního technika klimatizace nebo čehokoli jiného, co jim umožní přístup do kancelářské budovy. Jakmile jsou uvnitř, „uniforma“ servisního personálu poskytuje jakousi volnou cestu k nerušenému putování a zaznamenávání hesel zadávaných skutečnými členy personálu. Poskytuje také vynikající příležitost podívat se na všechny ty post-it poznámky nalepené na přední straně LCD obrazovek s načmáranými přihlašovacími údaji.
9. Pavouk
Důvtipní hackeři si uvědomili, že mnoho firemních hesel se skládá ze slov, která jsou spojena se samotným podnikáním. Studium firemní literatury, prodejních materiálů na webových stránkách a dokonce i webových stránek konkurentů a kótovaných zákazníků může poskytnout munici k vytvoření vlastního seznamu slov, který lze použít při útoku hrubou silou.
Opravdu důvtipní hackeři tento proces zautomatizovali a nechali spideringovou aplikaci, podobnou webovým prohledávačům, které používají přední vyhledávače k identifikaci klíčových slov, shromažďování a třídění seznamů pro ně.
10. Hádej
Nejlepším přítelem prolomení hesel je samozřejmě předvídatelnost uživatele. Pokud nebylo vytvořeno skutečně náhodné heslo pomocí softwaru určeného pro daný úkol, uživatelem vygenerované „náhodné“ heslo pravděpodobně nebude nic podobného.
Místo toho, díky emocionální vazbě našeho mozku na věci, které se nám líbí, je pravděpodobné, že tato náhodná hesla vycházejí z našich zájmů, koníčků, domácích mazlíčků, rodiny a tak dále. Ve skutečnosti jsou hesla založena na všech věcech, o kterých rádi chatujeme na sociálních sítích a dokonce je zařazujeme do našich profilů. Prolomení hesel se velmi pravděpodobně podívá na tyto informace a učiní několik – často správných – kvalifikovaných odhadů, když se pokoušejí prolomit heslo na úrovni spotřebitele, aniž by se uchýlili k útokům pomocí slovníku nebo hrubou silou.
Další útoky, na které si dejte pozor
Pokud hackerům něco chybí, není to kreativita. Pomocí různých technik a přizpůsobování se neustále se měnícím bezpečnostním protokolům jsou tito vetřelci nadále úspěšní.
Například kdokoli na sociálních sítích pravděpodobně viděl zábavné kvízy a šablony, které vás žádají, abyste promluvili o svém prvním autě, oblíbeném jídle, písničce číslo jedna k vašim 14. narozeninám. I když se tyto hry zdají neškodné a jejich zveřejňování je rozhodně zábavné, ve skutečnosti jde o otevřenou šablonu pro bezpečnostní otázky a odpovědi na ověření přístupu k účtu.
Při zakládání účtu možná zkuste použít odpovědi, které se vás ve skutečnosti netýkají, ale které si snadno zapamatujete. "Jaké bylo tvé první auto?" Místo toho, abyste pravdivě odpovídali, dejte místo toho své vysněné auto. V opačném případě jednoduše nezveřejňujte žádné bezpečnostní odpovědi online.
Dalším způsobem, jak získat přístup, je jednoduše resetovat heslo. Nejlepší linií obrany proti vetřelci, který resetuje vaše heslo, je použití e-mailové adresy, kterou často kontrolujete, a udržování aktuálních kontaktních údajů. Je-li k dispozici, vždy povolte dvoufaktorové ověřování. I když se hacker dozví vaše heslo, nebude mít přístup k účtu bez jedinečného ověřovacího kódu.
Často kladené otázky
Proč potřebuji pro každý web jiné heslo?
Pravděpodobně víte, že byste neměli prozradit svá hesla a neměli byste stahovat žádný obsah, který neznáte, ale co účty, do kterých se každý den přihlašujete? Předpokládejme, že pro svůj bankovní účet používáte stejné heslo, jaké používáte pro libovolný účet, jako je Grammarly. Pokud je Grammarly hacknut, uživatel má také vaše bankovní heslo (a možná i váš e-mail, díky čemuž bude ještě snazší získat přístup ke všem vašim finančním zdrojům).
Co mohu udělat pro ochranu svých účtů?
Používání 2FA na všech účtech, které tuto funkci nabízejí, používání jedinečných hesel pro každý účet a používání směsi písmen a symbolů je nejlepší linií obrany proti hackerům. Jak již bylo uvedeno výše, existuje mnoho různých způsobů, jak hackeři získat přístup k vašim účtům, takže další věcí, kterou musíte zajistit, abyste se ujistili, že to děláte pravidelně, je udržovat váš software a aplikace aktuální (pro bezpečnostní záplaty) a vyhýbejte se stahování, které neznáte.
Jaký je nejbezpečnější způsob uchování hesel?
Udržet krok s několika jedinečně podivnými hesly může být neuvěřitelně obtížné. Přestože je mnohem lepší projít procesem resetování hesla, než nechat své účty kompromitovat, je to časově náročné. Chcete-li udržet svá hesla v bezpečí, můžete použít službu jako Last Pass nebo KeePass k uložení všech hesel vašich účtů.
Můžete také použít jedinečný algoritmus k uchování hesel a zároveň si je usnadnit zapamatování. Například PayPal může být něco jako hwpp+c832. Toto heslo je v podstatě prvním písmenem každého přerušení adresy URL (//www.paypal.com) s posledním číslem v roce narození každého ve vaší domácnosti (jen jako příklad). Když se přihlásíte ke svému účtu, zobrazte adresu URL, která vám poskytne několik prvních písmen tohoto hesla.
Přidejte symboly, aby bylo hacknutí hesla ještě obtížnější, ale uspořádejte je tak, aby bylo snazší si je zapamatovat. Například symbol „+“ může být pro jakýkoli účet související se zábavou, zatímco symbol „!“ lze použít pro finanční účty.