Indholdsfortegnelse:
Video: See How Hackers Crack Passwords in Real Life | Password Security | F-Secure 2024
Password cracking er et af de mest behagelige hacks for de onde. Det brænder deres følelse af udforskning og lyst til at finde ud af et problem. En hacker kan bruge lavteknologiske metoder til at sprænge adgangskoder. Disse metoder omfatter brug af social engineering teknikker, skulder surfing, og bare gætte adgangskoder fra oplysninger, som han ved om brugeren.
Socialteknologi
Den mest populære lavteknologiske metode til at samle adgangskoder er social ingeniørvirksomhed . Socialteknologi udnytter menneskers tillid til at få oplysninger, der senere kan bruges ondsindet. En fælles social ingeniør teknik er simpelthen at bede folk om at uddele deres adgangskoder. Det lyder latterligt, men det sker hele tiden.
Teknikker
For at få adgangskode via social engineering, spørg du bare om det. Du kan f.eks. Bare ringe til en bruger og fortælle ham, at han har nogle vigtige e-mails, der sidder fast i postkøen, og du har brug for sit kodeord for at logge ind og frigøre dem. Det er ofte, hvordan hackere og slyngeløse insidere forsøger at få oplysningerne!
En almindelig svaghed, der kan lette sådan social ingeniørarbejde, er, når medarbejdernes navne, telefonnumre og e-mail-adresser er postet på virksomhedens hjemmesider. Sociale medier som LinkedIn, Facebook og Twitter kan også bruges mod et firma, fordi disse websteder kan afsløre medarbejdernes navne og kontaktoplysninger.
Modforanstaltninger
Brugerbevidsthed og konsekvent sikkerhedstræning er gode forsvar mod socialteknik. Sikkerhedsværktøjer er en god fejlfinding, hvis de overvåger for sådanne e-mails og browsere på værtsniveau, netværksperimeter eller i skyen.
Træn brugerne til at angribe angreb og reagere effektivt. Deres bedste svar er ikke at udlevere nogen information og at advare den relevante informationssikkerhedschef i organisationen for at se, om forespørgslen er legitim og om et svar er nødvendigt. Åh, og tag den personalekatalog ud af dit websted eller i det mindste fjerne IT-medarbejderens oplysninger.
Shoulder Surfing
Shoulder Surfing (en handling om at se over andres skulder for at se, hvad personen skriver) er et effektivt lavteknologisk adgangskodehak.
Teknikker
For at montere dette angreb skal de onde være nær deres ofre og ikke se indlysende. De samler blot adgangskoden ved at se enten brugerens tastatur eller skærm, når personen logger ind.
En angriber med et godt øje kan endda se, om brugeren kigger rundt på skrivebordet for enten en påmindelse om adgangskoden eller selve adgangskoden.Sikkerhedskameraer eller et webcam kan endda bruges til sådanne angreb. Kaffebarer og fly giver de ideelle scenarier til skulder surfing.
Du kan prøve skulder surfing selv. Du skal bare gå rundt på kontoret og udføre stikprøvekontroller. Gå til brugernes skrivebord og bede dem om at logge ind på deres computere, netværket eller endda deres e-mail-applikationer. Bare fortæl dem ikke hvad du gør på forhånd, eller de kan forsøge at skjule, hvad de skriver, eller hvor de leder efter deres adgangskode. Bare vær forsigtig med at gøre dette og respektere andres privatliv.
Modforanstaltninger
Tilskynde brugere til at være opmærksomme på deres omgivelser og ikke indtaste deres adgangskoder, når de mistanke om, at nogen kigger over deres skuldre. Anmode brugerne, at hvis de mistanke om, at nogen kigger over deres skuldre, mens de logger ind, bør de høfligt bede personen om at kigge væk eller, hvis det er nødvendigt, kaste et passende epitel til at vise gerningsmanden, at brugeren er seriøs.
Det er ofte nemmest at bare læne sig ind i skulder surferens synsfelt for at forhindre dem i at se nogen typing og / eller computerskærmen. 3M Privacy Filters fungerer også godt.
Inference
Inference gætter simpelthen på adgangskoder fra informationer, du kender til brugere - f.eks. Deres fødselsdato, favorit tv-show eller telefonnumre. Det lyder dumt, men kriminelle bestemmer ofte deres ofres passwords ved blot at gætte dem!
Det bedste forsvar mod et angrebsangreb er at uddanne brugerne om at skabe sikre adgangskoder, der ikke indeholder oplysninger, der kan knyttes til dem. Uden for visse passwordkompleksitetsfiltre er det ofte ikke let at håndhæve denne praksis med tekniske kontroller. Så du har brug for en sund sikkerhedspolitik og løbende sikkerhedsbevidsthed og uddannelse for at minde brugerne om vigtigheden af sikker adgangskode oprettelse.
Svag godkendelse
Eksterne angribere og ondsindede insidere kan få - eller simpelthen undgå at bruge - adgangskoder ved at udnytte ældre eller usikrede operativsystemer, der ikke kræver adgangskoder til at logge ind. Det samme gælder for en telefon eller tablet, der ikke er konfigureret til at bruge adgangskoder.
Bypassing authentication
På ældre operativsystemer, der kræver en adgangskode, kan du trykke på Esc på tastaturet for at komme lige ind. Okay, det er svært at finde Windows 9 x systemer i disse dage, men det samme gælder for ethvert operativsystem - gammelt eller nyt - der er konfigureret til at omgå loginskærmen.
Når du er i, kan du finde andre adgangskoder gemt på steder som opkalds- og VPN-forbindelser og skærmsparere. Sådanne adgangskoder kan knækkes meget nemt ved hjælp af Elcomsoft's Proactive System Password Recovery værktøj og Cain & Abel. Disse svage systemer kan fungere som betroede maskiner - hvilket betyder at folk antager, at de er sikre - og giver gode lanceringspuder til netværksbaserede adgangskodeangreb.
Modforanstaltninger
Det eneste sande forsvar mod svag godkendelse er at sikre, at operativsystemerne kræver et kodeord ved opstart.For at fjerne denne sårbarhed, mindst opgrader til Windows 7 eller 8 eller brug de nyeste versioner af Linux eller en af de forskellige smagsstoffer i UNIX, herunder Mac OS X.
