Memahami teknik memecahkan kata laluan yang digunakan penggodam untuk membuka akaun dalam talian anda dengan terbuka adalah cara yang baik untuk memastikannya tidak pernah berlaku kepada anda.
Anda pastinya selalu perlu menukar kata laluan anda, dan kadang-kadang lebih mendesak daripada yang anda fikirkan, tetapi mengurangkan pencurian adalah cara terbaik untuk terus menjaga keselamatan akaun anda. Anda selalu boleh melayari laman web www.haveibeenpwned.com untuk memeriksa sama ada anda berisiko, tetapi hanya menganggap kata laluan anda cukup selamat sehingga tidak dapat diretas adalah pemikiran yang buruk.
Oleh itu, untuk membantu anda memahami bagaimana penggodam mendapatkan kata laluan anda - selamat atau sebaliknya - kami telah mengumpulkan senarai sepuluh teknik memecahkan kata laluan yang digunakan oleh penggodam. Beberapa kaedah di bawah pastinya sudah ketinggalan zaman, tetapi itu tidak bermakna kaedah tersebut masih belum digunakan. Baca dengan teliti dan pelajari apa yang perlu ditangguhkan.
Sepuluh Teknik memecahkan Kata Laluan Teratas yang Digunakan oleh Penggodam
1. Serangan Kamus
Serangan kamus menggunakan fail sederhana yang mengandungi kata-kata yang dapat dijumpai dalam kamus, oleh itu namanya agak mudah. Dengan kata lain, serangan ini menggunakan jenis perkataan yang digunakan ramai orang sebagai kata laluan mereka.
Mengelompokkan kata-kata dengan bijak seperti "letmein" atau "superadministratorguy" tidak akan menghalang kata laluan anda daripada retak seperti ini - baik, tidak lebih dari beberapa saat tambahan.
2. Serangan Brute Force
Mirip dengan serangan kamus, serangan brute force dilengkapi dengan bonus tambahan untuk penggodam. Daripada hanya menggunakan kata-kata, serangan brute force memungkinkan mereka mengesan kata-kata bukan kamus dengan menggunakan semua kemungkinan kombinasi alfa-angka dari aaa1 hingga zzz10.
Tidak cepat, asalkan kata laluan anda melebihi beberapa aksara, tetapi akhirnya akan menemui kata laluan anda. Serangan kekuatan kasar dapat diperpendek dengan membuang tenaga kuda pengkomputeran tambahan, baik dari segi kuasa pemprosesan - termasuk memanfaatkan kekuatan GPU kad video anda - dan nombor mesin, seperti menggunakan model pengkomputeran yang diedarkan seperti pelombong bitcoin dalam talian.
3. Serangan Meja Pelangi
Jadual pelangi tidak berwarna seperti namanya tetapi, bagi penggodam, kata laluan anda mungkin terdapat di hujungnya. Dengan cara yang paling mudah, anda boleh memasukkan jadual pelangi ke dalam senarai hash yang telah dikira sebelumnya - nilai berangka yang digunakan semasa menyulitkan kata laluan. Jadual ini mengandungi hash semua kemungkinan kombinasi kata laluan untuk algoritma hashing yang diberikan. Jadual pelangi menarik kerana mengurangkan masa yang diperlukan untuk memecahkan hash kata laluan untuk hanya mencari sesuatu dalam senarai.
Walau bagaimanapun, jadual pelangi adalah perkara yang besar dan tidak berat sebelah. Mereka memerlukan kekuatan pengkomputeran yang serius untuk dijalankan dan sebuah jadual menjadi tidak berguna jika hash yang dicarinya telah "masin" dengan penambahan watak rawak ke kata laluannya sebelum mencantumkan algoritma.
Terdapat perbincangan mengenai jadual pelangi masin yang ada, tetapi ini akan menjadi besar sehingga sukar untuk digunakan dalam latihan. Mereka mungkin hanya berfungsi dengan set "watak rawak" yang telah ditentukan dan rentetan kata laluan di bawah 12 aksara kerana ukuran jadual akan menjadi larangan kepada penggodam peringkat negeri sebaliknya.
4. Pancingan data
Terdapat cara mudah untuk menggodam, meminta kata laluan pengguna. E-mel pancingan data membawa pembaca yang tidak curiga ke halaman log masuk palsu yang dikaitkan dengan perkhidmatan apa sahaja yang ingin diakses oleh penggodam, biasanya dengan meminta pengguna untuk menyelesaikan masalah mengerikan dengan keselamatan mereka. Halaman itu kemudian menggunakan kata laluan mereka dan penggodam boleh menggunakannya untuk tujuan mereka sendiri.
Mengapa bersusah payah menghadapi masalah memecahkan kata laluan apabila pengguna dengan senang hati akan memberikannya kepada anda?
5. Kejuruteraan Sosial
Kejuruteraan sosial mengambil keseluruhan konsep "tanya pengguna" di luar kotak masuk yang pancingan data cenderung melekat dan masuk ke dunia nyata.
Kegemaran jurutera sosial adalah memanggil pejabat yang berpakaian sebagai orang teknologi keselamatan IT dan hanya meminta kata laluan akses rangkaian. Anda akan kagum dengan seberapa kerap ini berfungsi. Ada juga yang mempunyai gonad yang diperlukan untuk mengenakan saman dan lencana nama sebelum masuk ke perniagaan untuk bertanya kepada penyambut tetamu soalan yang sama secara langsung.
6. Perisian hasad
Keylogger, atau pengikis skrin, dapat dipasang oleh perisian hasad yang merekod semua yang anda ketikkan atau mengambil tangkapan skrin semasa proses log masuk, dan kemudian meneruskan salinan fail ini ke pusat penggodam.
Sebilangan perisian hasad akan mencari keberadaan fail kata laluan pelanggan penyemak imbas web dan menyalinnya yang, kecuali jika dienkripsi dengan betul, akan mengandungi kata laluan tersimpan yang mudah diakses dari riwayat penyemakan imbas pengguna.
7. Keretakan Luar Talian
Mudah dibayangkan bahawa kata laluan selamat apabila sistem yang mereka lindungi mengunci pengguna setelah tiga atau empat tekaan yang salah, menyekat aplikasi tekaan automatik. Nah, itu akan berlaku jika bukan kerana fakta bahawa kebanyakan penggodaman kata laluan berlaku di luar talian, menggunakan satu set hash dalam fail kata laluan yang telah 'diperoleh' dari sistem yang dikompromikan.
Seringkali sasaran yang dimaksud telah dikompromikan melalui peretasan pihak ketiga, yang kemudian memberikan akses ke pelayan sistem dan fail hash kata laluan pengguna yang penting. Keropok kata laluan boleh memakan masa selama mereka perlu mencuba dan memecahkan kodnya tanpa memberi tahu sistem sasaran atau pengguna individu.
8. Melayari Bahu
Satu lagi bentuk kejuruteraan sosial, melayari bahu, seperti yang disiratkan, memerlukan mengintip bahu seseorang semasa mereka memasukkan bukti kelayakan, kata laluan, dan lain-lain. Walaupun konsepnya berteknologi rendah, anda akan terkejut berapa banyak kata laluan dan maklumat sensitif dicuri dengan cara ini, jadi tetap perhatikan persekitaran anda ketika mengakses akaun bank, dll semasa dalam perjalanan.
Penggodam yang paling yakin akan mengambil contoh kurier bungkusan, juruteknik perkhidmatan udara, atau apa sahaja yang membuat mereka mendapat akses ke gedung pejabat. Setelah mereka masuk, pegawai seragam "seragam" memberikan semacam pas percuma untuk berkeliaran tanpa halangan, dan membuat catatan kata laluan yang dimasukkan oleh anggota kakitangan yang tulen. Ini juga memberikan peluang yang sangat baik untuk melihat semua catatan pasca-catatan yang terpaku di depan skrin LCD dengan log masuk yang tertulis di atasnya.
9. Labah-labah
Penggodam yang bijak telah menyedari bahawa banyak kata laluan korporat terdiri daripada kata-kata yang berkaitan dengan perniagaan itu sendiri. Mempelajari literatur korporat, bahan penjualan laman web, dan bahkan laman web pesaing dan pelanggan yang disenaraikan dapat menyediakan peluru untuk membina senarai kata khusus untuk digunakan dalam serangan kekerasan.
Peretas yang benar-benar cerdas telah mengotomatisasi proses dan membiarkan aplikasi labah-labah, serupa dengan perayap web yang digunakan oleh mesin pencari terkemuka untuk mengenal pasti kata kunci, mengumpulkan dan mengumpulkan senarai untuk mereka.
10. Teka
Sahabat terbaik pengguna kata laluan adalah ramalan pengguna. Kecuali kata laluan yang benar-benar rawak telah dibuat menggunakan perisian yang didedikasikan untuk tugas itu, kata laluan 'rawak' yang dihasilkan pengguna tidak mungkin serupa.
Sebaliknya, berkat keterikatan emosi otak kita terhadap perkara yang kita suka, kemungkinan kata laluan rawak itu berdasarkan minat, hobi, haiwan peliharaan, keluarga, dan sebagainya. Sebenarnya, kata laluan cenderung berdasarkan pada semua perkara yang ingin kita bincangkan di rangkaian sosial dan bahkan termasuk dalam profil kita. Pemecah kata laluan cenderung melihat maklumat ini dan membuat beberapa tekaan - yang sering kali betul - tepat apabila cuba memecahkan kata laluan peringkat pengguna tanpa menggunakan serangan kamus atau kekerasan.
Serangan Lain untuk Berhati-Hati
Sekiranya penggodam kekurangan apa-apa, itu bukan kreativiti. Menggunakan pelbagai teknik dan menyesuaikan diri dengan protokol keselamatan yang selalu berubah, interlopers ini terus berjaya.
Sebagai contoh, sesiapa sahaja di Media Sosial mungkin telah melihat kuiz dan templat yang menyeronokkan yang meminta anda bercakap mengenai kereta pertama anda, makanan kegemaran anda, lagu nombor satu pada hari lahir ke-14 anda. Walaupun permainan ini nampaknya tidak berbahaya dan pastinya senang diposkan, sebenarnya templat terbuka untuk soalan keselamatan dan jawapan pengesahan akses akaun.
Semasa membuat akaun, mungkin cuba gunakan jawapan yang sebenarnya tidak berkaitan dengan anda tetapi, yang mudah anda ingat. "Apa kereta pertama anda?" Daripada menjawab dengan jujur, letakkan kereta impian anda. Jika tidak, jangan hantarkan jawapan keselamatan dalam talian.
Cara lain untuk mendapatkan akses adalah dengan menetapkan semula kata laluan anda. Garis pertahanan terbaik terhadap interloper menetapkan semula kata laluan anda adalah menggunakan alamat e-mel yang sering anda periksa dan memastikan maklumat hubungan anda sentiasa dikemas kini. Sekiranya ada, sentiasa aktifkan pengesahan 2 faktor. Walaupun penggodam mempelajari kata laluan anda, mereka tidak dapat mengakses akaun tanpa kod pengesahan yang unik.
Soalan Lazim
Mengapa saya memerlukan kata laluan yang berbeza untuk setiap laman web?
Anda mungkin tahu bahawa anda tidak harus memberikan kata laluan anda dan anda tidak harus memuat turun kandungan yang tidak anda kenal, tetapi bagaimana dengan akaun yang anda masuki setiap hari? Katakan anda menggunakan kata laluan yang sama untuk akaun bank anda yang anda gunakan untuk akaun sewenang-wenang seperti Grammarly. Sekiranya Grammarly diretas, pengguna juga mempunyai kata laluan perbankan anda (dan mungkin e-mel anda menjadikannya lebih mudah untuk mendapatkan akses ke semua sumber kewangan anda).
Apa yang boleh saya lakukan untuk melindungi akaun saya?
Menggunakan 2FA pada mana-mana akaun yang menawarkan ciri tersebut, menggunakan kata laluan unik untuk setiap akaun, dan menggunakan campuran huruf dan simbol adalah garis pertahanan terbaik terhadap penggodam. Seperti yang dinyatakan sebelum ini, terdapat banyak cara berbeza sehingga peretas mendapatkan akses ke akaun anda, jadi perkara lain yang perlu anda pastikan bahawa anda melakukan secara berkala adalah memperbarui perisian dan aplikasi anda (untuk patch keselamatan) dan mengelakkan muat turun yang anda tidak biasa.
Apakah kaedah paling selamat untuk menyimpan kata laluan?
Mengikuti beberapa kata laluan unik yang sangat sukar boleh menjadi sangat sukar. Walaupun jauh lebih baik melalui proses penetapan semula kata laluan daripada akaun anda yang dikompromikan, ini memakan masa. Untuk memastikan kata laluan anda selamat, anda boleh menggunakan perkhidmatan seperti Last Pass atau KeePass untuk menyimpan semua kata laluan akaun anda.
Anda juga boleh menggunakan algoritma unik untuk menyimpan kata laluan anda sambil menjadikannya lebih mudah diingat. Sebagai contoh, PayPal boleh menjadi seperti hwpp + c832. Pada dasarnya, kata laluan ini adalah huruf pertama bagi setiap rehat di URL (//www.paypal.com) dengan nombor terakhir pada tahun kelahiran setiap orang di rumah anda (seperti contoh). Apabila anda masuk ke akaun anda, lihat URL yang akan memberi anda beberapa huruf pertama kata laluan ini.
Tambahkan simbol untuk menjadikan kata laluan anda lebih sukar untuk digodam tetapi aturkannya supaya lebih mudah diingat. Sebagai contoh, simbol "+" boleh digunakan untuk akaun yang berkaitan dengan hiburan sementara "!" boleh digunakan untuk akaun kewangan.
