w zeszłym tygodniu mówiłem o hasłach od strony bezpieczeństwa. W tym tygodniu chciałbym porozmawiać o hasłach od strony hakerskiej, a następnie o tym, jak chronić się osobiście przed tego rodzaju atakami. Załóżmy więc, że jestem hakerem i albo mam hash twojego hasła, albo próbuję się zalogować na konto online. Jakich metod mogę użyć, aby odgadnąć Twoje hasło?,
ataki Brute Force
jest to prawdopodobnie najprostszy rodzaj ataku do zrozumienia i ten, który prawdopodobnie przychodzi ci na myśl, gdy słyszysz słowa „łamanie haseł.”Zasadniczo to, co się dzieje, to haker spróbuje każdej możliwej kombinacji cyfr i liter, dopóki nie uzyskają dopasowania. Więc haker próbował „a”, potem „aa”, potem „aaa”, potem „aaaa”, potem „aaaaa”, a później „aaaaaaab” w kółko i w kółko, aż do uzyskania trafienia. Jest to łatwo zautomatyzowane przez komputery.
największym problemem tego typu ataków jest czas potrzebny na wypróbowanie każdej możliwej kombinacji, ponieważ praca wymaga skalowania wykładniczo. Jeśli masz tylko małe litery, to tylko 26 możliwości w każdym miejscu. Z wielką literą, 52. Z cyframi i symbolami, 62-80+ w zależności od używanego systemu i ograniczeń haseł. Podzielmy różnicę i powiedzmy 76 możliwych znaków dla każdego miejsca w haśle., Jeśli masz 2-znakowe hasło, istnieje 76 * 76 możliwości lub 5776 możliwych haseł. Nowoczesny komputer natychmiast by to złamał. Ale jak dodać więcej cyfr, liczba możliwych haseł następuje 76^n, gdzie n to długość hasła. Zanim dojdziesz do 8 cyfr, istnieje 1,113,034,787,454,976 możliwych haseł, co naprawdę zajęłoby sporo czasu, aby spróbować. Możesz więc pomyśleć, że ponieważ większość stron internetowych wymaga minimum 6 lub 8 znaków, hakerzy muszą być prawie niemożliwi do odgadnięcia hasła. Ale jest lepszy sposób.,
ataki słownikowe
wszyscy słyszeliśmy już w wiadomościach o różnych naruszeniach haseł, w których miliony kont wyciekają do Internetu. Cóż, hakerzy to mądrzy ludzie i zaczęli szukać wzorców na kontach, które wyciekły, w wyniku czego pojawiły się listy najczęściej używanych haseł. (Najczęstsze to ” 12345 „i ” hasło”) więc teraz, zamiast brutalnie wymuszać hasła jedną literą na raz, próbują tych popularnych haseł i wykładniczo bardziej skuteczne jest łamanie haseł w ten sposób., Aby dać przykład, jak skuteczne jest to, ponad 50% ludzi używa jednego z 25 najpopularniejszych haseł. To niedorzeczne! Mając tylko 25 haseł, mógłbym włamać się do 50% kont ludzi! Teraz możesz powiedzieć „Cóż, moje hasło jest bezpieczne, zamiast' hasła', używam 'P@$$w0rd '” i to jest nieco lepsze, ale są skrypty w użyciu, które przyjmują najczęstsze hasła i dokonują typowych substytucji, takich jak @ dla a, $ dla s lub 5 dla s itp. I sprawdzają wszystkie te hasła., Mimo, że jest to mnóstwo możliwości, to nadal jest znacznie bardziej skuteczne niż atak brute force, i znacznie bardziej prawdopodobne, aby dostać ludzi.
Jak się chronić
absolutnym najlepszym sposobem ochrony jest posiadanie silnego, losowo generowanego, unikalnego hasła dla każdej odwiedzanej strony internetowej. Teraz nikt nie jest w stanie zapamiętać wszystkich tych różnych haseł, więc używa menedżera haseł. Dwa popularne to LastPass i 1Password. W przypadku obu tych usług musisz zapamiętać tylko jedno hasło, którego używasz do uzyskania wszystkich innych haseł., Będą generować losowe hasła dla Ciebie, a nawet skopiować i wkleić je do pola hasła dla Ciebie w witrynach internetowych, więc wszystko, co musisz zrobić, to kliknąć Zaloguj. Nie mogę polecić LastPass wystarczająco. Używam go do wszystkich moich haseł i jest świetny.
Dodaj komentarz