Ang pag-unawa sa mga diskarte sa pag-crack ng password na ginagamit ng mga hacker para buksan ang iyong mga online na account ay isang mahusay na paraan upang matiyak na hindi ito mangyayari sa iyo.
Tiyak na palaging kailangan mong baguhin ang iyong password, at kung minsan ay mas apurahan kaysa sa iyong iniisip, ngunit ang pagpapagaan laban sa pagnanakaw ay isang mahusay na paraan upang manatiling nangunguna sa seguridad ng iyong account. Maaari kang palaging magtungo sa www.haveibeenpwned.com upang tingnan kung nasa panganib ka, ngunit ang pag-iisip na ang iyong password ay sapat na ligtas upang hindi ma-hack in ay isang masamang pag-iisip.
Kaya, para matulungan kang maunawaan kung paano nakukuha ng mga hacker ang iyong mga password – secure o kung hindi man – nagsama-sama kami ng listahan ng nangungunang sampung diskarte sa pag-crack ng password na ginagamit ng mga hacker. Ang ilan sa mga pamamaraan sa ibaba ay tiyak na luma na, ngunit hindi iyon nangangahulugan na hindi pa rin sila ginagamit. Basahin nang mabuti at alamin kung ano ang dapat na mapagaan.
Ang Nangungunang Sampung Mga Pamamaraan sa Pag-crack ng Password na Ginamit ng mga Hacker
1. Pag-atake sa diksyunaryo
Ang pag-atake sa diksyunaryo ay gumagamit ng isang simpleng file na naglalaman ng mga salita na maaaring matagpuan sa isang diksyunaryo, kaya ang pangalan nito ay medyo diretso. Sa madaling salita, ang pag-atake na ito ay gumagamit ng eksaktong uri ng mga salita na ginagamit ng maraming tao bilang kanilang password.
Ang matalinong pagsasama-sama ng mga salita tulad ng "letmein" o "superadministratorguy" ay hindi mapipigilan ang iyong password na ma-crack sa ganitong paraan - mabuti, hindi para sa higit sa ilang dagdag na segundo.
2. Brute Force Attack
Katulad ng pag-atake sa diksyunaryo, ang brute force na pag-atake ay may karagdagang bonus para sa hacker. Sa halip na gumamit lang ng mga salita, binibigyang-daan sila ng malupit na pag-atake na makakita ng mga hindi diksyunaryong salita sa pamamagitan ng pagtatrabaho sa lahat ng posibleng alpha-numeric na kumbinasyon mula aaa1 hanggang zzz10.
Hindi ito mabilis, sa kondisyon na ang iyong password ay higit sa isang maliit na bilang ng mga character ang haba, ngunit malalaman nito ang iyong password sa kalaunan. Maaaring paikliin ang mga pag-atake ng brute force sa pamamagitan ng paghagis ng karagdagang lakas ng computing, sa mga tuntunin ng parehong kapangyarihan sa pagpoproseso – kabilang ang paggamit ng kapangyarihan ng GPU ng iyong video card – at mga numero ng makina, gaya ng paggamit ng mga distributed computing na modelo tulad ng mga online na minero ng bitcoin.
3. Rainbow Table Attack
Ang mga Rainbow table ay hindi kasingkulay ng maaaring ipahiwatig ng kanilang pangalan ngunit, para sa isang hacker, ang iyong password ay maaaring nasa dulo nito. Sa pinakasimpleng paraan na posible, maaari mong pakuluan ang isang bahaghari na talahanayan sa isang listahan ng mga paunang nakalkula na mga hash - ang numerical na halaga na ginagamit kapag nag-e-encrypt ng isang password. Naglalaman ang talahanayang ito ng mga hash ng lahat ng posibleng kumbinasyon ng password para sa anumang ibinigay na algorithm ng hashing. Ang mga Rainbow table ay kaakit-akit dahil binabawasan nito ang oras na kailangan upang i-crack ang isang password hash sa simpleng paghahanap ng isang bagay sa isang listahan.
Gayunpaman, ang mga rainbow table ay napakalaki, mahirap gamitin na mga bagay. Nangangailangan sila ng seryosong kapangyarihan sa pag-compute upang tumakbo at ang isang talahanayan ay magiging walang silbi kung ang hash na sinusubukan nitong hanapin ay "na-salted" sa pamamagitan ng pagdaragdag ng mga random na character sa password nito bago ang pag-hash ng algorithm.
Mayroong usapan tungkol sa mga salted rainbow table na umiiral, ngunit ang mga ito ay magiging napakalaki na mahirap gamitin sa pagsasanay. Malamang na gagana lang ang mga ito sa isang paunang natukoy na hanay ng "random na character" at mga string ng password na mas mababa sa 12 character dahil ang laki ng talahanayan ay magiging hadlang sa mga hacker sa antas ng estado kung hindi man.
4. Phishing
Mayroong madaling paraan para i-hack, tanungin ang user para sa kanyang password. Ang isang phishing na email ay humahantong sa hindi mapag-aalinlanganang mambabasa sa isang spoofed log in page na nauugnay sa anumang serbisyong nais i-access ng hacker, kadalasan sa pamamagitan ng paghiling sa user na ayusin ang ilang kahila-hilakbot na problema sa kanilang seguridad. Ang pahinang iyon ay nagsa-skim ng kanilang password at maaaring gamitin ito ng hacker para sa kanilang sariling layunin.
Bakit mag-abala sa pag-crack ng password kung ang gumagamit ay masayang ibibigay ito sa iyo pa rin?
5. Social Engineering
Kinukuha ng social engineering ang buong konsepto ng "itanong sa user" sa labas ng inbox na may posibilidad na manatili ang phishing at sa totoong mundo.
Ang isang paborito ng social engineer ay tumawag sa isang opisina na nagpapanggap bilang isang IT security tech na tao at hilingin lamang ang password sa pag-access sa network. Magugulat ka sa kung gaano kadalas ito gumagana. Ang ilan ay may mga kinakailangang gonad na magsuot ng suit at name badge bago pumasok sa isang negosyo upang tanungin ang receptionist ng parehong tanong nang harapan.
6. Malware
Ang isang keylogger, o screen scraper, ay maaaring i-install ng malware na nagtatala ng lahat ng iyong tina-type o kumukuha ng mga screenshot sa panahon ng proseso ng pag-log in, at pagkatapos ay nagpapasa ng kopya ng file na ito sa hacker central.
Hahanapin ng ilang malware ang pagkakaroon ng file ng password ng kliyente ng web browser at kokopyahin ito na, maliban kung maayos na naka-encrypt, ay maglalaman ng madaling ma-access na mga naka-save na password mula sa kasaysayan ng pagba-browse ng user.
7. Offline na Pag-crack
Madaling isipin na ligtas ang mga password kapag na-lock ng mga system na pinoprotektahan nila ang mga user pagkatapos ng tatlo o apat na maling hula, na hinaharangan ang mga awtomatikong application ng paghula. Well, iyon ay magiging totoo kung ito ay hindi para sa katotohanan na ang karamihan sa pag-hack ng password ay nagaganap nang offline, gamit ang isang hanay ng mga hash sa isang password file na 'nakuha' mula sa isang nakompromisong sistema.
Kadalasan ang target na pinag-uusapan ay nakompromiso sa pamamagitan ng isang hack sa isang third party, na pagkatapos ay nagbibigay ng access sa mga server ng system at ang lahat ng mahalagang user password hash file. Ang password cracker ay maaaring tumagal hangga't kailangan nilang subukan at i-crack ang code nang hindi inaalerto ang target na system o indibidwal na user.
8. Pag-surf sa Balikat
Ang isa pang anyo ng social engineering, ang shoulder surfing, tulad ng ipinahihiwatig nito, ay nangangailangan ng pagsilip sa mga balikat ng isang tao habang sila ay naglalagay ng mga kredensyal, mga password, atbp. Bagama't ang konsepto ay napakababang teknolohiya, magugulat ka kung gaano karaming mga password at sensitibong impormasyon ay ninakaw sa ganitong paraan, kaya manatiling may kamalayan sa iyong paligid kapag nag-a-access ng mga bank account, atbp. on the go.
Ang pinaka-kumpiyansa sa mga hacker ay magkukunwari ng parcel courier, aircon service technician, o anumang bagay na magbibigay sa kanila ng access sa isang gusali ng opisina. Kapag nakapasok na sila, ang "uniporme" ng mga tauhan ng serbisyo ay nagbibigay ng isang uri ng libreng pass para gumala nang walang sagabal, at tandaan ang mga password na ipinasok ng mga tunay na miyembro ng staff. Nagbibigay din ito ng isang mahusay na pagkakataon upang mapansin ang lahat ng mga post-it na tala na nakadikit sa harap ng mga LCD screen na may mga login na nakasulat sa mga ito.
9. Paggagamba
Napagtanto ng mga matalinong hacker na maraming mga corporate password ang binubuo ng mga salita na konektado sa negosyo mismo. Ang pag-aaral ng corporate literature, website sales material, at maging ang mga website ng mga kakumpitensya at nakalistang customer ay maaaring magbigay ng bala upang bumuo ng custom na listahan ng salita na gagamitin sa isang brute force na pag-atake.
Ang mga tunay na matalinong hacker ay nag-automate ng proseso at hinayaan ang isang spidering application, katulad ng mga web crawler na ginagamit ng mga nangungunang search engine upang matukoy ang mga keyword, mangolekta at mag-collate ng mga listahan para sa kanila.
10. Hulaan
Ang pinakamatalik na kaibigan ng mga crackers ng password, siyempre, ay ang predictability ng user. Maliban kung ang isang tunay na random na password ay ginawa gamit ang software na nakatuon sa gawain, ang isang user-generated na 'random' na password ay hindi malamang na maging anumang uri.
Sa halip, salamat sa emosyonal na attachment ng ating utak sa mga bagay na gusto natin, malamang na ang mga random na password ay nakabatay sa ating mga interes, libangan, alagang hayop, pamilya, at iba pa. Sa katunayan, ang mga password ay kadalasang nakabatay sa lahat ng bagay na gusto naming i-chat sa mga social network at kahit na isama sa aming mga profile. Malaki ang posibilidad na tingnan ng mga password cracker ang impormasyong ito at gumawa ng ilan – kadalasang tama – may pinag-aralan na mga hula kapag sinusubukang i-crack ang isang password sa antas ng consumer nang hindi gumagamit ng diksyunaryo o brute force na pag-atake.
Iba Pang Pag-atake na Dapat Mag-ingat
Kung ang mga hacker ay kulang sa anumang bagay, ito ay hindi pagkamalikhain. Gamit ang iba't ibang diskarte at pag-angkop sa patuloy na pagbabago ng mga protocol ng seguridad, patuloy na nagtatagumpay ang mga interlopers na ito.
Halimbawa, malamang na nakita ng sinuman sa Social Media ang nakakatuwang mga pagsusulit at mga template na humihiling sa iyo na pag-usapan ang tungkol sa iyong unang kotse, ang iyong paboritong pagkain, ang numero unong kanta sa iyong ika-14 na kaarawan. Bagama't mukhang hindi nakakapinsala ang mga larong ito at tiyak na nakakatuwang i-post ang mga ito, isa talaga itong bukas na template para sa mga tanong sa seguridad at mga sagot sa pag-verify ng access sa account.
Kapag nagse-set up ng isang account, marahil ay subukang gumamit ng mga sagot na hindi talaga nauukol sa iyo ngunit, na madali mong matandaan. "Ano ang iyong unang kotse?" Sa halip na sumagot ng totoo, ilagay ang iyong pangarap na sasakyan sa halip. Kung hindi, huwag lang mag-post ng anumang mga sagot sa seguridad online.
Ang isa pang paraan upang makakuha ng access ay ang pag-reset lamang ng iyong password. Ang pinakamahusay na linya ng depensa laban sa isang interloper na nagre-reset ng iyong password ay ang paggamit ng email address na madalas mong suriin at pinapanatiling updated ang iyong impormasyon sa pakikipag-ugnayan. Kung available, palaging paganahin ang 2-factor na pagpapatotoo. Kahit na malaman ng hacker ang iyong password, hindi nila maa-access ang account nang walang natatanging verification code.
Mga Madalas Itanong
Bakit kailangan ko ng ibang password para sa bawat site?
Malamang alam mo na hindi mo dapat ibigay ang iyong mga password at hindi ka dapat mag-download ng anumang content na hindi ka pamilyar, ngunit paano ang mga account na sina-sign in mo araw-araw? Ipagpalagay na ginagamit mo ang parehong password para sa iyong bank account na ginagamit mo para sa isang arbitrary na account tulad ng Grammarly. Kung ang Grammarly ay na-hack, ang user ay magkakaroon din ng iyong banking password (at posibleng ang iyong email ay ginagawang mas madali upang makakuha ng access sa lahat ng iyong pinansyal na mapagkukunan).
Ano ang maaari kong gawin upang maprotektahan ang aking mga account?
Ang paggamit ng 2FA sa anumang mga account na nag-aalok ng tampok, paggamit ng mga natatanging password para sa bawat account, at paggamit ng pinaghalong mga titik at simbolo ay ang pinakamahusay na linya ng depensa laban sa mga hacker. Gaya ng nabanggit dati, maraming iba't ibang paraan kung paano nagkakaroon ng access ang mga hacker sa iyong mga account, kaya ang iba pang mga bagay na kailangan mong tiyakin na regular mong ginagawa ay ang pagpapanatiling napapanahon ang iyong software at mga app (para sa mga patch ng seguridad) at pag-iwas sa anumang mga pag-download na hindi ka pamilyar.
Ano ang pinakaligtas na paraan upang mapanatili ang mga password?
Ang pagsubaybay sa ilang kakaibang kakaibang password ay maaaring maging napakahirap. Bagama't mas mainam na dumaan sa proseso ng pag-reset ng password kaysa sa makompromiso ang iyong mga account, nakakaubos ito ng oras. Upang panatilihing ligtas ang iyong mga password maaari kang gumamit ng serbisyo tulad ng Last Pass o KeePass upang i-save ang lahat ng password ng iyong account.
Maaari ka ring gumamit ng isang natatanging algorithm upang panatilihin ang iyong mga password habang ginagawa itong mas madaling matandaan. Halimbawa, ang PayPal ay maaaring katulad ng hwpp+c832. Sa pangkalahatan, ang password na ito ay ang unang titik ng bawat break sa URL (//www.paypal.com) na may huling numero sa taon ng kapanganakan ng lahat sa iyong tahanan (bilang halimbawa lang). Kapag nag-log in ka sa iyong account, tingnan ang URL na magbibigay sa iyo ng unang ilang titik ng password na ito.
Magdagdag ng mga simbolo upang gawing mas mahirap i-hack ang iyong password ngunit ayusin ang mga ito para mas madaling matandaan ang mga ito. Halimbawa, ang simbolo na "+" ay maaaring para sa anumang mga account na nauugnay sa entertainment habang ang "!" maaaring gamitin para sa mga account sa pananalapi.