Как работи кракването на пароли?

Паролите стоят като бариера за достъп до вашите акаунти и това е причината киберпрестъпниците толкова силно да се насочват към тях. Разбиването на пароли е изключително популярно, но има повече от един метод, който може да се използва тук.

И така, по какви начини може да се извърши кракване на пароли и можете ли да го избегнете?

Какво е кракване на пароли?

Кракването на пароли се използва за разкриване на паролите на потребителите, така че техните акаунти да могат да бъдат хакнати от киберпрестъпници.

Толкова много от нашите акаунти, като например тези, използвани за банкиране, общуване, пазаруване и работа, са защитени с пароли, така че не е изненада, че хакерите искат да се доберат до тези данни.

Въведете кракване на парола. Използвайки различни методи, злонамерените участници имат шанса да разкрият вашата истинска парола, като им предоставят достъп към вашия акаунт, ако имат и вашия имейл адрес или потребителско име (което може да бъде притеснително лесно да се получи на).

В зависимост от сложността на вашата парола, тя може да бъде разбита от няколко секунди до милиони години. Простите пароли очевидно са по-лесни за разбиване, така че е важно да структурирате паролата си ефективно, за да отблъснете хакерите (което ще обсъдим по-късно).

Най-популярните методи за кракване на пароли

През годините разбиването на пароли се разнообрази в множество методи – някои по-успешни от други. И така, какви методи най-често се използват от хакерите при разбиване на пароли?

1. Атаки с груба сила

Атаки с груба сила често се използват от киберпрестъпниците за хакване на акаунти. Този метод за кракване включва преминаване през всяка възможна комбинация от букви, цифри или символи, които могат да бъдат включени в дадена парола. По същество това е метод проба-грешка или процес на елиминиране, който продължава, докато се достигне правилната фраза.

Атаките с груба сила са особено ефективни при по-прости пароли, като тези без комбинация от малки букви или символи и цифри.

Атака с груба сила може да бъде завършена за по-малко от минута, въпреки че има много случаи, в които ще отнеме много повече време. Някои киберпрестъпници ще оставят процеса да продължи седмици, месеци или дори години, в зависимост от това колко ценна е паролата. Ако атаката с груба сила е успешна, тя ще кацне на правилната парола, давайки на хакера достъп до всичко, което се опитват да компрометират.

2. Фишинг

Фишингът е популярна тактика за киберпрестъпления, и може да се използва за кражба на данни и разпространение на зловреден софтуер. Когато става въпрос за кракване на пароли, кражбата на данни е очевидната цел на фишинг атаката.

Фишинг атаките обикновено се извършват чрез имейл, SMS или социални медии (особено DM). Когато идентификационните данни за вход са целта, атаката често ще включва злонамерения актьор, изпращащ на целите комуникация, представяща се за официален субект.

Например, измамник може да изпрати имейл на жертва, заявявайки, че е служител на избраната от него банка. В имейла обикновено се посочва, че в техния акаунт е открита необичайна дейност и те трябва да влязат онлайн, за да проверят дали са били те. Под текста ще бъде предоставена връзка към предполагаемата страница за вход. В действителност обаче това е връзка към злонамерена фишинг страница, проектирана да изглежда почти идентично с официална страница за вход, като същевременно краде данните, които въвеждате.

Ако жертвата попадне на измамата, тя ще въведе своите идентификационни данни за вход на фишинг страницата, които след това се събират от нападателя. В този момент нападателят разполага с потребителското име и паролата за акаунта на жертвата, което им дава неоторизиран достъп.

3. Човек по средата Атаки

Както подсказва името, Man-in-the-Middle (MitM) атаки включват злонамерен играч, който се поставя между жертва и приложение или уебсайт.

Атаките тип "човек по средата" могат да бъдат под много форми, включително:

• Отвличане на имейл.
• HTTPS спуфинг.
• HTML спуфинг.
• SSL подправяне.
• Подправяне на Wi-Fi.

Една форма на атака "човек по средата" включва злонамерен оператор, който активно подслушва взаимодействието между потребител и сървър. При такъв сценарий нападателят ще получи достъп до мрежа чрез слабост и след това ще сканира приложение или сайт за уязвимост в сигурността. Когато бъде открита уязвимост, те ще се насочат към нея и след това ще започнат да се насочват към потребителите, когато взаимодействат с приложения и уебсайтове през компрометираната мрежа.

След това, когато жертвата въведе какъвто и да е вид данни или получи данни от приложението, те ще бъдат видими за нападателя. В този случай, ако въведат парола, тя може да бъде извлечена от нападателя. Ако тези данни трябва да бъдат дешифрирани, това ще бъде следващата стъпка. Сега данните на жертвата могат да бъдат използвани от злонамерения оператор по какъвто начин пожелаят.

4. Keylogging

Keylogging е метод за кражба на данни, който включва регистриране на всяко натискане на клавиш от жертвата на своето устройство, било то настолен компютър, лаптоп, таблет, смартфон или подобно.

Keyloggers идват под формата на зловреден софтуер; злонамерени програми, използвани за атака. Когато дадено устройство е заразено с кийлогър, злонамереният оператор може да види всичко, което жертвата въвежда, което може да са имейли, информация за плащане, идентификационни данни за вход или нещо друго!

Така че, ако някога влезете в акаунт на устройство, заразено с кийлогър, или просто въведете идентификационните си данни за вход в приложение за бележки или мениджър на пароли, каквото и да въведете, може да се види. След това тези идентификационни данни ще бъдат взети от нападателя и използвани за достъп до един или повече от вашите онлайн акаунти.

Трябва да знаеш как да откривате и премахвате кийлогъри за защита на вашите данни, ако устройствата ви се заразят.

Как да избегнете кракване на пароли

Избягването на кракване на пароли изисква няколко мерки, естествено започвайки с паролите, които използвате. Въпреки че е изкушаващо да използвате проста парола за всичките си акаунти, това масово ви излага на кракване на пароли, по-специално атаки с груба сила. Повечето уебсайтове ще очертаят някои изисквания за създаване на парола, като смесени главни и главни букви, използване на символи и цифри и минимална обща дължина.

Това са солидни параметри, които трябва да следвате, но има и други неща, които трябва да избягвате, като например използването на лична информация (напр. рождени дни, имена и т.н.) във вашите пароли. Също така трябва да избягвате да използвате една и съща парола за всичките си акаунти: ако вашите идентификационни данни попаднат в ръцете на нападател, те имат шанса да нанесат още повече щети, като компрометират повече от един сметка.

Освен да прецизирате паролите си, вие също трябва да знаете как да забележите фишинг комуникации, тъй като те се използват и за кражба на идентификационни данни за вход. Някои признаци, за които винаги трябва да внимавате, включват:

• Лош правопис и граматика.
• Необичаен имейл адрес.
• Предоставени връзки.
• Връзки, които проверяващ сайт е маркирал като злонамерени.
• Прекалено убедителен/неотложен език.

Трябва допълнително да обмислите използването на двуфакторно или многофакторно удостоверяване, за да добавите допълнителен слой сигурност към вашите акаунти. По този начин, ако атакуващ се опита да влезе с вашето потребителско име и парола, първо ще трябва да потвърдите опита за влизане от отделно устройство или канал, като SMS или имейл.

Кракването на пароли излага на риск всички

Няма съмнение, че тези техники за разбиване на пароли застрашават сигурността и поверителността на потребителите по целия свят. Огромни количества данни вече са били откраднати чрез кракване на пароли и няма съмнение, че няма да бъдете насочени. Затова се уверете, че знаете как да се предпазите от това злонамерено начинание, за да запазите акаунтите си в безопасност и сигурност.