Взлом пароля логина и пароля: Актуальные методы взлома паролей 2021
Содержание
Актуальные методы взлома паролей 2021
В этой статье мы рассмотрим актуальные методы взлома паролей, такие как: атака по словарю, взлом методом перебора (брутфорс) и взлом пароля с использованием радужных таблиц. Ну и как бонус, я покажу, как взломать пароль используя один из способов описанный в статье, с помощью мощного инструмента Hydra в Kali Linux.
Пароли защищены двумя способами: хешированием и шифрованием.
Шифрование — это преобразование простого текста в нечитаемую форму (зашифрованный текст). Расшифровать зашифрованный текст с помощью этой техники очень просто.
Хеширование использует уникальные случайные числа для шифрования обычного текста в нечитаемую форму. Злоумышленник может получить хэш пароля пользователя, но не всегда у него получится расшифровать его. Доступно множество методов «де-хеширования» пароля, но они не всегда эффективны.
Актуальные способы взлома паролей
Хакеры и пентестеры используют различные методы взлома пароля, такие как социальная инженерия, анализ сетей, клавиатурные шпионы, брутфорс и т.
д. В этой статье рассмотрим атаки по словарю, перебор пароля, гибридные атаки и атаки с использованием радужной таблицы.
Взлом паролей на основе словаря
Атака по словарю — это метод подбора пароля с использованием часто используемых слов. Например, если человек увлекается автомобилями и везде упоминает автомобили в своем аккаунте в социальной сети, то подобрать пароль этого человека не составит труда. Как правило, пользователи придумывает пароли опираясь на два правила:
Хобби или близкие люди
Легко запоминаемый пароль
В этой атаке хакеры используют специально подобранный список слов, содержащий повседневные слова, которые может использовать жертва. Такой список составляют на этапе сбора информации.
Брутфорс (перебор пароля / грубая сила)
Атака перебором подбирает все возможные популярные комбинации логин / пароль. Пользователи еще не разучились использовать простые распространенные пароли и поэтому этот способ считается довольно эффективным.
Длина и сложность пароля делает взлом более затруднительным. Например, перебор восьмизначного пароля займет намного больше времени, чем пятизначного.
Данный способа взлома паролей, часто используется для взлома сайтов.
Гибридная атака брутфорс
Гибридная атака представляет собой комбинацию брутфорс атаки и словаря на основе увлечений и имен близкий людей пользователя.
Например, пользователи часто добавляют набор цифр в конце своих учетных данных, таких как год окончания или год рождения (например, lena1992 или dima2013). Таким образом, хакеры используют атаку по словарю для генерации фраз, а затем проводят атаку методом перебора последних цифр.
Вместо того чтобы проверять каждый пароль, гибридная атака использует набор учетных данных и создает и пробует незначительные модификации фраз по всему списку, например изменение букв или цифр.
Атаки по радужному таблицам
Атаки с использованием радужных таблиц отличаются тем, что они взламывают не пароли, а хеш-функцию паролей. Радужная таблица — это предварительно вычисленная таблица, которая кэширует результат хеш-алгоритмов, обычно используемых для расшифровки хэшей учетных данных.
Эта атака также рассматривается как взлом пароля в автономном режиме. Поскольку хакеру не нужно взаимодействовать со страницей авторизации пользователя или системой. Как только хакер получает доступ к хешам паролей, переходит в автономный режим и проверяет хеши с помощью предварительно вычисленной хеш-таблицы.
Этот способ часто используется при взломе пароля WiFi-сетей и операционной системы.
Взлом пароля с помощью Hydra в Kali Linux
Для демонстрации взлома пароля я буду использовать инструмент Hydra, который по умолчанию предустановлен в Kali Linux. Для любителей Windows есть простой способ работы с Kali Linux — установить Kali Linux в Windows 10 под WSL.
Запустите Kali Linux —> Откройте терминал —> Запустите команду Nmap с IP-адресом жертвы (можно использовать виртуалку Metasploitable), чтобы проверить открытые порты.
Для атаки вы можете использовать свой собственный словарь или популярный словарь для перебора паролей «rockyou.txt», доступный в Kali Linux. Для демонстрации я использую файл «username.txt» для имен пользователей жертвы и файл «password.txt» для случайных паролей.
Запустите GUI Hydra —> Выберите IP-адрес жертвы (Single Target) —> Выберите целевой порт (в нашем случае это SSH 22) —> Установите флажок подробное описание и отображение попыток (Show Attemps).
Перейдите на вкладку Пароли (Passwords) —> Выберите текстовый файл с именами пользователей (Usernam List) и текстовый файл с паролями (Password List).
Перейдите на вкладку Настройка (Tuning) —> Измените количество задач на 4 и начните атаку.
Гидра взломала пароль:
Заключение
Атаки по словарю, грубая сила и атака по радужным таблицам — все это популярные способы взлома пароли.
Инструмент Hydra — один из самых популярных инструментов для взлома паролей. Он в арсенале каждого хакера и пентестера.
Еще по теме: Лучшие программы для взлома со смартфона
Брутфорс (Brute force)
Брутфорсом называется метод взлома учетных записей путем подбора паролей к ним. Термин образован от англоязычного словосочетания «brute force», означающего в переводе «грубая сила». Суть подхода заключается в последовательном автоматизированном переборе всех возможных комбинаций символов с целью рано или поздно найти правильную.
С этой точки зрения поиск пароля можно рассматривать как математическую задачу, решение которой находится при достаточно большом количестве попыток. Программное обеспечение для брутфорса генерирует варианты паролей и проверяет каждый из них. С точки зрения математики решить задачу таким способом можно всегда, но временные затраты на поиски не во всех случаях оправдывают цель, так как поле поиска решений огромно.
Брутфорс — один из самых популярных методов взлома паролей к учетным записям онлайн-банков, платежных систем и других веб-сайтов. Впрочем, с ростом длины пароля этот метод становится неудобным, так как растет время, которое нужно на перебор всех вероятных вариантов. Также с его помощью можно проверять криптоустойчивость пароля.
Брутфорс еще называют методом исчерпывания, так как верная комбинация выявляется путем анализа всех возможных вариантов и отбрасывания каждого неподходящего сочетания.
Классификация и способы выполнения брутфорс-атаки
Существует несколько видов атаки методом «грубой силы»:
Персональный взлом. В этом случае брутфорс направлен на получение доступа к личным данным конкретного пользователя: аккаунтам социальных сетей, почте, сайту. Во время общения через интернет, в том числе используя мошеннические схемы, злоумышленник старается узнать логин, персональные сведения и другую информацию, которая понадобится для подбора пароля. Далее взломщик прописывает в специальную программу адрес ресурса, к которому нужен доступ, логин учетной записи, подключает словарь и подбирает пароль.
Если пароль пользователя основан на личной информации и состоит из малого количества символов, то попытка злоумышленника может принести успех даже за короткое время.
«Брут-чек». Этот вид брутфорса означает охоту на пароли в больших количествах. Соответственно, цель — завладеть данными не одного пользователя, а множества разных аккаунтов на нескольких веб-ресурсах. К хакерской программе подключается база логинов и паролей каких-либо почтовых сервисов, а также прокси-лист, чтобы замаскировать узел, не дав веб-сервисам почты обнаружить атаку. При регистрации на сайте, в социальной сети или в игре пользователь заполняет поле с адресом своей почты, на который приходят данные для входа в соответствующий аккаунт. В опциях брутфорса прописывается список названий сайтов или других ключевых слов, по которым программа будет искать в почтовых ящиках именно эти письма с логинами и паролями, вынимать и копировать информацию в отдельный файл. Так киберпреступник получает сотни паролей и может использовать их в любых целях.
Удаленный взлом операционной системы компьютерного устройства. Брутфорс в комбинации с другими взламывающими утилитами применяется для получения доступа к удаленному ПК. Взлом такого вида начинается с поиска сетей, подходящих для атаки. Адреса пользователей добываются особыми программами или берутся из баз. Словари перебора и списки IP-адресов вводятся в настройках brute force. В случае успешного подбора пароля сохраняются IP-адрес машины жертвы и данные для входа, которые далее используются злоумышленником — например, с целью полного управления ПК через утилиту Radmin или другую подобную программу.
Цели брутфорса
Брутфорс позволяет завладеть доступом к аккаунтам в социальных сетях или онлайн-играх, что может привести к потере конфиденциальной информации, цифровых валют, достижений, попаданию переписки в чужие руки. С аккаунтов может выполняться рассылка спама, осуществляться вымогательство и другие противоправные действия. Завладев большим количеством аккаунтов, хакер может их обменять или продать.
Получение данных для входа в платежные системы грозит пользователям потерей денежных сумм и даже обретением долгов, так как злоумышленник может свободно распоряжаться финансами, выполнить перевод денег, оформить кредит.
Подбор паролей к веб-сайтам методом brute force открывает доступ к базам данных клиентов, электронным адресам, к использованию площадки в целях распространения вредоносных программ, рассылки спама и т.п.
Получив точку входа в удаленную компьютерную систему с помощью перебора паролей, злоумышленник может выполнять разные преступные действия от имени пользователя, а также воспользоваться его личными данными с целью шантажа, вымогательства, осуществить кражу секретной информации и денежных средств.
Объектами воздействия брутфорса становятся не только компьютеры и аккаунты рядовых пользователей интернета, но и сайты, серверы, рабочие станции коммерческих и банковских структур, различных организаций.
Источник угрозы
Метод перебора паролей используют киберхулиганы с целью взломать игру, почту, аккаунт в соцсетях. Обычно их целью является причинение неприятностей другим людям, проверка своих умений, чтение личной переписки.
Киберпреступники сами пишут программы для взлома или пользуются результатами труда «коллег». Для перебора могут использоваться мощные компьютерные системы, в том числе взломанные ранее или арендованные. В руках злоумышленников брутфорс является средством извлечения личной выгоды из получения доступа к учетным данным.
Также, как уже отмечалось, брутфорс может использоваться в целях проверки криптографической стойкости паролей.
Анализ риска
Риски от применения брутфорса зависят от количества объектов, на которые нацелены атаки, и намерений злоумышленника. С каждым годом появляются новые технологии, которые могут применяться как в благих, так и в преступных целях. Так, несколько лет назад на конференции DEF CON общественности был представлен WASP — беспилотник, который может собирать статистику домашних сетей Wi-Fi. Мощный компьютер на борту аппарата среди прочих функций имел возможность автоматического взлома паролей с помощью брутфорса.
Не так давно была замечена новая ботнет-сеть, проникающая в компьютерные системы с помощью подбора паролей SSH. Методы защиты, обычно применяемые против атак методом «грубой силы», не дают желаемого результата. Как в таком случае повысить уровень безопасности, можно узнать из нашей статьи.
Проблем со взломом через брутфорс можно избежать, если:
создавать длинный пароль из букв, цифр и спецсимволов,
не использовать в пароле личную информацию или какие-либо элементы логина,
для всех аккаунтов создавать свои уникальные пароли,
регулярно, примерно один раз в месяц, менять пароли,
на веб-сайтах защищать вход от многочисленных попыток ввода данных.
Как могут взломать ваш пароль
Ежедневно злоумышленники взламывают тысячи паролей, подобное явление стало такой обыденностью, что такими новостями мало кого удивишь. Но согласитесь, ведь очень неприятно, когда взламывают именно ваш пароль. И за счет этого, кто-то посторонний получает доступ к почте, банковским счетам, аккаунтам в социальных сетях и даже к точке доступа Wi-Fi. Чтобы всего этого избежать, в большинстве случаев, достаточно придерживаться лишь элементарных правил информационной безопасности, чего не придерживается большинство пользователей. Но чтобы сильнее обезопасить себя, лучше всего понимать, как происходит взлом, и от куда можно ожидать опасность.
Сегодня мы подробно расскажем о каждом распространенном методе взлома паролей и покажем какие уязвимости могут ослабить вашу оборону. Так же, в самом конце статьи будет перечень онлайн-сервисов для тестирования паролей и проверки их на надежность.
Как взламывают пароли?
В целом, чтобы получить чужие данные для авторизации, применяются одни и те же способы, которые могут лишь со временем быть немного усовершенствованы. Про них всем давно известно и большинство сайтов применяет определенные методы борьбы и защиты, что, впрочем, далеко не всегда уберегает пароли от взлома. Кроме того, эти способы могут комбинироваться и совмещаться между собой.
Фишинг
Это достаточно простой способ узнать чужие пароли, который получил большое распространение. Несмотря на свою простоту, он позволяет «увести» аккаунты у значительного процента пользователей.
Злоумышленник создает сайт «фейк», своим внешним видом копирующий оригинальный интернет-ресурс, с которого планируется угон паролей. Далее на него начинает массово заманивать потенциальных жертв (например, показывает ссылку якобы на пост о быстром заработке, видео со смешными котами, и другой интересной информацией). Пользователь попадает на знакомый ему ресурс, допустим ВКонтакте (а на самом деле это сайт-фейк) и видит, что для просмотра этого контента нужно войти. Что он делает? Конечно же вводит свой логин и пароль и нажимает «Войти», тут же злоумышленник получает все эти данные, а незадачливый пользователь автоматически перенаправляется и авторизируется уже в настоящем сайте, так и ничего не заподозрив.
Таким же образом, на вашу почту может поступить письмо, похожее на сообщение от службы поддержки. В нем будет говориться о том, что по каким-либо причинам необходимо зайти в свой аккаунт и тут же предоставляется ссылка для входа. Пользователь заходит на этот сайт и все повторяется в точности, как было описано выше. Еще так могут работать некоторые вредоносные программы, которые скрытно попадают на компьютеры своих жертв. Такие вирусы изменяют настройки уже на локальном компьютере и подсовывают свои сайты-копии, вместо оригинальных. Причем это делается таким образом, что даже в адресной строке будет точный домен настоящего сайта, хотя это и подделка.
Здесь основной расчет делается именно на невнимательность человека. Так что несколько простых правил должны уберечь вас от подобной беды:
Если видите на своей почте письмо от тех поддержки, предлагающее посетить свой аккаунт, то обратите внимание на адрес, с которого оно было отправлено. Скорее всего он будет достаточно похожим на настоящий, но все же с небольшими отличиями (например, support@vk. nz вместо [email protected]). Хотя наличие правильного адреса все равно не будет гарантировать полной безопасности.
При вводе любых паролей и данных для входа, обращайте внимание на адресную строку в своем браузере. Там должен быть только настоящий адрес ресурса, на котором собираетесь пройти авторизацию. Как и в случае с почтой, адрес может быть очень похожим, но в нем могут быть лишние или похожие символы. Хотя при заражении вирусом, который подменяет оригинальный сайт своим, все будет выглядеть слишком естественно, чтобы так сходу отличить подделку. Поэтому обращаем еще внимание на наличие шифрования в соединении с сайтом. Оно проявляется наличием протокола https а не http. Кроме того, в правом или левом углу адресной строки будет изображаться замочек, если кликнуть по нему, появится дополнительная информация о подключении, таким образом можно убедиться в оригинальности сайта. Большинство крупных сайтов пользуется шифрованием соединения, при авторизации, так что следите за этим.
Стоит отметить, что атаки методом фишинга и подбор паролей выполняются далеко не вручную одним лишь человеком. Для этих целей используется специальный софт, который в автоматическом режиме подбирает миллионы комбинаций паролей и выполняет рассылку тысяч электронных писем и личных сообщений. Это значительно повышает количество взломанных аккаунтов и снижает время, затраченное на всю эту «работу». Дополнительно, для скрытия деятельности хакера, эти программы тайно устанавливаются и работают на выделенных серверах и компьютерах других пользователей.
Перебор паролей
Так же достаточно распространенный способ, ввиду своей простоты. Подбор паролей называют термином Brute Force — «грубая сила». Несмотря на то, что для хакера здесь процент успешных взломов бывает достаточно низок и случаен, за счет своей массовости и грамотного подхода, даже такие атаки приносят достаточно богатый улов.
В последние годы, эффективность подобных атак намного возросла. Это связанно с тем, что получив огромное количество взломанных паролей, хакеры их проанализировали и вывели «словарь» из наиболее часто повторяющихся и применяемых пользователями. За счет этого, подбор паролей занимает меньшее время и дает больших эффект. И чем больше на интернет-ресурсе неопытных пользователей с простыми паролями, тем выше процент успеха.
При этом, если атака производится на конкретный аккаунт, то с помощью специального ПО для перебора, пароль из 8 знаков может ломаться за несколько дней. А если он совсем простой и в нем используются такие данные, как имя и день рождения (что довольно частое явление), то на это уйдет пара минут.
[lt_alert style=»orange» bottom=»20″ icon=»fa-exclamation»]Внимание! Старайтесь использовать на всех сайтах разные пароли. Как правило, при взломе аккаунта на одном ресурсе, тут же полученный пароль проверяется на сотнях других сайтов. В итоге, если вы пользуетесь одинаковыми паролями, могут взломать еще несколько других ваших учетных записей на других сервисах. Всегда, после волны взлома паролей на почтовых сервисах и в социальных сетях, следует еще несколько сопутствующих волн, со взломами других интернет-ресурсов. [/lt_alert]
Получение хэшей паролей через взлом сайта
Перейдем к более серьезным и сложным способам, которыми пользуются злоумышленники для получения ваших паролей. Основная масса нормальных сайтов хранит пароли пользователей в зашифрованном состоянии – в виде хэша. То есть, при регистрации, ваш пароль обрабатывается определенным алгоритмом и превращается в несвязанный набор чисел и символов, из которого назад уже практически невозможно получить пароль. При каждом входе на сайт, введенный вами пароль будет обработан этим же алгоритмом и сравнен с первоначальным, если они совпадут, вы попадаете на свою страничку.
Как уже многие успели догадаться, это сделано специально для безопасности – если сайт будет взломан и хакер получит доступ к базе данных, то он не сможет из сохраненных хэшей узнать пароли пользователей и воспользоваться ими.
Но к сожалению, реальность не такая уж и безоблачная и временами, хакерам удается добраться до паролей. Происходит это по следующим причинам:
В большинстве случаев хэш вычисляется по известным алгоритмам, информация о которых доступна каждому;
Обладая хорошим словарем с распространенными паролями (см. предыдущий раздел), хакер будет иметь и их хэш, по всем возможным алгоритмам;
Таким образом используя пункт 1 и 2, хакер может сопоставить свою базу паролей и хешей с полученной после взлома, тем самым он найдет совпадения и получит пароли к учетным записям. А все остальные, могут быть получены тем же перебором по словарю паролей.
Так что, даже если где-то будут писать, что ваши пароли хранятся в зашифрованном виде, это еще не значит, что такая мера убережет сайт от массового взлома.
Шпионское ПО (SpyWare)
Это очень обширная ниша вредоносных программ, которые незаметно от пользователя устанавливаются в систему и выполняют шпионские функции, собирая полезную информацию о владельце компьютера, а в первую очередь его данные для входа на различные сайты.
Они бывают различных типов и действуют разными способами. Практически никак не выдают себя и бывает, что даже антивирусы их не замечают. Вы можете и не заметить тот момент, когда поделились своими паролями с кем-то посторонним.
Для избегания заражения шпионскими программами, действуют те же правила, что и для всех остальных вирусов: избегайте подозрительных сайтов, внимательно следите за тем, что загружаете с интернета, скачивайте софт исключительно с официальных сайтов и регулярно проводите сканирование своего компьютера на наличие вредоносного ПО.
Социальная инженерия и хитрые способы восстановления пароля
Социальная инженерия это уже взлом не программного обеспечения, а сознания человека. Да, звучит довольно странно, но это целая наука, которая позволяет, используя особенности человеческой психики, получать необходимую мошеннику информацию. В сети можно встретить просто огромное количество примеров этого метода, можете сами поискать больше статей на эту тему и ознакомиться с ними – это действительно интересная тема.
Давайте посмотрим, как соц инженерия применяется для получения паролей. Многие из вас знают, что есть много сайтов, на которых можно восстановить свой пароль, ответив на секретный вопрос: девичья фамилия матери, первый автомобиль, любимый цвет, имя домашнего питомца и тому подобное. Даже если вы проявили осторожность и нигде не писали об этом в соц сетях, постороннему человеку (или даже знакомому) будет несложно в том же ВКонтакте познакомиться с вами, войти в доверие и как бы по ходу дела разузнать всю необходимую информацию. Бывают настолько изящные способы, что мошенникам (которые обычно представляются тех поддержкой и усыпляют бдительность специальными приемами) незадачливые пользователи сами сообщают все свои логины и пароли, номера кредитных карт и много других полезных вещей.
Как определить, был ли взломан пароль?
В сети существует несколько ресурсов, выполняющих сверку введенного пароля с базами паролей, которые удалось добыть хакерам. Из них самые популярные:
https://haveibeenpwned.com
https://breachalarm.com
https://pwnedlist.com/query
Если такой поиск по базам паролей обнаружил совпадение с вашими данными для входа, то рекомендуем оперативно сменить свой пароль на новый и причем более надежный, и сложный.
На этом все, если будут вопросы – пишите в комментариях к статье.
Подбираем пароли с помощью Google Chrome / Хабр
Согласно многочисленным исследованиям в области компьютерной безопасности, в ТОП-3 уязвимостей информационных систем входит подбор пароля.
Почти для каждой информационной системы сегодня существуют свои дефолтные учётные записи, которые широко распространены в сети Интернет. Например, их можно взять отсюда.
В случае, если мы имеем какой-либо портал, где пользователи – это люди, то бОльшую часть уязвимых слабых паролей можно отнести к одной из 4 групп:
Пароли, входящие в топ самых популярных фраз (такие как «123456», «password», и т.п.).
Пароли, представляющие собой сочетание клавиш – так называемые keyboard-walks пароли (например, «qwerty», «qazwsx», и т.п.).
Пароли – искажённые логины («user123», «user321», и т.п.).
Либо использование в качестве пароля популярных русских слов или имён в «перевёрнутой» раскладке («ljcneg», «fylhtq»). :]+:(.)/\1/p’ | sort | uniq -c | sort -n -r | head 1000 > top1000.txt*
Чуть больше года назад от создателя инструмента hashcat появилась замечательная утилита kwprocessor. С помощью нее можно сгенерировать все возможные сочетания клавиш под любую раскладку клавиатуры: kwp basechars/tiny.base keymaps/en.keymap routes/2-to-10-max-3-direction-changes.route | len.bin 6 100 > keywalks.txt
Получение достаточно большого количества искажений для некоторого имени пользователя проще всего сделать при помощи набора правил утилиты hashcat: hashcat -r /usr/share/hashcat/rules/leetspeak.rule logins.txt —stdout > login_mutations.txt
Аналогично первому пункту списка, можно взять за основу словаря масштабные утечки русскоязычных ресурсов.
Собранные наборы паролей в дальнейшем могут быть «скормлены» таким утилитам как hydra, medusa, ncrack или patator, в зависимости от тестируемого сервиса.
В случае, если аутентификация реализована через web, а именно через http-формы (то есть не http-basic/digest аутентификация), то удобнее всего воспользоваться функционалом intruder от burp suite free (Рисунок 1).
В случае с burp нужно внимательно следить за размером ответа: изменение размера ответа можешь означать, что логин или пароль присутствует в системе.
Также при bruteforce-атаках на web возможны сложности (и речь даже не про captcha):
Во-первых, при каждой отправке формы может использоваться токен. И после каждой неудачной попытки он может меняться.
Во-вторых, нет точного образца ответа сервера в случае, если пароль угадан. Более того, возможны ситуации, когда ответ на правильные и неправильные учётные данные будет идентичен, а в ответе будет просто идти редирект через заголовок Location, где уже в дальнейшем будет ясно об успешности попытки входа.
В-третьих, некоторые веб-сервисы при аутентификации не отправляют введённые учётные данные, как они были введены, открытым текстом. Речь про случаи, когда используется client-side хэширования, причем сами хэш-функции могут быть уникальными (не md5, sha-x и т. п.).
Впрочем, для этих сложностей можно предложить решения:
Разработка скрипта, который будет парсить ответ от сервера, находить там токен, после чего подставлять его в следующий запрос.
Разработка скрипта, выполняющего при каждом ответе редирект и сравнение длины полученного ответа.
Анализ javascript-кода, выполняющего те или иные преобразования с введёнными данными, а после реализация данного алгоритма в своем скрипте.
Конечно, эти случаи не так часты. Однако порою, встретив подобную веб-форму, мы лишь вручную вводим туда дефолтные учётные записи и что-то тривиальное типа admin:admin.
Но что если производить брутфорс не на уровне http, а выше, на уровне интерфейса пользователя? Ведь если внедрить в контекст тестируемого веб-приложения javascript-код, который в цикле будет подставлять в форму заданные логин/пароли и отправлять её, то достаточно легко удастся обойти все перечисленные ранее сложности. Ведь по сути, вся работа при этом совершается браузером.
Реализовать это можно с помощью расширения для браузера greasemonkey и собственного javascript-кода, который будет жёстко заточен под разметку данной html-страницы. Но писать каждый раз js-код для каждой новой страницы неудобно. Удобнее всего было бы иметь всё это в виде отдельного расширения, в данном случае – для Google Chrome.
Всё, что потребуется, чтобы воспользоваться www_brute – это открыть какой-либо интересующий сайт и нажать на иконку расширения. Если всё сделано правильно, то появится примерно следующее (Рисунок 2).
Рисунок 2 — Добавление новой цели
Чтобы приступить к настройке брутфорса, нужно нажать на единственную кнопку – «плюс».
Вся настройка проста и сводится к двум моментам:
Выбор полей ввода данных — кнопка со стрелкой.
Выбор данных для ввода — следующая кнопка.
Перед выбором полей для ввода логина и пароля на странице сайта с формой, которую предстоит атаковать, будет внедрён скрипт, который последовательно отловит три нажатия на элементы страницы. Этими элементами должны быть поле username, password и кнопка отправки формы. Перечисленные элементы должны быть выбраны именно в данной последовательности (Рисунок 3).
Рисунок 3 — Выбор полей для ввода
При каждом нажатии на соответствующий элемент он будет становиться красным, что подтверждает его выбор. После выбора кнопки отправки данных страница может перезагрузиться (если она не использует ajax), в таком случае красное выделение пропадёт, но это нормально.
Тут очень важно отметить, что элементы ввода запоминаются по html-атрибутам и их значениям. Поэтому, если после отправки формы сайт «нарисует» другую форму, то при следующей попытке подбора поле ввода не будет найдено. Хотя логика поиска полей ввода допускает не полное соответствие атрибутов, всё же данную настройку лучше производить уже после хотя бы одной неудачной отправки учётных данных. Пример – facebook.com (Рисунки 4 и 5).
Рисунок 4 — Форма до первой попытки входа
Рисунок 5 — Форма после первой попытки входа
Словари поддерживаются для имен пользователей, паролей и фиксированных пар логин: пароль (combo) (Рисунок 6).
Рисунок 6 — Словари для bruteforce-атаки
Поскольку combo-словари используются для дефолтных учётных записей либо утечек, то вначале будут выбраны именно они. Затем будет выполнен полный перебор всех сочетаний имён пользователей и логинов. Причём будет выполнен перебор по каждому паролю всех логинов – для минимизации возможных блокировок пользователей при неудачных попытках. Итого общее количество попыток можно будет вычислить по формуле:
length(combo) + length(passwords) * length(users)
По окончании всех настроек можно начинать:
Рисунок 7 — Bruteforce-атака в действии
Значения username и password в popup-окне расширения — это следующие кандидаты на ввод.
Логика работы достаточно проста и заключается в переборе всех заданных сочетаний логин/пароль, а так же пар логин: пароль в цикле до тех пор пока:
не кончится словарь;
не исчезнет поле ввода – что может означать успешность входа (либо блокировку).
Вся статистика подбора пароля отображается в режиме реального времени:
Рисунок 8 — Процесс bruteforce-атаки на множество целей
Зелёным выделено то, что удалось подобрать, красным — безуспешная попытка. В ходе работы можно спокойно переключиться на другую вкладку либо полностью свернуть окно браузера, ведь как мы помним, брутфорс делает сам браузер, а мы лишь немного ему в этом помогаем.
Перебор пароля можно легко «распараллелить». Для этого достаточно просто открыть ещё одну или несколько вкладок на том же домене.
В любой момент времени брутфорс любого сайта может быть поставлен на паузу. Стоит заметить, что плагин не имеет обратной связи с ответами сервера, поэтому (особенно в случае с ajax) нужно правильно выбрать интервал между попытками. Не рекомендуется ставить слишком маленькое значение интервала.
Конечно данный способ никак не обходит такую вещь, как captcha, так что брутфорс таких вещей, как gmail.com и им подобных, продлится не долго. Однако в сочетании с proxy/vpn можно что-нибудь придумать…
Что же касается таких вещей, как брутфорс админок разных CMS, систем мониторинга, самописных сайтов и прочих вещей, которыми обычно пестрят сетевые периметры разных компаний, то данный способ подходит как нельзя лучше.
Плагин для chrome, а так же словарь для топ-1000 паролей доступен на тут и в webstore.
Как придумать и запомнить сложные пароли
Большинство пользователей уже попадались на неприятные фразы типа «Неправильная пара логин-пароль», «Ваш аккаунт заблокирован за рассылку спама» и тому подобные. Причина обычно была в том, что пароли или были очень простыми для взлома, или же такие, которые легко забыть. И если в Одноклассниках или ВКонтакте это грозит лишь досадными неприятностями, то забытые или взломанные пароли на серьезных сайтах могут привести к очень неприятным последствиям — потере клиентов, прибыли, ценной информации или ее краже.
Все знают о том, что сложные пароли очень важны, что на разных сайтах они должны быть разными, что их нельзя забывать и желательно периодически менять, но как не потеряться в этом хаосе? В статье — всего четыре шага, которые подскажут, как очень просто можно придумать сложные пароли, которые легко запомнить
Четыре шага для создания сложного пароля
1. и так далее.
4. Если предлагается указать номер телефона — обязательно укажите и подтвердите его, так как в случае форс-мажора он может оказаться единственным вариантом решения проблемы.
Достаточно, просто, правда? При проверке (например, на passwordmeter.com) созданные таким образом пароли показывают 100% надежности, а запомнить их очень легко. Согласно рекомендациям, желательно использовать еще и символы в верхнем регистре, но тогда такой пароль запомнить будет сложнее, хотя можно просто первую букву в п.2 сделать заглавной. Пароли, написанные русскими символами (кириллицей) использовать настоятельно не рекомендуется.
Стоит заметить, что в Интернете доступны разнообразные онлайн генераторы паролей, но использовать их не рекомендуется, так как тогда можно быть уверенным в двух вещах: 1. Хорошо то, что они очень надежны и их практически невозможно подобрать. 2. Плохо то, что в случае утери пароля Вы почти гарантировано не сможете его вспомнить и то, что указано в п. 1, теперь будет против Вас.
Разные пароли на разных сайтах
Даже самый сложный пароль можно взломать если не перебором, то обманом — например, подсунув Вам фишинговую (ненастоящую, поддельную) страницу, которой Вы сами скажете и свой логин, и свой пароль. После этого программа-взломщик или злоумышленник смогут спокойно зайти на все остальные Ваши сервисы под этим же паролем, поэтому рекомендуется на разных сайтах использовать разные пароли — если один все же будет взломан на одном сайте, он же не подойдет для входа на другой. К сожалению, большинство пользователей используют один «универсальный» пароль.
Как запомнить один пароль, мы разобрались выше, но как запомнить разные пароли на разных сайтах? Очень просто — в конце, начале или внутри основного пароля дописывайте несколько букв, с которыми у Вас ассоциируется сервис, например, ВКонтакте — vk или v, Одноклассники — ok, Mail.ru — mail, Yandex.ru — yandex, Skype — sk или s и т.д. В итоге у Светы на Одноклассниках будет пароль ok+(svetaleta1985)+, а на Яндексе пароль yandex+(svetaleta1985)+. Просто, надежно и не нужно помнить ничего лишнего.
Периодическое изменение паролей
Чем более старые пароли — тем выше вероятность их утечки (троянские программы, фишинговые страницы, обычная невнимательность пользователей), поэтому Майкрософты рекомендуют периодически их менять. Все это конечно же правильно, но они не говорят, как запомнить новые пароли, когда привык к старым. Как вариант, можно менять их раз в году, добавляя в конец пароля текущий год, например, пароль yandex+(svetaleta1985)+ в 2014 году будет yandex+(svetaleta1985)+14, в 2015 году yandex+(svetaleta1985)+15 и так дальше. Формально это будет уже новый пароль, подобрать который будет так же сложно, как и предыдущий, а запоминать каждый раз по-новой не понадобится.
Согласно последних исследований, общие ежегодные финансовые потери от кражи паролей приблизительно равны оплате труда всех пользователей по их изменению раз в год, поэтому менять их чаще нет смысла.
Как надежно запомнить сложные пароли?
Память человека обладает такой особенностью, как забывать, в том числе то, что нельзя забывать никогда, например, пин-коды банковских карт, дату рождения тещи и, естественно, пароли. По известному всем закону забывчивость проявляется избирательно и обычно в тот момент, когда меньше всего нужно, поэтому при всей сравнительной легкости запоминания созданных выше паролей их все-таки не мешало бы и записать. Но что делать, если кто-то случайно найдет или специально «возьмет почитать» секретный блокнот с паролями? На этот случай их полезно записывать в измененном виде, стандартном для всех своих паролей. Например, перед или после каждого настоящего пароля записывать неразрывно набор произвольных символов или число стандартной длины. Например, реальный пароль +(svetaleta1985)+ записываем как megasonex+(svetaleta1985)+. В случае, если пароль забылся, просто находим блокнотик, отнимаем первые или последние символы и получаем настоящий пароль. Если же пароль попробует внести кто-то другой, то вряд ли он догадается о такой маленькой хитрости.
Важно: практически все серьезные сайты имеют возможность восстановить пароль по телефону, поэтому при регистрации не забудьте его указать в регистрационных данных. Не рекомендуется указывать свой телефон на сомнительных и развлекательных сайтах.
Что делать, если пароль все-таки забыт или взломан?
Главное — не паниковать, так как обычно Вы рискуете всего лишь потерять доступ на некоторое время к паре десятков своих фотографий и скольким же непрочитанным сообщениям почти ни о чем. Далее нужно попытаться восстановить пароль любым доступным способом (восстановить по секретному вопросу, с помощью телефона, обращение в техподдержку) — что-то обычно сработает, далее зайти под временным паролем и сразу же изменить на более сложный. И сделать выводы на будущее, потому что иногда потеря или взлом пароля равняются потере кошелька, паспорта и водительских прав одновременно, так что будьте внимательны, когда их создаете и к выбору мест, где они хранятся
Если понравилась статья, то поделитесь с теми, кому она нужна. Спасибо
Взлом паролей. Как взломать, узнать и подобрать пароль
Взломанный пароль – самая распространенная причина несанкционированного доступа к персональным данным. Существует множество методов взлома пароля – от грубых до самых хитрых, с использованием психологии и социальной инженерии. Почему необходимо знать о том, как взломать любой пароль? Чтобы эффективнее защитить себя, чтобы понять важность сложного пароля.
Словарный подбор паролей
Любой хакер, пытающийся узнать пароль, сначала попробует использовать самые распространенные слова. Некоторым это может показаться глупым, но действительно большое количество людей полагается на пароли, которые состоят всего из нескольких цифр, или одного слова. Даже слово password обычно используется в качестве пароля.
Хакеры знают это и могут использовать общеупотребимые пароли, дни рождения, имена своих жертв, чтобы попытаться войти в аккаунт. Хотя грубый подбор пароля не помогает в большинстве случаев, все же его используют на первом этапе взлома.
Как защитить себя: это просто. Не используйте обычные словарные слова для паролей. Это включает в себя отдельные слова, популярные фразы и простые комбинации определенных символов (например, числа).
Как узнать пароль с помощью социальной инженерии
Если первый способ не сработал, хакер может использовать социальные сети, чтобы осуществить взлом пароля.
Хакеры знают, что люди, которые не используют обычные словарные слова, все еще могут использовать пароли, имеющие какое-то личное значение. Пароль может быть именем домашнего любимца или любимого телешоу. Такая информация часто содержится в профилях социальной сети.
Если эта тактика не сработала, информация, доступная в социальной сети, может использоваться для фишинговых атак. Чаще всего это выражается в отправке фальшивых писем с запросом и ссылкой на сайт, где жертва должна будет ввести свои логин и пароль.
Как защитить себя: есть два способа. Во-первых, не используйте личную информацию для создания паролей. Лучше воспользоваться генератором паролей.Во-вторых, не переходите по ссылкам и не заполняйте пароли на сайтах, если не уверены в их оригинальности.
Слабая защита
Когда хакеру не помог подбор паролей онлайн и социальные сети, ему приходится применять самые сложные навыки. Большинство людей используют один и тот же пароль на нескольких сайтах, многие используют один пароль для всех своих аккаунтов. Хакеры прекрасно знают это, а низкая безопасность на некоторых сайтах только играет им на руку.
Используя информацию, найденную при просмотре профилей социальных сетей, хакер может определить сайты, которые вы посещаете. Некоторые из них обязательно будут тщательно защищены. Другие, вероятно, нет. Используя специальные программные уловки, хакер может узнать пароль на одном сайте, а значит, получить доступ к другим аккаунтам.
Как защитить себя: не использовать один пароль для разных веб-сайтов. В идеале вам нужны разные пароли для всех ваших аккаунтов. Вы можете несколько упростить эту задачу, используя более простые пароли для сайтов, где вы просто читаете новости и статьи. Но почта, финансовые приложения обязательно должны быть защищены сложными уникальными паролями.
Использование сетей Wi-Fi для подбора паролей
Открытые беспроводные сети могут быть источником проблем безопасности. Информация, передаваемая с их помощью, может быть получена кем угодно в пределах этой сети.
Если кто-то пытается узнать, как можно взломать пароль именно от вашего профиля, он может попробовать проследить за вами и разработать операцию взлома там, где вы пользуетесь Wi-Fi.
Как защитить себя: один ответ — просто не использовать открытый Wi-Fi. Если вы используете открытый Wi-Fi, тогда не входите в конфиденциальные учетные записи. Также используйте HTTPS, когда это возможно. Многие сайты могут использовать его, но некоторые предлагают этот протокол только в качестве опции.
Кейлоггинг
Подобно уязвимости открытого Wi-Fi, с помощью кейлогера злоумышленник использует информацию, полученную от вас, пытаясь подобрать пароль. Но чтобы сделать это, хакеру нужно воспользоваться пользовательской неосведомленностью: он отправляет вам файл, который ничем не выделяется, но на самом деле содержит программу-кейлогер. После установки он будет определять ваши пароли во время их ввода на клавиатуре.
Как защитить себя: антивирусное программное обеспечение помогает обнаруживать клавиатурных шпионов и предотвращать их установку в вашей системе.
Взлом пароля windows за 3 минуты, если забыл пароль: взлом, сброс
Что представляет собой процесс взлома пароля?
Взлом пароля – специальная процедура методичного угадывания зашифрованного слова или фразы, которую злоумышленник пытается получить из централизованной базы данных. Данные действия обычно применяются в 2 случаях:
Когда необходимо восстановить забытый пароль;
Когда нужно узнать пароль другого пользователя системы без его ведома для незаконных действий с его учетными данными.
Что же касается сферы QA, то процесс взлома пароля обычно используется для того, чтобы провести проверку безопасности приложения, отыскав максимальное количество существующих уязвимостей в его системе.
В сегодняшних реалиях развития IT-сообщества, многие программисты поставили себе за цель создать особые алгоритмы, которые могли бы взламывать установленные пароли за минимальные временные промежутки. Больше половины инструментов, представленных в данном сегменте программирования, ориентируются на вход в систему на основе максимального количества допустимых словесных и буквенных комбинаций.
Если перед хакером очень сложный пароль (структура которого состоит из особой комбинации цифр, букв и специальных символов), то его взлом может занять от нескольких часов до пары недель. Также есть особые программы со встроенными словарями паролей, но успешность применения подобных инструментов ниже, так как с одновременным подбором комбинации ключевые запросы сохраняются в приложении, а это занимает определенное время.
За последнее время было создано массу программ для взлома паролей. Все они, естественно, имеют свои сильные и слабые стороны.
Далее детально поговорим о 10 наиболее популярных веб-инструментах для тестирования паролей, которые актуальны в 2019 году.
Выводы
Пароль – это то, что должно делать любой веб-продукт и компонент максимально защищенным от несанкционированного доступа. Все вышеперечисленные инструменты, которые должны быть у любой профессиональной команды QA, оказывающей услуги по тестированию безопасности, являются красноречивым доказательством того, что нет паролей, которые невозможно было бы взломать.
Но в тоже время, учитывая возможности этих продуктов, на практике можно построить весьма хорошую защиту, которая могла бы вобрать в себя наиболее передовые методики безопасности.
Знание и многократное использование этих инструментов поможет проводить качественный аудит безопасности используемого ПО и проверку того, как и какими средствами можно добиться максимальной защищенности в современных реалиях развития возможностей IT-мира.
Любой пароль можно взломать?
Пароль – этот набор символов. Любую комбинацию можно подобрать, отличие состоит только в том, сколько времени на этот понадобится. Но, конечно, это очень весомое отличие. Как взломать пароль, который содержит 10 символов? Из 10 символов можно составить такое количество комбинаций, которые не переберет за день даже супермощный компьютер, которого у вас, конечно же, нет. Да что там день. Порой комбинации не переберёшь и за недели, месяцы.
Что делать? Очевидно, что не нужно решать проблему в лоб, если у вас пароль не состоит из одного цифрового символа. Нам придется поискать обходные пути, и пути эти для каждого конкретного случая будут разные. Приступим к теории.
Spyic
Это веб-приложение, которое может предоставить вам все данные о целевом телефоне. Сюда входят личные сообщения в Instagram. Лучшая часть Spyic заключается в том, что пользовательский интерфейс приложения настолько удобен, что вы сможете использовать его, не обладая какими-либо техническими знаниями.
В течение многих лет Spyic правил рынком из-за его скрытности и безопасности. Это причина, по которой это приложение является популярным для таких СМИ, как CNET. С помощью нескольких простых шагов вы сможете заглянуть в аккаунт Instagram целевого человека.
Как взломать пароль на компьютере с windows
Потеря пароля от учетной записи на первый взгляд выглядит как катастрофа. Нет доступа никуда – ни в интернет, ни в системные папки. Синий экран с именами пользователей и абсолютная безысходность. Но не все так страшно. Взлом пароля windows самом деле один из самых простых. Все, что вам нужно – этот зайти в систему в безопасном режиме. Тут же у вас откроется доступ к учетной записи Администратора. Это самая главная учетная запись, из-под которой можно делать все, что угодно. Поменять или удалить пароль в частности.
Перезагружаем компьютер, нажимаем клавишу в зависимости от вашей системы. Чаще всего это F8, иногда — F12. Дальше заходим в пользователя Admin, в панель управления, в зависимости от версии вашей системы – проходим в меню установки паролей, находим вашу учетную запись, выполняем привычные действия по смене пароля, как будто вы сами у себя меняете пароль и оп-ля – доступ к вашей учетной записи у вас в руках.
Постарайтесь только не забыть новый пароль, пока будете перезагружать систему!
Особенности
Рассмотренные выше программные обеспечения имеют некие отличия, однако приводят к единому результату. Все они имеют ряд следующих особенностей:
Скорость перебора паролей зависит по большей степени от характеристик ПК хакера, нежели от самой программы. Например, Pentium II и III обеспечивают скорость перебора порядка 2 млн/сек.;
Шифр для входа состоящий более чем 10 знаков потребует большего количества времени у любой из перечисленных программ;
Наличие различных способов атак и поддержка протоколов.
Большинство программного обеспечения представлено в свободном доступе и совершенно бесплатно.
Могут блокироваться антивирусными программами несмотря на доверенный источник.
Как взломать пароль на телефоне
За пальму первенства в рейтинге наиболее часто забываемых паролей борются и мобильные устройства. Количество приватной информации в такой личной вещи требует относиться к ней бережно. Пароли ставятся все сложнее и сложнее, и однажды пароль побеждает владельца. Тут уже не найдешь никаких безопасных режимов, телефон или планшет безучастно выводят тебе экран с вводом пароля и кажется, что выхода нет. Но, конечно же, это не так. Для того, что б определить способ взлома, сначала определите свою систему. Наиболее распространены сейчас android и ios. Их мы и рассмотрим.
Взламываем пароль на android
Первый способ – попроще. Если у вас есть учетная запись Google (и вы помните от нее пароль), то разблокировать телефон будет проще простого. Сначала вводите комбинации графического ключа, можно наобум, можно попытаться вспомнить свою (вдруг угадаете). Если не угадали, то экран заблокируется и появится надпись: «Попробуйте немного позже». А внизу другая – «Забыли графический ключ?». Вот на эту надпись и нажимаем. Вас перебросит на вход в гугл аккаунт, а после ввода имени и пароля даст возможность установить новый графический ключ.
Важно! Этот способ работает только тогда, когда ваш аккаунт привязан к устройству.
Второй способ — посложнее. Зайдите в гугл плей через компьютер (под именем и паролем со своего устройства). Установите приложение «Screen Lock Bypass» через веб-интерфейс. Затем установите еще одно приложение, абсолютно любое. Установка вызовет Screen Lock Bypass автоматически и экран блокировки будет сброшен. Не забудьте до следующей блокировки поменять пароль!
Третий способ, простой, но не желательный. Вы можете сбросить состояние устройства до заводского. На каждом устройстве свой механизм сброса (почитайте инструкцию), но обычно нужно выключить телефон, затем одновременно зажать клавишу громкости и клавишу “домой” (а иногда и 3ю клавишу). После чего на экране появится системное меню в котором нужно выбрать пункт — Wipe data / factory reset, а затем согласится с рисками. Далее начнется удаление всех данных с телефона (возврат к заводским настройкам). Затем, после окончания сброса, выберите пункт Reboot System (перезагрузка устройства). Помните, что после сброса все личные данные и установленные приложения будут удалены. Телефон или планшет окажется таким же, каким вы принесли его из магазина.
Взламываем пароль на ios (iphone)
Для сброса экрана блокировки в яблоке, вам потребуется подключить устройство к компьютеру и войти в режим Recovery Mode. Запустите iTunes, и выберите пункт «восстановить», а затем – настроить, как новый. Тут вам будет предложено установить новый пароль или оставить устройство без пароля. Решать вам.
Как взломать пароль на ноутбуке
Процесс восстановления пароля на ноутбуке ничем не отличается от процесса восстановления пароля на персональном компьютере. Поэтому смело вернитесь на два пункта назад и внимательно прочитайте инструкцию по восстановлению пароля в wndows.
Что сделать, чтобы ваш пароль не взломали?
Как видите, взломать пароль несложно только в том случае, если он находится на вашем устройстве и у вас есть доступ к другим учетным записям. Чужой человек не может зайти в iTunes или Google Play, поэтому все, что вам нужно – поставить не элементарный пароль, которые легко подбирается перебором. Не записывать и не оставлять пароль на видном месте, а так же ежемесячно менять ваши пароли.
Как взломать пароль администратора
Первый способ: Для того, что б взломать пароль администратора, зайдите из-под другой учетной записи в командную строку. Введите команду «control userpasswords2» и нажмите ввод. Откроется окошко с учетными пользователями – выберите нужную и снимите галочку с пункта «требовать ввод пароля». Вот и все – учетная запись администратора теперь без пароля.
Второй способ: Перезагружаете компьютер в безопасном режиме (нужно нажать F8 или F12 во время загрузки ПК и выбрать пункт меню – загрузка с поддержкой командной строки. Как только появится командная строка — пишем: “CD WINDOWS” и Жмём “Еnter”. Затем набираем : “rename *.pwl *.abc” и жмём “Enter” или “rename *.pwd *.abc” и жмём “Enter” в зависимости от вашей версии windows. После перезагрузки компьютера пароль администратора будет сброшен.
Третий способ: Перезагружаете компьютер в безопасном режиме (нужно нажать F8 или F12 во время загрузки ПК и выбрать пункт меню – загрузка в безопасном режиме с поддержкой командной строки. Далее выбираем любую учетную запись администратора, которая не защищена паролями (или ту пароль от которой вам известен). После загрузки командной строки вводим: “net user имя пользователя пароль” и жмем “Enter”. Всё, дело сделано, перезагружайте компьютер и пользуйтесь на здоровье.
PS: “имя пользователя” заменяем на реальное имя пользователя на данном компьютере, “ пароль ” заменяем на реальный пароль.
Хинты по работе со словарями
Отбросить повторяющиеся пароли в файле-словаре можно с помощью стандартных средство никсов. Для этого понадобится одна единственная команда:
cat words.txt | sort | uniq > dictionary.txt
Если ты знаешь, что политика по установке паролей не позволяет пользователям выбирать пасс, менее чем в 6 символов длиной и содержащий как минимум одну букву и цифру, то можно сэкономить немало времени на переборе, если предварительно отбросить все невозможные варианты. Вместе с THC Hydra идет замечательная утилита pw-inspector, с помощью которой из существующего словаря легко составить новый словарик, включающий в себя только «правильные» пароли. В нашем случае это делается так:
www.tmto.org www.xmd5.org/index_en.htm md5.benramsey.com www.md5decrypter.com www.cmd5.com www.md5encryption.com www.thepanicroom.org/index.php?view=cracker www.panpan.org/2006/md5asp/HOME.ASP www.bisix.tk md5pass.info hash.insidepro.com/index.php?lang=rus Последний — это сайт программы переборщика паролей PasswordsPro, достаточно большая база, легкое использование.
НЕ мгновенная расшифровка
rainbowtables.net — надо связываться с администрацией по e-mail milw0rm.com/cracker/insert.php www.hashchecker.com/?_sls=add_hash — квота 3 хеша в день
Платные сервисы
passcracking.com Очень хороший сервис, большие базы, после регистрации поиск производится по всем имеющимся. Так же существует и платная услуга перебора, оплата с помощью смс. hashcracking.info По моему личному мнению это самый лучший и заслуживает особого внимания. Помимо того, что он ищет по базе пароли (мгновенная расшифровка), не найденные он добавляет в специальную очередь паролей. Бруттер, установленный на сервере двигается по той очереди с верху вниз. (Всего 12 таблиц. CharSet=a-z,0-9 длины паролей:1-8 символов. Вероятность попадания: 97.80%. Максимальное время поиска пароля для одного хеша: 12 минут) Если хотите, чтобы пароль перебирался как можно скорее, то можно указать цену за него. Очередь сортируется по цене. Баланс можно пополнить, написав администрации и переведя деньги, например по средствам WebMoney. Но есть одна интересная особенность. Помимо основного бруттера в переборе могут участвовать все пользователи сервиса, для этого есть специальная страница, где выведены все хеши, отсортированные по цене. Если же бруттер не смог подобрать пароль, а у одного из пользователей это получилось, то сумма за найденный пароль переходит этому пользователю. Поддерживает MD5, MySQL, MySQL5, SHA-1 P.S. Как написано на всех сервисах: «Взламывать чужие пароли — плохо»
12 основных методов взлома паролей, используемых хакерами
В течение многих лет пароли считались приемлемой формой защиты конфиденциальности, когда дело касалось цифрового мира. Однако по мере того, как криптография и биометрия стали становиться все более доступными для общественности, недостатки этого простого метода аутентификации стали более заметными.
Стоит принять во внимание роль просочившегося пароля в одной из крупнейших историй кибербезопасности последних двух лет — взломе SolarWinds.Выяснилось, что «solarwinds123», пароль, созданный и просочившийся стажером, был публично доступен через частный репозиторий GitHub с июня 2018 года, что позволило хакерам спланировать и провести массовую атаку на цепочку поставок. Несмотря на это, даже если бы пароль не просочился, злоумышленникам было бы несложно его угадать. По словам американского политика Кэти Портер, большинство родителей используют более надежный пароль, чтобы не дать своим детям «слишком много смотреть YouTube на своем iPad».
Слабые или легко угадываемые пароли встречаются чаще, чем можно было ожидать: недавние исследования NCSC показали, что примерно каждый шестой человек использует имена своих питомцев в качестве паролей, что делает их очень предсказуемыми. Что еще хуже, эти пароли, как правило, повторно используются на нескольких сайтах, причем каждый третий человек (32%) имеет один и тот же пароль для доступа к разным учетным записям.
Неудивительно, что пароли — худший кошмар для эксперта по кибербезопасности.Чтобы решить эту проблему, стоит предпринять шаги, например, реализовать надежную многоуровневую аутентификацию. Также стоит снизить риски, рассмотрев шаги, которые киберпреступники должны предпринять, чтобы взломать вашу учетную запись и «узнать своего врага». Мы собрали 12 лучших методов взлома паролей, используемых злоумышленниками, чтобы вы и ваш бизнес были лучше подготовлены.
12 методов взлома паролей, используемых хакерами:
1. Фишинг
Возможно, наиболее часто используемый сегодня метод взлома, фишинг — это попытка кражи пользовательской информации путем маскировки вредоносного контента под надежное сообщение.Хотя этот термин обычно ассоциируется с электронной почтой, и существуют термины для описания других средств коммуникации, таких как «smishing» (SMS-фишинг), фишинг может возникать при любом типе электронного общения.
Связанный ресурс
Подготовка к кибератакам с использованием ИИ
Обзор технологий MIT
Загрузить сейчас
Типичная тактика — обманом заставить пользователя щелкнуть встроенную ссылку или загрузить вложение. Вместо того, чтобы быть перенаправленным на полезный ресурс, вредоносный файл загружается и запускается на машине пользователя.Что произойдет дальше, полностью зависит от выполняемой вредоносной программы — некоторые могут шифровать файлы и препятствовать доступу пользователя к машине, в то время как другие могут пытаться оставаться скрытыми, чтобы действовать как бэкдор для других вредоносных программ.
По мере того, как компьютерная грамотность с годами повышалась, а пользователи привыкли к онлайн-угрозам, методы фишинга должны были стать более изощренными. Сегодняшний фишинг обычно включает в себя ту или иную форму социальной инженерии, при которой сообщение будет выглядеть как отправленное от законной, часто хорошо известной компании, информирующее своих клиентов о том, что им необходимо предпринять какие-либо действия. Для этой цели часто используются Netflix, Amazon и Facebook, поскольку весьма вероятно, что у жертвы будет учетная запись, связанная с этими брендами.
Дни электронных писем от предполагаемых принцев Нигерии, ищущих наследника, или фирм, действующих от имени богатых умерших родственников, немногочисленны и далеки от времени, хотя вы все еще можете встретить странные, дико экстравагантные утверждения здесь и там.
Нашим недавним фаворитом является случай с первым нигерийским астронавтом, который, к сожалению, потерян в космосе и нуждается в нас, чтобы действовать как человек посередине для перевода 3 миллионов долларов в Российское космическое агентство, которое, по-видимому, действительно выполняет обратные полеты.
2. Социальная инженерия
Говоря о социальной инженерии, обычно имеется в виду процесс, заставляющий пользователей поверить в то, что хакер является законным агентом. Распространенной тактикой является то, что хакеры вызывают жертву и изображают из себя службу технической поддержки, запрашивая такие вещи, как пароли доступа к сети, чтобы оказать помощь. Это может быть столь же эффективным, если сделать это лично, используя поддельную униформу и учетные данные, хотя в наши дни это встречается гораздо реже.
Успешные атаки социальной инженерии могут быть невероятно убедительными и очень прибыльными, как это было в случае, когда генеральный директор британской энергетической компании потерял 201 000 фунтов стерлингов из-за хакеров после того, как они обманули его с помощью инструмента искусственного интеллекта, который имитировал голос его помощника.
3. Вредоносное ПО
Кейлоггеры, скребки экрана и множество других вредоносных инструментов подпадают под действие вредоносных программ, предназначенных для кражи личных данных. Наряду с очень разрушительным вредоносным программным обеспечением, таким как программы-вымогатели, которые пытаются заблокировать доступ ко всей системе, существуют также узкоспециализированные семейства вредоносных программ, специально предназначенные для паролей.
Кейлоггеры и им подобные записывают действия пользователя, будь то нажатия клавиш или снимки экрана, которые затем передаются хакеру. Некоторые вредоносные программы даже проактивно ищут в системе пользователя словари паролей или данные, связанные с веб-браузерами.
4. Атака грубой силы
Атака грубой силой относится к ряду различных методов взлома, все из которых включают угадывание паролей для доступа к системе.
Простым примером атаки методом перебора может быть хакер, который просто угадывает пароль человека на основе соответствующих ключей, однако они могут быть более изощренными. Например, переработка учетных данных основана на том факте, что многие люди повторно используют свои пароли, некоторые из которых будут обнаружены в результате предыдущих утечек данных.В ходе атак методом обратного перебора хакеры берут некоторые из наиболее часто используемых паролей и пытаются угадать связанные имена пользователей.
В большинстве атак методом перебора используется автоматическая обработка, позволяющая вводить в систему огромное количество паролей.
5. Атака по словарю
Атака по словарю — это немного более сложный пример атаки методом грубой силы.
Используется автоматизированный процесс загрузки списка часто используемых паролей и фраз в компьютерную систему до тех пор, пока что-то не подойдет.Большинство словарей будет составлено из учетных данных, полученных в результате предыдущих взломов, хотя они также будут содержать наиболее распространенные пароли и словосочетания.
Этот метод использует тот факт, что многие люди будут использовать запоминающиеся фразы в качестве паролей, которые обычно представляют собой целые слова, склеенные вместе. Это во многом причина того, почему системы будут настоятельно рекомендовать использование нескольких типов символов при создании пароля.
6. Атака по маске
В тех случаях, когда атаки по словарю используют списки всех возможных словосочетаний и словосочетаний, атаки по маске гораздо более специфичны по своему объему, часто уточняя догадки на основе символов или чисел — обычно основанных на существующих знаниях.
Например, если хакеру известно, что пароль начинается с числа, он сможет настроить маску, чтобы пробовать только эти типы паролей. Длина пароля, расположение символов, наличие специальных символов или количество повторений одного символа — вот лишь некоторые из критериев, которые можно использовать для настройки маски.
Цель состоит в том, чтобы резко сократить время, необходимое для взлома пароля, и удалить любую ненужную обработку.
7.Атака по радужной таблице
Всякий раз, когда пароль хранится в системе, он обычно зашифровывается с помощью «хеш-кода» или криптографического псевдонима, что делает невозможным определение исходного пароля без соответствующего хеш-кода. Чтобы обойти это, хакеры поддерживают и обмениваются каталогами, в которых записаны пароли и соответствующие им хэши, часто созданные на основе предыдущих взломов, что сокращает время, необходимое для взлома системы (используется в атаках методом грубой силы).
Радужные таблицы идут еще дальше, поскольку они не просто предоставляют пароль и его хэш, а хранят предварительно скомпилированный список всех возможных текстовых версий зашифрованных паролей на основе алгоритма хеширования. Затем хакеры могут сравнить эти списки с любыми зашифрованными паролями, которые они обнаруживают в системе компании.
Большая часть вычислений выполняется до того, как произойдет атака, что значительно упрощает и ускоряет запуск атаки по сравнению с другими методами. Обратной стороной киберпреступников является то, что огромное количество возможных комбинаций означает, что радужные таблицы могут быть огромными, часто размером в сотни гигабайт.
8. Сетевые анализаторы
Сетевые анализаторы — это инструменты, которые позволяют хакерам отслеживать и перехватывать пакеты данных, отправляемые по сети, и поднимать содержащиеся внутри текстовые пароли.
Такая атака требует использования вредоносного ПО или физического доступа к сетевому коммутатору, но она может оказаться очень эффективной. Он не полагается на использование уязвимости системы или ошибки сети и, как таковой, применим к большинству внутренних сетей. Сетевые анализаторы также часто используются на первом этапе атаки, за которым следуют атаки методом грубой силы.
Конечно, предприятия могут использовать эти же инструменты для сканирования собственных сетей, что может быть особенно полезно для выполнения диагностики или устранения неполадок.Используя сетевой анализатор, администраторы могут определять, какая информация передается в виде обычного текста, и применять политики, чтобы этого не происходило.
Единственный способ предотвратить эту атаку — защитить трафик, направив его через VPN или что-то подобное.
9. Spidering
Spidering относится к процессу, когда хакеры узнают свои цели как можно ближе, чтобы получить учетные данные на основе их активности. Этот процесс очень похож на методы, используемые при фишинге и атаках социальной инженерии, но требует гораздо большей работы со стороны хакера, хотя, как правило, в результате он оказывается более успешным.
Как хакер может использовать spidering, зависит от цели. Например, если целью является крупная компания, хакеры могут попытаться получить внутреннюю документацию, такую как руководства для начинающих, чтобы получить представление о типах платформ и безопасности, которые использует цель. Именно в них вы часто найдете руководства по доступу к определенным сервисам или заметки об использовании офисного Wi-Fi.
Часто бывает, что компании используют пароли, которые так или иначе связаны с их деловой деятельностью или брендом — в основном потому, что это облегчает их запоминание сотрудникам.Хакеры могут использовать это, изучая продукты, которые создает бизнес, чтобы составить список возможных словосочетаний, которые можно использовать для поддержки атаки методом грубой силы.
Как и в случае со многими другими методами из этого списка, процесс паутинки обычно поддерживается автоматизацией.
10. Автономный взлом
Важно помнить, что не все взломы происходят через Интернет-соединение. Фактически, большая часть работы выполняется в автономном режиме, особенно потому, что большинство систем устанавливают ограничения на количество предположений, разрешенных перед блокировкой учетной записи.
Автономный взлом обычно включает в себя процесс расшифровки паролей с использованием списка хэшей, вероятно, взятых из недавней утечки данных. Без угрозы обнаружения или ограничений формы пароля хакеры могут не торопиться.
Конечно, это можно сделать только после того, как начальная атака была успешно запущена, будь то хакер, получивший повышенные привилегии и доступ к базе данных, с помощью атаки с использованием SQL-инъекции или наткнувшись на незащищенный сервер.
11. Серфинг через плечо
Вы можете подумать, что кто-то смотрит через ваше плечо, чтобы увидеть ваш пароль, — продукт Голливуда, но это реальная угроза даже в 2020 году.
Наглые примеры этого включают хакеров, которые маскируются. чтобы получить доступ к сайтам компании и буквально заглядывать через плечи сотрудников, чтобы получить конфиденциальные документы и пароли. Небольшие предприятия, вероятно, подвергаются наибольшему риску, учитывая, что они не могут контролировать свои сайты так же эффективно, как более крупная организация.
Эксперты по безопасности недавно предупредили об уязвимости в процессе аутентификации, используемом WhatsApp. Пользователи, пытающиеся использовать WhatsApp на новом устройстве, должны сначала ввести уникальный код, отправленный в текстовом сообщении, которое можно использовать для восстановления учетной записи пользователя и истории чата из резервной копии. Было обнаружено, что если хакеру удалось получить номер телефона пользователя, он может загрузить приложение на чистое устройство и выдать запрос на ввод нового кода, который, если они находятся на расстоянии слежки, они могут скопировать его. поступает на собственное устройство пользователя.
12. Угадай
Если ничего не помогает, хакер всегда может попытаться угадать ваш пароль. Хотя существует множество менеджеров паролей, которые создают строки, которые невозможно угадать, многие пользователи по-прежнему полагаются на запоминающиеся фразы. Они часто связаны с хобби, домашними животными или семьей, большая часть которых часто содержится на тех страницах профиля, которые пытается защитить пароль.
Лучший способ избавиться от этой потенциальной возможности для злоумышленников — соблюдать гигиену паролей и использовать менеджеры паролей, многие из которых бесплатны.
Как модернизированные серверные платформы и платформы хранения поддерживают цифровую трансформацию
Новое хранилище Dell EMC PowerStore предоставляет высококачественные функции корпоративного хранилища по цене средняя цена
Бесплатная загрузка
Полное руководство по экономике облака
Улучшение принятия решений, избежание рисков, снижение затрат и ускорение внедрения облака
Бесплатная загрузка
Преобразуйте свою сеть с помощью расширенной балансировки нагрузки от VMware
Как модернизировать балансировку нагрузки до включить цифровую трансформацию
Скачать бесплатно
Десять лучших методов взлома паролей, используемых хакерами
Понимание техник взлома паролей, которые хакеры используют, чтобы широко раскрыть ваши онлайн-аккаунты, — отличный способ гарантировать, что с вами этого никогда не случится.
Вам, безусловно, всегда придется менять пароль, и иногда это будет происходить более срочно, чем вы думаете, но защита от кражи — отличный способ сохранить безопасность своей учетной записи. Вы всегда можете зайти на www.haveibeenpwned.com, чтобы проверить, не подвержены ли вы риску, но просто думать, что ваш пароль достаточно безопасен, чтобы его не взломали, — это плохое мышление.
Итак, чтобы помочь вам понять, как хакеры получают ваши пароли — безопасные или иные — мы составили список из десяти самых популярных методов взлома паролей, используемых хакерами.Некоторые из приведенных ниже методов явно устарели, но это не значит, что они до сих пор не используются. Прочтите внимательно и узнайте, от чего бороться.
Десять основных методов взлома паролей, используемых хакерами
1. Фишинг
Есть простой способ взломать, спросив у пользователя его или ее пароль. Фишинговое электронное письмо приводит ничего не подозревающего читателя к поддельной странице входа в систему, связанной с той службой, к которой он хочет получить доступ, обычно путем запроса пользователя исправить какую-то ужасную проблему с его безопасностью. Затем эта страница просматривает их пароль, и хакер может использовать его в своих целях.
Зачем возиться со взломом пароля, если пользователь все равно с радостью даст его вам?
2. Социальная инженерия
Социальная инженерия берет всю концепцию «спросить пользователя» за пределы почтового ящика, к которому обычно прикрепляется фишинг, и в реальный мир.
Любимое дело социальных инженеров — позвонить в офис, выдавая себя за специалиста по ИТ-безопасности, и просто попросить пароль для доступа к сети.Вы будете удивлены, как часто это работает. У некоторых даже есть необходимые гонады, чтобы надеть костюм и именной значок перед тем, как войти в бизнес, чтобы задать тот же вопрос секретарю лицом к лицу.
Снова и снова было показано, что многие предприятия либо не имеют должной безопасности, либо люди слишком дружелюбны и доверчивы, когда им не должно быть, например, предоставляют людям доступ к конфиденциальным местам из-за униформы или слезливых историй. .
3. Вредоносное ПО
Вредоносное ПО существует во многих формах, таких как кейлоггер, также известный как скребок экрана, который записывает все, что вы вводите, или делает снимки экрана во время процесса входа в систему, а затем пересылает копию этого файла в хакерский центр.
Некоторые вредоносные программы будут искать файл паролей клиента веб-браузера и копировать его, который, если он не зашифрован должным образом, будет содержать легкодоступные сохраненные пароли из истории просмотров пользователя.
4. Атака по словарю
Атака по словарю использует простой файл, содержащий слова, которые можно найти в словаре, отсюда и его довольно простое название. Другими словами, в этой атаке используются именно те слова, которые многие люди используют в качестве пароля.
Умное объединение слов в одну группу, например, «letmein» или «суперадминистрация», не предотвратит взлом вашего пароля таким способом — ну, не более чем на несколько дополнительных секунд.
5. Атака по радужным таблицам
Радужные таблицы не такие красочные, как может предполагать их название, но для хакера ваш пароль вполне может быть в конце. Самым простым способом вы можете превратить радужную таблицу в список предварительно вычисленных хешей — числовое значение, используемое при шифровании пароля.Эта таблица содержит хэши всех возможных комбинаций паролей для любого заданного алгоритма хеширования. Радужные таблицы привлекательны тем, что сокращают время, необходимое для взлома хэша пароля, до простого поиска чего-либо в списке.
Однако радужные таблицы — огромные и громоздкие вещи. Для их работы требуются серьезные вычислительные мощности, и таблица становится бесполезной, если хэш, который она пытается найти, был «подсолен» путем добавления случайных символов к паролю перед хешированием алгоритма.
Ходят слухи о существовании соленых радужных таблиц, но они будут настолько большими, что их будет сложно использовать на практике. Скорее всего, они будут работать только с заранее определенным набором «случайных символов» и строками паролей менее 12 символов, поскольку в противном случае размер таблицы был бы непозволительным даже для хакеров на уровне штата.
6. Spidering
Опытные хакеры осознали, что многие корпоративные пароли состоят из слов, связанных с самим бизнесом. Изучение корпоративной литературы, материалов о продажах на веб-сайтах и даже веб-сайтов конкурентов и перечисленных клиентов может предоставить боеприпасы для создания настраиваемого списка слов для использования в атаке методом грубой силы.
По-настоящему сообразительные хакеры автоматизировали этот процесс и позволили веб-поисковикам, подобным веб-сканерам, используемым ведущими поисковыми системами, определять ключевые слова, а затем собирать и сопоставлять списки для них.
7. Автономный взлом
Легко представить, что пароли безопасны, когда системы, которые они защищают, блокируют пользователей после трех или четырех неправильных угадываний, блокируя приложения с автоматическим угадыванием. Что ж, это было бы правдой, если бы не тот факт, что большая часть взлома паролей происходит в автономном режиме с использованием набора хэшей в файле паролей, который был «получен» из взломанной системы.
Часто рассматриваемая цель была взломана посредством взлома третьей стороны, которая затем предоставляет доступ к системным серверам и этим важнейшим файлам хэшей паролей пользователей. Затем взломщик паролей может столько времени, сколько потребуется, чтобы попытаться взломать код без предупреждения целевой системы или отдельного пользователя.
8. Атака грубой силы
Подобно атаке по словарю, атака грубой силой имеет дополнительный бонус для хакера. Вместо простого использования слов атака методом перебора позволяет им обнаруживать слова, не являющиеся словарными, путем обработки всех возможных буквенно-цифровых комбинаций от aaa1 до zzz10.
Это не быстро, если ваш пароль состоит из нескольких символов, но в конечном итоге ваш пароль будет раскрыт. Атаки методом грубой силы могут быть сокращены за счет дополнительных вычислительных мощностей с точки зрения как вычислительной мощности, включая использование мощности графического процессора видеокарты, так и количества машин, например, с использованием моделей распределенных вычислений, таких как онлайн-майнеры биткойнов.
9. Серфинг по плечу
Другая форма социальной инженерии, серфинг по плечу, как и подразумевает, влечет за собой возможность заглядывать через плечо человека, когда он вводит учетные данные, пароли и т. Д.Несмотря на то, что эта концепция очень низкотехнологичная, вы будете удивлены, сколько паролей и конфиденциальной информации украдут таким образом, поэтому не забывайте о своем окружении при доступе к банковским счетам и т. Д. На ходу.
Самые уверенные в себе хакеры примут вид курьера, специалиста по обслуживанию кондиционеров или кого-либо еще, что дает им доступ в офисное здание. Войдя внутрь, «форма» обслуживающего персонала обеспечивает своего рода бесплатный проход, чтобы беспрепятственно бродить и записывать пароли, вводимые настоящими сотрудниками.Это также дает прекрасную возможность взглянуть на все эти стикеры, приклеенные к передней части ЖК-экранов, с нацарапанными на них логинами.
10. Угадай
Лучший друг взломщиков паролей, конечно же, — предсказуемость пользователя. Если не был создан действительно случайный пароль с помощью программного обеспечения, предназначенного для этой задачи, «случайный» пароль, созданный пользователем, вряд ли будет чем-то подобным.
Вместо этого, благодаря эмоциональной привязанности нашего мозга к тому, что нам нравится, скорее всего, эти случайные пароли основаны на наших интересах, хобби, домашних животных, семье и так далее.Фактически, пароли, как правило, основываются на том, о чем мы любим болтать в социальных сетях, и даже включаем их в наши профили. Взломщики паролей, скорее всего, изучат эту информацию и сделают несколько — часто верных — обоснованных предположений при попытке взломать пароль потребительского уровня, не прибегая к атакам по словарю или грубой силе.
Другие атаки, которых следует опасаться
Если хакерам чего-то не хватает, то это не творчество. Используя различные методы и адаптируясь к постоянно меняющимся протоколам безопасности, эти нарушители продолжают добиваться успеха.
Например, кто-нибудь в социальных сетях наверняка видел веселые викторины и шаблоны с просьбой рассказать о своей первой машине, любимой еде, песне номер один в день вашего 14-летия. Хотя эти игры кажутся безобидными и их, безусловно, интересно публиковать, на самом деле они представляют собой открытый шаблон для контрольных вопросов и ответов для подтверждения доступа к аккаунту.
При создании учетной записи, возможно, попробуйте использовать ответы, которые на самом деле не относятся к вам, но которые вы легко запомните.»Какая была ваша первая машина?» Вместо того, чтобы отвечать правдиво, поставьте машину своей мечты. В противном случае просто не публикуйте ответы на вопросы по безопасности в Интернете.
Другой способ получить доступ — просто сбросить пароль. Лучшая линия защиты от злоумышленника, сбрасывающего ваш пароль, — это использование адреса электронной почты, который вы часто проверяете, и обновление вашей контактной информации. Если возможно, всегда включайте двухфакторную аутентификацию. Даже если хакер узнает ваш пароль, он не сможет получить доступ к аккаунту без уникального кода подтверждения.
Лучшие методы защиты от хакеров
Поддерживайте надежные и уникальные пароли для всех своих учетных записей, доступны менеджеры паролей.
Не нажимайте на ссылки или не скачивайте файлы в сообщениях электронной почты произвольно. Лучше вообще не делать этого, но сообщения электронной почты для активации предотвратят это.
Периодически проверяйте и применяйте обновления безопасности. Большинство рабочих компьютеров могут не допускать этого, об этом позаботится системный администратор.
При использовании нового компьютера или диска рассмотрите возможность использования шифрования.Вы можете зашифровать HDD / SSD с данными на нем, но это может занять часы или дни из-за дополнительной информации.
Используйте понятие минимальных привилегий, что означает предоставление доступа только к тому, что необходимо. Как правило, создавайте учетные записи пользователей, которые не являются администраторами, для случайного использования компьютера вами, друзьями и семьей.
Часто задаваемые вопросы
Почему мне нужны разные пароли для каждого сайта?
Вы, наверное, знаете, что не следует сообщать свои пароли и не следует загружать какой-либо контент, с которым вы не знакомы, но как насчет учетных записей, в которые вы входите каждый день? Предположим, вы используете тот же пароль для своего банковского счета, что и для произвольной учетной записи, такой как Grammarly.Если Grammarly взломан, у пользователя также будет ваш банковский пароль (и, возможно, ваш адрес электронной почты, что еще больше упростит доступ ко всем вашим финансовым ресурсам).
Что я могу сделать, чтобы защитить свои учетные записи?
Использование 2FA для любых учетных записей, которые предлагают эту функцию, использование уникальных паролей для каждой учетной записи и использование комбинации букв и символов — лучшая линия защиты от хакеров. Как указывалось ранее, существует множество различных способов, которыми хакеры могут получить доступ к вашим учетным записям, поэтому вам нужно регулярно следить за тем, чтобы вы постоянно обновляли свое программное обеспечение и приложения (для исправлений безопасности) и избегать любых загрузок, с которыми вы не знакомы.
Какой самый безопасный способ хранить пароли?
Может быть невероятно сложно угнаться за несколькими уникально странными паролями. Хотя гораздо лучше пройти процедуру сброса пароля, чем взломать ваши учетные записи, на это уходит много времени. Чтобы сохранить свои пароли в безопасности, вы можете использовать такие службы, как Last Pass или KeePass, чтобы сохранить все пароли вашей учетной записи.
Вы также можете использовать уникальный алгоритм, чтобы сохранить ваши пароли, облегчая их запоминание.Например, PayPal может иметь вид hwpp + c832. По сути, этот пароль — это первая буква каждого разрыва в URL-адресе (https://www.paypal.com) с последним числом в году рождения всех в вашем доме (просто в качестве примера). Когда вы войдете в свою учетную запись, просмотрите URL-адрес, который даст вам несколько первых букв этого пароля.
Добавьте символы, чтобы было труднее взломать пароль, но упорядочивайте их так, чтобы их было легче запомнить. Например, символ «+» может быть для любых аккаунтов, связанных с развлечениями, а знак «!» можно использовать для финансовых счетов.
Практика онлайн-безопасности
В глобальную эпоху, когда общение может происходить по всему миру, казалось бы, мгновенно, важно помнить, что не у всех есть добрые намерения. Защитите себя в Интернете, активно управляя и обновляя свои пароли и узнавая об утечках информации в социальных сетях. Обмен — это забота, но не личная информация ради того, чтобы стать легкой мишенью для киберпреступников.
10 самых популярных инструментов для взлома паролей [обновлено в 2020 г.]
Пароли — это наиболее часто используемый метод аутентификации пользователей.Пароли настолько популярны, потому что логика, лежащая в их основе, понятна людям, и разработчикам их относительно легко реализовать.
Однако пароли также могут создавать уязвимости в системе безопасности. Взломщики паролей предназначены для взлома учетных данных, украденных в результате утечки данных или другого взлома, и извлечения из них паролей.
Что такое взлом пароля?
Хорошо продуманная система аутентификации на основе пароля не хранит фактический пароль пользователя. Это сильно упростило бы хакеру или злоумышленнику доступ ко всем учетным записям пользователей в системе.
Вместо этого системы аутентификации хранят хэш пароля, который является результатом отправки пароля — и случайного значения, называемого солью — через хеш-функцию. Хеш-функции предназначены для одностороннего действия, а это означает, что очень сложно определить ввод, который дает данный вывод. Поскольку хеш-функции также являются детерминированными (это означает, что один и тот же ввод дает одинаковый вывод), сравнение двух хешей паролей (сохраненного и предоставленного пользователем) почти так же хорошо, как сравнение реальных паролей.
Взлом паролей относится к процессу извлечения паролей из связанного хэша паролей. Это можно сделать несколькими способами:
Атака по словарю: Большинство людей используют слабые и общие пароли. Взяв список слов и добавив несколько перестановок — например, замену $ на s — позволяет взломщику паролей очень быстро выучить множество паролей.
Атака методом перебора: Существует ограниченное количество потенциальных паролей заданной длины.Несмотря на свою медленную скорость, атака полным перебором (перебор всех возможных комбинаций паролей) гарантирует, что злоумышленник в конечном итоге взломает пароль.
Гибридная атака: Гибридная атака смешивает эти два метода. Он начинается с проверки, можно ли взломать пароль с помощью атаки по словарю, а затем переходит к атаке методом перебора, если она не увенчалась успехом.
Большинство инструментов для взлома паролей или поиска паролей позволяют хакеру выполнять любые из этих типов атак.В этом посте описаны некоторые из наиболее часто используемых инструментов для взлома паролей.
1. Hashcat
Hashcat — один из самых популярных и широко используемых взломщиков паролей. Он доступен во всех операционных системах и поддерживает более 300 различных типов хэшей.
Hashcat обеспечивает высокопараллельный взлом паролей с возможностью одновременного взлома нескольких разных паролей на нескольких разных устройствах и возможностью поддержки распределенной системы взлома хеш-кодов с помощью наложений. Крекинг оптимизирован за счет встроенной настройки производительности и мониторинга температуры.
Загрузите Hashcat здесь.
2. Джон Потрошитель
John the Ripper — хорошо известный бесплатный инструмент для взлома паролей с открытым исходным кодом для Linux, Unix и Mac OS X. Также доступна версия для Windows.
John the Ripper предлагает взломать пароли для различных типов паролей. Он выходит за рамки паролей ОС и включает обычные веб-приложения (например, WordPress), сжатые архивы, файлы документов (файлы Microsoft Office, PDF-файлы и т. Д.) И многое другое.
Также доступна профессиональная версия инструмента, которая предлагает лучшие функции и собственные пакеты для целевых операционных систем. Вы также можете скачать Openwall GNU / * / Linux, поставляемый с John the Ripper.
Загрузите John the Ripper здесь.
3. Брут
Brutus — один из самых популярных удаленных онлайн-инструментов для взлома паролей. Он утверждает, что это самый быстрый и гибкий инструмент для взлома паролей. Этот инструмент бесплатный и доступен только для систем Windows.Он был выпущен еще в октябре 2000 года.
Brutus поддерживает несколько различных типов аутентификации, в том числе:
HTTP (базовая аутентификация)
HTTP (HTML-форма / CGI)
POP3
FTP
МСБ
Telnet
IMAP
NNTP
NetBus
Пользовательские протоколы
Он также поддерживает протоколы многоступенчатой аутентификации и может атаковать до шестидесяти различных целей параллельно.Он также предлагает возможность приостановить, возобновить и импортировать атаку.
Brutus не обновлялся несколько лет. Однако поддержка широкого спектра протоколов аутентификации и возможность добавления пользовательских модулей делают его популярным инструментом для атак по взлому паролей в Интернете.
Получите онлайн-поиск паролей Brutus здесь.
4. Wfuzz
Wfuzz — это инструмент для взлома паролей веб-приложений, подобный Brutus, который пытается взломать пароли с помощью атаки методом подбора грубой силы.Его также можно использовать для поиска скрытых ресурсов, таких как каталоги, сервлеты и сценарии. Wfuzz также может идентифицировать уязвимости инъекций в приложении, такие как внедрение SQL, внедрение XSS и внедрение LDAP.
Ключевые особенности инструмента для взлома паролей Wfuzz:
Внедрение в нескольких точках в нескольких каталогах
Вывод в цветном HTML
Публикация, заголовки и брутфорс данных аутентификации
Поддержка прокси и SOCK, поддержка нескольких прокси
Многопоточность
Подбор пароля HTTP с помощью запросов GET или POST
Задержка между запросами
Фаззинг печенья
5.ТГК Гидра
THC Hydra — это онлайн-инструмент для взлома паролей, который пытается определить учетные данные пользователя с помощью атаки подбора пароля методом подбора пароля. Он доступен для Windows, Linux, Free BSD, Solaris и OS X.
THC Hydra расширяема с возможностью простой установки новых модулей. Он также поддерживает ряд сетевых протоколов, включая Asterisk, AFP, Cisco AAA, Cisco auth, Cisco enable, CVS, Firebird, FTP, HTTP-FORM-GET, HTTP-FORM-POST, HTTP-GET, HTTP-HEAD, HTTP. -PROXY, HTTPS-FORM-GET, HTTPS-FORM-POST, HTTPS-GET, HTTPS-HEAD, HTTP-прокси, ICQ, IMAP, IRC, LDAP, MS-SQL, MYSQL, NCP, NNTP, Oracle Listener, Oracle SID , Oracle, PC-Anywhere, PCNFS, POP3, POSTGRES, RDP, Rexec, Rlogin, Rsh, SAP / R3, SIP, SMB, SMTP, перечисление SMTP, SNMP, SOCKS5, SSH (v1 и v2), Subversion, Teamspeak (TS2 ), Telnet, VMware-Auth, VNC и XMPP.
Загрузите THC Hydra здесь.
Если вы разработчик, вы также можете внести свой вклад в разработку инструмента.
6. Медуза
Medusa — это онлайн-инструмент для взлома паролей, похожий на THC Hydra. Он утверждает, что является быстрым параллельным, модульным инструментом для подбора логина. Он поддерживает HTTP, FTP, CVS, AFP, IMAP, MS SQL, MYSQL, NCP, NNTP, POP3, PostgreSQL, pcAnywhere, rlogin, SMB, rsh, SMTP, SNMP, SSH, SVN, VNC, VmAuthd и Telnet.
Medusa — это инструмент командной строки, поэтому для его использования необходим некоторый уровень знаний командной строки.Скорость взлома паролей зависит от подключения к сети. В локальной системе он может проверять 2000 паролей в минуту.
Medusa также поддерживает параллельные атаки. В дополнение к словарю с паролями, которые можно попробовать, также можно определить список имен пользователей или адресов электронной почты для тестирования во время атаки.
Подробнее об этом здесь.
Загрузите Medusa здесь.
7. RainbowCrack
Любой взлом паролей требует компромисса между временем и памятью.Если злоумышленник предварительно вычислил таблицу пар пароль / хэш и сохранил их как «радужную таблицу», то процесс взлома пароля упрощается до поиска в таблице. Эта угроза является причиной того, что пароли теперь засаливаются: добавление уникального случайного значения к каждому паролю перед хешированием означает, что количество требуемых радужных таблиц намного больше.
RainbowCrack — это инструмент для взлома паролей, предназначенный для работы с радужными таблицами. Можно создавать собственные радужные таблицы или использовать уже существующие, загруженные из Интернета.RainbowCrack предлагает бесплатную загрузку радужных таблиц для систем паролей LANMAN, NTLM, MD5 и SHA1.
Скачайте радужные таблицы здесь.
Также доступно несколько платных радужных столов, которые вы можете купить здесь.
Этот инструмент доступен как для Windows, так и для Linux.
Загрузите RainbowCrack здесь.
8. OphCrack
OphCrack — это бесплатный инструмент для взлома паролей на основе радужных таблиц для Windows. Это самый популярный инструмент для взлома паролей Windows, но его также можно использовать в системах Linux и Mac.Он взламывает хэши LM и NTLM. Для взлома Windows XP, Vista и Windows 7 также доступны бесплатные радужные таблицы.
Live CD с OphCrack также доступен для упрощения взлома. Для взлома паролей Windows можно использовать Live CD OphCrack. Этот инструмент доступен бесплатно.
Загрузите OphCrack здесь.
Загрузите бесплатные и премиальные радужные таблицы для OphCrack здесь.
9. L0phtCrack
L0phtCrack — альтернатива OphCrack.Он пытается взломать пароли Windows из хэшей. Для взлома паролей он использует рабочие станции Windows, сетевые серверы, основные контроллеры домена и Active Directory. Он также использует атаки по словарю и перебора для генерации и подбора паролей. Он был приобретен Symantec и прекращен в 2006 году. Позже разработчики L0pht снова выкупили его и запустили L0phtCrack в 2009 году.
L0phtCrack также имеет возможность сканировать обычные проверки безопасности паролей. Можно установить ежедневный, еженедельный или ежемесячный аудит, и сканирование начнется в назначенное время.
Узнайте о L0phtCrack здесь.
10. Aircrack-ng
Aircrack-ng — это инструмент для взлома паролей Wi-Fi, который может взломать пароли WEP или WPA / WPA2 PSK. Он анализирует беспроводные зашифрованные пакеты, а затем пытается взломать пароли с помощью словарных атак, PTW, FMS и других алгоритмов взлома. Он доступен для систем Linux и Windows. Также доступен концертный компакт-диск Aircrack.
Руководства по Aircrack-ng доступны здесь.
Загрузите Aircrack-ng здесь.
Как создать пароль, который сложно взломать
В этом посте мы перечислили 10 инструментов для взлома паролей. Эти инструменты пытаются взломать пароли с помощью различных алгоритмов взлома паролей. Большинство инструментов для взлома паролей доступны бесплатно. Таким образом, вы всегда должны стараться иметь надежный пароль, который трудно взломать. Это несколько советов, которые вы можете попробовать при создании пароля.
Чем длиннее пароль, тем сложнее его взломать: Длина пароля является наиболее важным фактором.Сложность атаки методом подбора пароля методом подбора пароля растет экспоненциально с увеличением длины пароля. Случайный семизначный пароль можно взломать за считанные минуты, а десятисимвольный пароль — за сотни лет.
Всегда используйте комбинацию символов, цифр и специальных символов: Использование разнообразных символов также затрудняет подбор пароля методом перебора, поскольку это означает, что взломщикам необходимо пробовать более широкий набор вариантов для каждого символа пароля .Используйте числа и специальные символы, а не только в конце пароля или в качестве замены букв (например, @ вместо a).
Разнообразие паролей: Атаки с заполнением учетных данных используют ботов для проверки того, используются ли пароли, украденные из одной онлайн-учетной записи, для других учетных записей. Нарушение данных в крошечной компании может поставить под угрозу банковский счет, если используются те же учетные данные. Используйте длинный, случайный и уникальный пароль для всех учетных записей в Интернете.
Чего следует избегать при выборе пароля
Киберпреступники и разработчики взломщиков паролей знают все «хитрые» уловки, которые люди используют для создания своих паролей. Несколько распространенных ошибок при вводе пароля, которых следует избегать, включают:
Использование слова из словаря: Атаки по словарю предназначены для проверки каждого слова в словаре (и общих перестановок) за секунды.
Использование личной информации: Имя домашнего животного, имя родственника, место рождения, любимый вид спорта и т. Д. — все это слова из словаря. Даже если бы это было не так, существуют инструменты, позволяющие получить эту информацию из социальных сетей и составить из нее список слов для атаки.
Использование шаблонов: Пароли типа 1111111, 12345678, qwerty и asdfgh являются одними из наиболее часто используемых существующих паролей. Они также включены в список слов каждого взломщика паролей.
Использование замены символов: Замена символов, например 4 для A и $ для S, хорошо известна. Атаки по словарю проверяют эти замены автоматически.
Использование цифр и специальных символов только в конце: Большинство людей помещают требуемые числа и специальные символы в конце пароля. Эти шаблоны встроены в взломщики паролей.
Использование общих паролей: Каждый год такие компании, как Splashdata, публикуют списки наиболее часто используемых паролей. Они создают эти списки, взламывая взломанные пароли, как это сделал бы злоумышленник. Никогда не используйте пароли из этих списков или что-либо подобное.
Использование любого пароля, кроме случайного: Пароли должны быть длинными, случайными и уникальными. Используйте диспетчер паролей для безопасного создания и хранения паролей для учетных записей в Интернете.
Заключение
Инструменты для взлома паролей предназначены для извлечения хэшей паролей, утерянных во время взлома данных или украденных с помощью атаки, и извлечения из них исходных паролей. Они достигают этого, используя слабые пароли или пробуя каждый потенциальный пароль заданной длины.
Поиск паролей может использоваться для множества различных целей, но не все из них плохие. Хотя они обычно используются киберпреступниками, группы безопасности также могут использовать их для проверки надежности паролей своих пользователей и оценки риска использования ненадежных паролей для организации.
Как взламывать пароли
Краткое замечание — эта статья посвящена теории взлома паролей. Понимание того, как киберпреступники проводят атаки, чрезвычайно важно для понимания того, как защитить системы от атак такого типа.
Попытка взломать систему, которой вы не владеете, вероятно, является незаконной в вашей юрисдикции (плюс взлом ваших собственных систем может [и часто нарушает] любую гарантию на этот продукт).
Начнем с основ.Что такое атака грубой силой?
Атака этого типа включает в себя многократные попытки входа в систему как пользователя, перебирая все возможные комбинации букв, цифр и символов (с использованием автоматических инструментов).
Это можно сделать либо онлайн (то есть в реальном времени, постоянно пробуя разные комбинации имени пользователя и пароля в учетных записях, таких как социальные сети или банковские сайты), либо офлайн (например, если вы получили набор хешированных паролей и пытаетесь чтобы взломать их в автономном режиме). 5 (26 возможных букв на выбор для первой буквы, 26 возможных вариантов для вторая буква и т. д.11, или 3 670 344 486 987 776 возможных паролей.
Когда вы добавляете прописные буквы, специальные символы и цифры, это становится еще труднее и требует много времени для взлома. Чем больше возможных паролей, тем сложнее кому-то успешно войти в систему с помощью атаки грубой силы.
Как защитить себя
От этого типа атак можно защититься несколькими способами. Во-первых, вы можете использовать достаточно длинные сложные пароли (не менее 15 символов).Вы также можете использовать уникальные пароли для каждой учетной записи (используйте менеджер паролей!), Чтобы снизить опасность утечки данных.
Группа безопасности может заблокировать учетную запись после определенного количества неудачных попыток входа в систему. Они также могут принудительно использовать вторичный метод проверки, такой как Captcha, или использовать двухфакторную аутентификацию (2FA), для которой требуется второй код (SMS или электронная почта, на основе приложения или на основе аппаратного ключа).
Вот статья о том, как выполнить атаку методом грубой силы.
Как быстрее взламывать пароли?
Атака по словарю включает попытки многократного входа в систему, пробуя ряд комбинаций, включенных в предварительно скомпилированный «словарь» или список комбинаций.
Это обычно быстрее, чем атака полным перебором, потому что комбинации букв и цифр уже вычислены, что экономит ваше время и вычислительную мощность.
Но если пароль достаточно сложный (например, 1098324ukjbfnsdfsnej) и не отображается в «словаре» (предварительно составленном списке комбинаций, с которыми вы работаете), атака не сработает.
Это часто бывает успешным, потому что часто, когда люди выбирают пароли, они выбирают общие слова или варианты этих слов (например, «пароль» или «p @ SSword»).
Хакер может также использовать этот тип атаки, когда он знает или угадывает часть пароля (например, имя собаки, дни рождения детей или годовщину — информацию, которую хакер может найти на страницах социальных сетей или других ресурсах с открытым исходным кодом. ).
Меры защиты, аналогичные описанным выше, от атак грубой силы могут предотвратить успех этих типов атак.
Что делать, если у вас уже есть список хешированных паролей?
Пароли хранятся в файле / etc / shadow для Linux и в файле C: \ Windows \ System32 \ config для Windows (которые недоступны во время загрузки операционной системы).
Если вам удалось получить этот файл или если вы получили хэш пароля другим способом, например, путем прослушивания трафика в сети, вы можете попробовать взломать пароль в автономном режиме.
Принимая во внимание, что вышеупомянутые атаки требуют многократных попыток входа в систему, если у вас есть список хешированных паролей, вы можете попробовать взломать их на своем компьютере, не вызывая предупреждений, генерируемых повторными неудачными попытками входа в систему. Затем вы пытаетесь войти в систему только один раз после успешного взлома пароля (и, следовательно, неудачных попыток входа в систему не будет).
Вы можете использовать атаки методом перебора или словарные атаки против хеш-файлов, и это может быть успешным в зависимости от того, насколько сильным является хеш-код.
Погодите — что за хеширование?
35D4FFEF6EF231D998C6046764BB935D
Узнали это сообщение? На нем написано: «Привет, меня зовут Меган»
7DBDA24A2D10DAF98F23B95CFAF1D3AB
Это первый абзац этой статьи. Да, это похоже на чушь, но на самом деле это «хеш».
Хеш-функция позволяет компьютеру вводить строку (некоторую комбинацию букв, цифр и символов), брать эту строку, смешивать ее и выводить строку фиксированной длины.Вот почему обе приведенные выше строки имеют одинаковую длину, хотя входные данные строк были очень разными по длине.
Хэши можно создавать практически из любого цифрового контента. Практически весь цифровой контент можно преобразовать в двоичный код или в последовательность нулей и единиц. Следовательно, весь цифровой контент (изображения, документы и т. Д.) Можно хешировать.
Существует множество различных функций хеширования, некоторые из которых более безопасны, чем другие. Приведенные выше хэши были сгенерированы с помощью MD5 (MD означает «Дайджест сообщения»). Различные функции также различаются длиной создаваемого хеша.
Одно и то же содержимое в одной и той же хэш-функции всегда будет производить один и тот же хэш. Однако даже небольшое изменение полностью изменит хеш. Например,
2FF5E24F6735B7564CAE7020B41C80F1
Это хеш для «Привет, меня зовут Меган». Простое использование заглавной буквы M в Megan полностью изменило хеш, указанный выше.
Хеши также являются односторонними функциями (то есть их нельзя отменить). Это означает, что хэши (уникальные и односторонние) могут использоваться как тип цифрового отпечатка пальца для контента.
Какой пример использования хешей?
Хэши могут использоваться как проверка того, что сообщение не было изменено.
Когда вы отправляете электронное письмо, например, вы можете хешировать все письмо, а также отправить хеш. Затем получатель может запустить полученное сообщение через ту же хеш-функцию, чтобы проверить, не было ли сообщение подделано при передаче. Если два хэша совпадают, сообщение не было изменено. Если они не совпадают, сообщение было изменено.
Кроме того, пароли обычно хешируются при хранении.Когда пользователь вводит свой пароль, компьютер вычисляет хеш-значение и сравнивает его с сохраненным хеш-значением. Таким образом, компьютер не хранит пароли в виде открытого текста (так что какой-нибудь любопытный хакер не сможет их украсть!).
Если кто-то может украсть файл паролей, данные бесполезны, потому что функция не может быть отменена (хотя есть способы, такие как радужные таблицы, чтобы выяснить, какой открытый текст создает известный хеш).
В чем проблема с хешами?
Если хэш может принимать данные любой длины или содержания, существуют неограниченные возможности для данных, которые могут быть хешированы.
Поскольку хэш преобразует этот текст в содержимое фиксированной длины (например, 32 символа), существует конечное количество комбинаций для хеша. Это очень-очень большое количество возможностей, но не бесконечное.
В конце концов два разных набора данных дадут одно и то же значение хеш-функции. Это называется столкновением.
Если у вас есть один хэш, и вы пытаетесь просмотреть все возможные значения открытого текста, чтобы найти открытый текст, который соответствует вашему хешу, это будет очень долгий и очень сложный процесс.
Однако что, если вам все равно, какие два хэша конфликтуют?
В математике это называется «проблемой дня рождения». В классе из 23 учеников вероятность того, что у кого-то будет день рождения в определенный день, составляет около 7%, но вероятность того, что у любых двух людей один и тот же день рождения, составляет около 50%.
Тот же тип анализа можно применить к хеш-функциям, чтобы найти любые два хеша, которые совпадают (вместо конкретного хеша, который соответствует другому).
Чтобы избежать этого, вы можете использовать более длинные хэш-функции, такие как SHA3, где вероятность коллизий ниже.
Вы можете попробовать создать свои собственные хэш-функции для SHA3 здесь и MD5 здесь.
Вы можете попытаться перебрать хеши, но это займет очень много времени. Более быстрый способ сделать это — использовать предварительно вычисленные радужные таблицы (которые похожи на атаки по словарю).
Кажется, действительно легко быть взломанным. Я должен быть обеспокоен?
Самое важное, что нужно помнить о взломе, — это то, что никто не хочет выполнять больше работы, чем должен. Например, перебор хешей может занять очень много времени и быть трудным.Если есть более простой способ получить пароль, то, вероятно, это сначала попробует гнусный актер.
Это означает, что использование основных передовых методов кибербезопасности, вероятно, является самым простым способом предотвратить взлом. Фактически, Microsoft недавно сообщила, что простое включение 2FA блокирует 99,9% автоматических атак.
https://xkcd.com/538/
Дополнительная литература:
Популярные инструменты для взлома паролей
Взлом паролей: основные методы, используемые хакерами
Если хакер обнаружит ваш пароль, он может украсть вашу личность, украсть все ваши другие пароли и заблокировать вам доступ ко всем вашим учетным записям. Они также могут организовать фишинговые атаки, чтобы обманом заставить вас отказаться от более конфиденциальных данных, установить шпионское ПО на ваши устройства или продать ваши данные брокерам данных.
Лучший способ защитить себя от киберпреступников и киберпреступлений, таких как кража паролей, — это разумное сочетание здравого смысла и современных решений безопасности.
Как я могу предотвратить взлом моего пароля?
Первым шагом к предотвращению взлома вашего пароля является создание длинных и уникальных паролей для всех ваших учетных записей.Мы знаем, что использовать день рождения вашей собаки для всех паролей очень удобно, но это просто делает его более удобным для взломщиков паролей.
Также легко разрешить браузеру сохранять все ваши пароли за вас. Но если кто-то берет под свой контроль ваш компьютер, удаленно или лично, , он может также контролировать ваши пароли . Это одна из многих причин, по которым следует помнить о сохранении паролей в браузере, и почему диспетчер паролей, как правило, является более безопасным способом.
По мере развития технологий хакерам стало легче угадывать пароли. Хотя некоторые из лучших менеджеров паролей могут защитить себя от инструментов для взлома паролей, изучение распространенных методов взлома паролей — отличный способ изменить шансы в вашу пользу.
Что такое алгоритм хеширования?
Алгоритм хеширования — это одностороннее шифрование, которое превращает простой текстовый пароль в строку букв, цифр и специальных символов. Отменить алгоритм хеширования практически невозможно, но хакеры могут найти исходный пароль с помощью программного обеспечения для взлома паролей.
По мере того, как хакеры учатся взламывать алгоритмы хеширования, разрабатываются новые и более надежные хеши. Некоторые популярные, но уже устаревшие алгоритмы хеширования паролей включают MD5 (алгоритм дайджеста сообщений 5) и SHA (алгоритм безопасного хеширования). Сегодня одним из самых надежных алгоритмов хеширования паролей является bcrypt.
Распространенные методы взлома паролей
Первым шагом к взлому паролей является кража хешированных версий, часто путем взлома системы или сети, в которой хранятся пароли. Хакеры могут нацеливаться на уязвимости программного обеспечения компании с помощью эксплойтов и других методов взлома, чтобы взломать пароли внутри.
Теперь остается только выбрать правильные методы и инструменты для взлома паролей. Люди, как правило, не являются целью взлома — цель состоит в том, чтобы забросить широкую сеть и уловить как можно больше паролей.
Новые методы парольной атаки разрабатываются каждый день. К счастью для хакеров, привычка к человеческому паролю не развивалась вместе с .Многие классические программы и алгоритмы, основанные на правилах, по-прежнему эффективны в предсказании выбора паролей людьми.
Иногда все, что нужно сделать хакеру, — это дождаться утечки данных и утечки миллионов паролей и личных данных. Хакеры часто обмениваются конфиденциальными данными, которые они находят, поэтому имеет смысл иметь программное обеспечение для обеспечения конфиденциальности, такое как Avast BreachGuard, которое помогает предотвратить продажу компаниями вашей личной информации, защищает вас от слежки в социальных сетях и сканирует Интернет на случай, если ваши конфиденциальные данные будут недоступны.
Вот несколько наиболее распространенных приемов взлома паролей:
Атака грубой силы
Атака грубой силой — это когда хакеры используют компьютерные программы для взлома пароля посредством бесчисленных циклов проб и ошибок. Атака методом обратного перебора пытается взломать имя пользователя тем же методом. Атаки методом грубой силы просты, но эффективны.
Современные компьютеры могут взломать восьмизначный буквенно-цифровой пароль или идентификатор всего за несколько часов. В сети существует множество свободно доступных инструментов грубой силы, которые позволяют почти бесконечное количество раз угадывать учетные данные цели, например, популярный и печально известный взломщик паролей Brutus.
Использование непонятного слова не поможет — хакер может просмотреть все словари в известной вселенной за считанные секунды.
Наихудшие пароли — это последовательные буквы и цифры, общие слова и фразы, а также общедоступная или легко угадываемая информация о вас. Эти простые пароли невероятно легко взломать с помощью грубой силы , и рано или поздно они могут привести к утечке данных.
Хакеры собирают взломанные имена пользователей и пароли в хит-лист для атак на другие сети и системы с помощью метода, называемого повторной переработкой учетных данных .Цикл хакерского насилия идет кругом — , и ваши личные данные находятся в центре внимания.
Атаки методом перебора особенно эффективны против паролей, которые легко угадать
Атака по словарю
Атака по словарю — это тип атаки методом перебора, который сужает область атаки с помощью электронного словаря или списка слов. Атаки по словарю нацелены на пароли, в которых используются словосочетания, варианты написания, слова на других языках или непонятные слова, которые слишком скользкие для обычной атаки методом грубой силы.
Поскольку атака по словарю использует набор фактических слов, пароли, которые содержат случайные специальные символы, намного более непредсказуемы и, следовательно, более безопасны против этих атак . Несмотря на это, многие люди используют в качестве пароля обычные слова, потому что их легче запомнить.
Использование непонятного слова не поможет — хакер может просмотреть все словари в известной вселенной за считанные секунды.
Маска атаки
Атака по маске снижает нагрузку на атаку методом грубой силы за счет включения части пароля, который хакер уже знает при атаке.Например, если хакер знает, что ваш пароль состоит из 10 символов, он может отфильтровать атаку для паролей только такой длины.
Атаки по маске могут фильтровать по определенным словам, числам в определенном диапазоне, специальным символам, которые предпочитает пользователь, или любым другим характеристикам пароля, в которых хакер уверен. Если какая-либо из ваших данных будет утечкой, это сделает вас более уязвимым для полного взлома .
Социальная инженерия
Социальная инженерия — это метод, при котором преступники манипулируют людьми, заставляя их отказаться от компрометирующей информации. В контексте взлома, социальная инженерия пароль — это когда хакеры обманом заставляют кого-то раскрыть данные своего пароля, например, притворяясь службой технической поддержки.
Часто легче завоевать чье-то доверие , чем получить доступ к его компьютеру, особенно если этот человек не разбирается в технологиях.
Киберпреступники могут получить ваши пароли с помощью мошенничества с техподдержкой или других уловок.
Социальная инженерия принимает множество форм, особенно в эпоху социальных сетей.Вы когда-нибудь сталкивались с причудливой викториной в социальных сетях, в которой вас просят указать своего первого питомца и улицу, чтобы придумать имя супергероя? Хакер может пытаться получить ответы на вопросы безопасности вашего пароля с помощью социальной инженерии.
Spidering
Spidering — это когда хакеры сканируют учетные записи компании в социальных сетях, маркетинговые кампании или другие корпоративные материалы, чтобы собрать список слов для грубой силы или атаки по словарю. Пауки могут превратиться в социальную инженерию, когда хакеры проникают в бизнес за физическими справочниками и учебными пособиями, полными ключевых слов .
Изучая продукт компании, хакер может подобрать корпоративный жаргон, жаргон, слоганы и другие выражения, чтобы составить список слов для взлома. Пароли компании по умолчанию обычно связаны с идентичностью бренда и часто остаются неизменными.
Сотрудники могут выбирать пароли, относящиеся к их работе , поскольку их легче запомнить. В более крупных компаниях спайдинг особенно эффективен, поскольку приходится просеивать очень много материала. Высоки шансы, что один или два пароля попадут в хакерскую сеть.
Серфинг через плечо
«Серфинг по плечу» — это метод социальной инженерии, при котором кто-то шпионит через плечо при вводе данных для входа. Серфинг через плечо — распространенный способ узнать PIN-коды банкоматов, поэтому большинство людей с осторожностью относятся к своему окружению, снимая деньги.
Но хакеры также могут взламывать вашу электронную почту для взлома пароля или наблюдать за вашими нажатиями клавиш в интернет-кафе .
Shoulder Surfers пытаются украсть ваши пароли, шпионя за вами.
Автономный взлом
Автономный взлом — это когда хакеры передают хешированные пароли офлайн, чтобы взломать их более безопасно и эффективно. Онлайн-атаки уязвимы для обнаружения, могут вызвать блокировку после слишком большого количества попыток и им мешает скорость сети. При автономном взломе хакер невидим , может пытаться бесконечное количество попыток входа в систему и ограничен только мощностью своего компьютера.
Хешированные пароли могут быть взяты непосредственно из базы данных с помощью проверенных хакерских методов, таких как SQL-инъекция.Если хакер получает права администратора, игра окончена для всех паролей в системе администратора . Изучение того, как защитить паролем файлы и папки, может спасти администраторов от опасного взлома пароля.
Подбор пароля
Когда все остальное терпит неудачу, киберпреступники могут сотрудничать как эффективный коллектив подбора паролей. Коллективный разум хакера намного превосходит возможности памяти отдельного человека.
В сегодняшней глобальной сети достаточно всего нескольких щелчков мышью и немного ноу-хау, чтобы получить подробную информацию о любом интернет-пользователе.А с современными инструментами и технологиями для взлома паролей, — это лишь вопрос времени, когда терпеливый человек, угадывающий пароль, взломает незащищенный пароль .
Инструменты для взлома паролей
Наряду с множеством методов и компьютерных программ, хакеры могут использовать мощные инструменты паролей для захвата необработанных пользовательских данных для взлома. Любая идентифицирующая информация представляет ценность для хакера.
Коварный киберпреступник может сложить кусочки, как пазл, а потом взломать.Сообщества хакеров делятся хешированными паролями, профилями пользователей, номерами кредитных карт и другими полезными материалами в даркнете. Сканирование темной сети может показать вам, доступна ли ваша информация.
Если в результате утечки ваших учетных данных произошла утечка данных, они могут оказаться в темной сети.
Анализаторы цепей
Сетевой анализатор может проверять и анализировать сетевой трафик, включая сетевые пакеты с ценными пользовательскими данными внутри. Вредоносное ПО может установить анализатор для отслеживания данных, перемещающихся по сети, или кто-то, имеющий физический доступ к сетевому коммутатору, может подключить к нему сетевой анализатор.
Сетевые анализаторы — это опасный современный инструмент для взлома паролей, поскольку они не полагаются на эксплойты или недостатки безопасности в сети . После того, как сетевой анализатор вынюхивает пакеты, инструмент перехвата пакетов может украсть полезную нагрузку паролей внутри.
Захват пакетов
Инструмент перехвата пакетов может действовать как анализатор пакетов данных, перемещающихся по сети. Одна часть пакета — это источник и место назначения, а другая часть — это фактические данные, которые он несет, например пароли.
«Подслушивая» пакеты и регистрируя внутреннюю информацию, хакеры могут построить профили потенциальных жертв — со временем накопив массу данных для взлома паролей. Они будут продавать эту информацию тому, кто предложит самую высокую цену, обменивать ее друг с другом или просто бесплатно раскрывать информацию в случае массовых утечек данных.
Поскольку технологические компании и другие третьи стороны собирают так много данных, взломщики паролей могут вытащить ваши личные данные из воздуха. Ваш лучший выбор — это конкурирующая технология, которая может дать отпор и защитить ваши данные от рук хакеров, например, безопасный браузер с технологией защиты от слежения.
Защитите свои самые конфиденциальные данные с помощью Avast BreachGuard
Если сайт, на который вы часто заходите, был взломан, не имеет значения, насколько тщательно вы использовали свои пароли и другие личные данные. Крупные технологии, брокеры данных и другие третьи стороны собирают вашу личную информацию, в то время как хакеры ждут, пытаясь нанести удар.
Avast BreachGuard может мешать компаниям продавать ваши данные, отслеживать ваши пароли, чтобы поддерживать их надежность, и предупреждать вас в случае взлома.Храните свои данные в безопасности — получите Avast BreachGuard сегодня и поместите свою личную информацию под защиту частной безопасности.
Что такое Credential Stuffing? | WIRED
Возможно, вы заметили, что это происходит все чаще и чаще в последнее время: учетные записи в Интернете становятся массовыми, но компании настаивают на том, что их системы не были взломаны. Это бесит, но во многих случаях технически они правы. Настоящим виновником является хакерская техника, известная как «ввод учетных данных».»
Стратегия довольно проста. Злоумышленники берут огромное количество имен пользователей и паролей (часто из корпоративного мегаполиса) и пытаются» засунуть «эти учетные данные на страницу входа в другие цифровые сервисы. Потому что люди часто повторно используют одно и то же имя пользователя и Пароль на нескольких сайтах, злоумышленники часто могут использовать одну часть учетных данных для разблокировки нескольких учетных записей. Только за последние несколько недель Nest, Dunkin ‘Donuts, OkCupid и видеоплатформа DailyMotion стали жертвами набивки учетных данных.
«Из-за массовых дампов учетных данных, произошедших за последние несколько лет, их вброс стал серьезной угрозой для онлайн-сервисов», — говорит Крейн Хассолд, менеджер по анализу угроз в компании по защите от цифрового мошенничества Agari. «Большинство людей не меняют свои пароли регулярно, поэтому даже старые дампы учетных данных можно использовать с относительным успехом. А поскольку повторное использование паролей широко распространено, киберпреступники обычно проверяют набор учетных данных на множестве различных веб-сайтов.«
Craze Credential Craze
Заполнение учетных данных является проблемой в течение многих лет, поскольку запасы учетных данных от таких серьезных утечек, как LinkedIn и Dropbox в 2012 году и Myspace в 2013 году, использовались — с большим эффектом! — в бесчисленных кампаниях по заполнению учетных данных. Но одна тенденция, в частности, способствовала недавнему росту успешных кампаний.
Недавно хакеры опубликовали больше гигантских агрегированных коллекций учетных данных, которые содержат множество утечек данных. Один из самых диких недавних примеров известен как Сборник № 1-5, «нарушение» нарушений », всего 2.2 миллиарда уникальных комбинаций имени пользователя и пароля, которые можно бесплатно загрузить в виде открытого текста.
«С коллекциями с 1 по 5 мы действительно недавно наблюдали всплески количества вводимых учетных данных, сразу после того, как появилась эта новость», — говорит Шуман Гхосемаджумдер, технический директор компании Shape Security, занимающейся защитой от цифрового мошенничества. «Фактически, мы наблюдали одни из самых крупных атак по подбору учетных данных на нескольких клиентов всего за эту неделю. И это имеет смысл, потому что все эти имена пользователей и пароли в виде открытого текста доступны через торрент.Это демократизирует набивку учетных данных «.
Учетным данным Коллекции в основном несколько лет, а это значит, что многие из них уже находились в широком обращении и не стоили много. Но за последнюю неделю еще одна диковинная находка предоставила именно те новые высококачественные учетные данные, которые хакеры лелеют. Размещенная на рынке темной сети Dream Market, коллекция включает в себя в общей сложности около 841 миллиона записей, выпущенных тремя партиями из 32 веб-сервисов, включая MyFitnessPal, MyHeritage, Whitepages и платформу для обмена файлами Ge.тт. Первая часть дампа стоит около 20 000 долларов в биткойнах, вторая — около 14 500 долларов, а третья — примерно 9 350 долларов. Некоторые из взломов не содержат паролей, а некоторые из них защищены криптографическим скремблированием, которое покупатели должны будут расшифровать, но в целом это первоклассные трофеи, готовые для использования при заполнении учетных данных.
Hot Stuff
Как вы, наверное, догадались, добавление учетных данных зависит от автоматизации; хакеры буквально не вводят вручную сотни миллионов пар учетных данных на сотнях сайтов. Атаки с заполнением учетных данных также не могут попытаться выполнить большое количество попыток входа на сайт со всеми попытками, поступающими с одного и того же IP-адреса, потому что веб-службы имеют базовую защиту с ограничением скорости, чтобы блокировать поток активности, который может дестабилизировать.
Таким образом, хакеры используют инструменты заполнения учетных данных, доступные на вредоносных платформах, для включения «списков прокси», чтобы отбрасывать запросы по сети и делать их похожими на то, что они исходят со всех разных IP-адресов. Они также могут манипулировать свойствами запросов на вход, чтобы они выглядели так, как будто они поступают из различных браузеров, потому что большинство веб-сайтов будут отмечать большие объемы трафика, поступающие из одного и того же типа браузера, как подозрительные.Инструменты для заполнения учетных данных даже предлагают интеграцию с платформами, созданными для защиты от Captcha.
Атака грубой силы: защита паролем
w3.org/1999/xhtml»> Что такое атака грубой силы?
Атака методом грубой силы использует метод проб и ошибок, чтобы угадать данные для входа, ключи шифрования или найти скрытую веб-страницу. Хакеры перебирают все возможные комбинации в надежде правильно угадать.
Эти атаки осуществляются с помощью «грубой силы», что означает использование чрезмерных силовых попыток, чтобы попытаться «силой» проникнуть в вашу личную учетную запись (-а).
Это старый метод атаки, но он все еще эффективен и популярен среди хакеров. Потому что, в зависимости от длины и сложности пароля, его взлом может занять от нескольких секунд до многих лет.
Что получают хакеры от атак грубой силы?
Злоумышленникам необходимо приложить немного усилий, чтобы эти схемы окупились. Хотя технологии действительно упрощают задачу, вы все равно можете задаться вопросом: зачем кому-то это делать?
w3.org/1999/xhtml»> Вот как хакеры получают выгоду от атак грубой силы:
Получение прибыли от рекламы или сбор данных о деятельности
Похищение личных данных и ценностей
Распространение вредоносного ПО для прерывания работы
Взлом вашей системы для злонамеренных действий
Подрыв репутации веб-сайта
Получение прибыли от рекламы или сбор данных о деятельности.
Хакеры могут использовать веб-сайт вместе с другими, чтобы получать комиссионные за рекламу. Популярные способы сделать это:
Размещение спам-рекламы на посещаемом сайте, чтобы зарабатывать деньги каждый раз, когда посетители нажимают или просматривают рекламу.
Перенаправление трафика веб-сайта на заказанные рекламные сайты.
Заражение сайта или его посетителей вредоносным ПО для отслеживания активности, обычно шпионским. Данные продаются рекламодателям без вашего согласия, чтобы помочь им улучшить свой маркетинг.
Кража личных данных и ценностей.
Взлом онлайн-счетов может быть похож на взлом банковского хранилища: все, от банковских счетов до налоговой информации, можно найти в Интернете. Все, что требуется, — это совершить взлом, чтобы преступник украл вашу личность, деньги или продать ваши личные данные с целью получения прибыли. Иногда конфиденциальные базы данных целых организаций могут быть обнаружены в результате утечки данных на корпоративном уровне.
Распространение вредоносного ПО с целью вызвать сбои в работе.
Если хакер хочет создать проблемы или попрактиковать свои навыки, он может перенаправить трафик веб-сайта на вредоносные сайты. Кроме того, они могут напрямую заразить сайт скрытым вредоносным ПО, которое будет установлено на компьютеры посетителей.
Взлом вашей системы для злонамеренных действий.
Когда одной машины недостаточно, хакеры вербуют армию ничего не подозревающих устройств, называемых ботнетами, чтобы ускорить свои действия. Вредоносное ПО может проникнуть на ваш компьютер, мобильное устройство или в онлайн-аккаунты для спам-фишинга, усиленных атак методом перебора и многого другого.Если у вас нет антивирусной системы, вы можете подвергнуться большему риску заражения.
Подрыв репутации веб-сайта.
Если вы управляете веб-сайтом и становитесь объектом вандализма, киберпреступник может решить заполнить ваш сайт непристойным контентом. Это может включать текст, изображения и аудио насильственного, порнографического или расового характера.
Типы атак грубой силы
org/1999/xhtml»> Каждая атака методом грубой силы может использовать разные методы для раскрытия ваших конфиденциальных данных.Вы можете столкнуться с любым из следующих популярных методов грубой силы:
Простые атаки грубой силы
Атаки по словарю
Гибридные атаки грубой силы
Обратные атаки грубой силой
Credential Stuffing
Простые атаки методом перебора: хакеры пытаются логически угадать ваши учетные данные — совершенно без помощи программных инструментов или других средств. Они могут выявить очень простые пароли и ПИН-коды.Например, установлен пароль «guest12345».
Атаки по словарю: при стандартной атаке хакер выбирает цель и вводит возможные пароли для этого имени пользователя. Они известны как словарные атаки. Атаки по словарю — это самый простой инструмент в атаках методом грубой силы. Хотя сами по себе они не обязательно являются атаками методом грубой силы, они часто используются в качестве важного компонента для взлома паролей. Некоторые хакеры просматривают несокращенные словари и дополняют слова специальными символами и цифрами или используют специальные словари слов, но этот тип последовательной атаки громоздок.
Гибридные атаки методом перебора: эти хакеры смешивают внешние средства со своими логическими предположениями, чтобы попытаться взломать. Гибридная атака обычно сочетает атаки по словарю и перебора. Эти атаки используются для определения комбинированных паролей, в которых смешиваются общие слова со случайными символами. Пример такой атаки методом грубой силы может включать такие пароли, как NewYork1993 или Spike1234.
Атаки обратным перебором: Как следует из названия, атака обратным перебором меняет стратегию атаки, начиная с известного пароля. Затем хакеры ищут миллионы имен пользователей, пока не найдут совпадение. Многие из этих преступников начинают с утечки паролей, которые доступны в Интернете из существующих утечек данных.
Заполнение учетных данных: , если у хакера есть комбинация имени пользователя и пароля, которая работает для одного веб-сайта, он также попробует ее на множестве других. Поскольку известно, что пользователи повторно используют данные для входа на многие веб-сайты, они являются исключительными целями подобной атаки.
Инструменты помогают попыткам грубой силы
Подбор пароля для конкретного пользователя или сайта может занять много времени, поэтому хакеры разработали инструменты, позволяющие выполнять эту работу быстрее.
Автоматизированные инструменты помогают при атаках методом грубой силы. Они используют быстрое угадывание, которое построено для создания всех возможных паролей и попытки их использовать. Программа для взлома методом грубой силы может найти пароль из одного словарного слова в течение одной секунды.
В подобных инструментах запрограммированы обходные пути:
Работает со многими компьютерными протоколами (такими как FTP, MySQL, SMPT и Telnet)
Разрешить хакерам взламывать беспроводные модемы.
Определение слабых паролей
Расшифровать пароли в зашифрованном хранилище.
Переведите слова на leetspeak — например, «don’thackme» превращается в «d0n7h5cKm3».
Выполните все возможные комбинации символов.
Управляйте атаками по словарю.
Некоторые инструменты сканируют предварительно вычисленные радужные таблицы в поисках входов и выходов известных хэш-функций. Эти «хэш-функции» представляют собой основанные на алгоритмах методы шифрования, используемые для преобразования паролей в длинные последовательности букв и цифр фиксированной длины.Другими словами, радужные таблицы удаляют самую сложную часть атаки методом грубой силы, чтобы ускорить процесс.
Скорость GPU ускоряет попытки грубой силы
Тонны компьютерного интеллекта необходимы для запуска программного обеспечения для подбора паролей. К сожалению, хакеры разработали аппаратные решения, чтобы упростить эту часть работы.
Объединение ЦП и графического процессора (ГП) увеличивает вычислительную мощность. За счет добавления тысяч вычислительных ядер в графический процессор для обработки это позволяет системе обрабатывать несколько задач одновременно.Обработка графического процессора используется для аналитики, проектирования и других приложений с интенсивными вычислениями. Хакеры, использующие этот метод, могут взламывать пароли примерно в 250 раз быстрее, чем один процессор.
Итак, сколько времени нужно, чтобы взломать пароль? Для сравнения: шестизначный пароль, включающий цифры, имеет примерно 2 миллиарда возможных комбинаций. Чтобы взломать его с помощью мощного процессора, который перебирает 30 паролей в секунду, требуется более двух лет. Добавление одной мощной видеокарты позволяет тому же компьютеру проверять 7100 паролей в секунду и взламывать пароль за 3 секунды.5 дней.
Действия по защите паролей для профессионалов
Чтобы обезопасить себя и свою сеть, вы должны принять меры и помочь другим сделать это. И поведение пользователей, и системы сетевой безопасности потребуют усиления.
Как ИТ-специалистам, так и пользователям следует прислушаться к нескольким общим советам:
w3.org/1999/xhtml»>
Используйте расширенное имя пользователя и пароль. Защитите себя с помощью учетных данных, которые сильнее, чем admin и password1234 , чтобы не допустить этих злоумышленников.Чем сильнее эта комбинация, тем труднее будет проникнуть в нее.
Удалите все неиспользуемые учетные записи с разрешениями высокого уровня. Это киберэквивалент дверей со слабыми замками, облегчающими взлом. Неуправляемые аккаунты — это уязвимость, которой нельзя рисковать. Выбросьте их как можно скорее.
Когда вы разберетесь с основами, вы захотите повысить свою безопасность и привлечь пользователей.
Мы начнем с того, что вы можете делать в серверной части, а затем дадим советы, как поддержать безопасные привычки.
Пассивная внутренняя защита паролей
org/1999/xhtml»> Высокие скорости шифрования: , чтобы усложнить успешную атаку методом грубой силы, системные администраторы должны гарантировать, что пароли для их систем зашифрованы с максимально возможной скоростью шифрования, например 256-битным шифрованием. Чем больше битов в схеме шифрования, тем сложнее взломать пароль.
Salt the hash: Администраторы также должны рандомизировать хеши паролей, добавляя случайную строку букв и цифр (называемую солью) к самому паролю.Эта строка должна храниться в отдельной базе данных и извлекаться и добавляться к паролю перед хешированием. Посредством соления хеша пользователи с одним и тем же паролем получают разные хеши.
Двухфакторная аутентификация (2FA): Кроме того, администраторы могут потребовать двухэтапную аутентификацию и установить систему обнаружения вторжений, которая обнаруживает атаки методом грубой силы. Это требует, чтобы пользователи отслеживали попытку входа в систему с помощью второго фактора, такого как физический USB-ключ или биометрическое сканирование отпечатков пальцев.
Ограничение количества повторных попыток входа в систему: ограничение количества попыток также снижает уязвимость к атакам методом грубой силы. Например, три попытки ввести правильный пароль перед блокировкой пользователя на несколько минут могут вызвать значительные задержки и заставить хакеров перейти к более простым целям.
Блокировка учетной записи после чрезмерных попыток входа в систему: если хакер может бесконечно повторять ввод пароля даже после временной блокировки, он может вернуться, чтобы повторить попытку.Блокировка учетной записи и требование, чтобы пользователь обратился в ИТ-отдел для разблокировки, сдерживает эту активность. Короткие таймеры блокировки более удобны для пользователей, но удобство может быть уязвимостью. Чтобы уравновесить это, вы можете рассмотреть возможность использования долгосрочной блокировки, если после короткого будет много неудачных попыток входа в систему.
Ограничение количества повторных входов в систему: вы можете еще больше замедлить усилия злоумышленника, создав пространство между каждой попыткой входа в систему. В случае сбоя входа в систему таймер может запретить вход в систему до тех пор, пока не пройдет короткое время.Это оставит время для вашей группы мониторинга в реальном времени, чтобы обнаружить эту угрозу и поработать над ее устранением. Некоторые хакеры могут прекратить попытки, если ожидание того не стоит.
Требуется Captcha после неоднократных попыток входа в систему: ручная проверка не позволяет роботам взломать ваши данные. Captcha бывает разных типов, в том числе повторный ввод текста на изображении, установка флажка или идентификация объектов на изображениях. Независимо от того, что вы используете, вы можете использовать это до первого входа в систему и после каждой неудачной попытки защитить дальше.
Используйте список IP denylist, чтобы заблокировать известных злоумышленников. Будьте уверены, что этот список постоянно пополняется теми, кто им управляет.
Активная ИТ-поддержка для защиты паролей
Обучение паролю: поведение пользователя имеет важное значение для защиты паролей. Обучите пользователей безопасным методам и инструментам, которые помогут им отслеживать свои пароли. Такие службы, как Kaspersky Password Manager, позволяют пользователям сохранять свои сложные, трудно запоминающиеся пароли в зашифрованном «хранилище» вместо того, чтобы небезопасно записывать их на стикерах.Поскольку пользователи склонны ставить под угрозу свою безопасность ради удобства, не забудьте помочь им взять в руки удобные инструменты, которые будут обеспечивать их безопасность.
Наблюдайте за учетными записями в реальном времени на предмет странной активности: Нечетные места входа в систему, чрезмерное количество попыток входа и т. Д. Работайте, чтобы выявить тенденции необычной активности и принять меры для блокировки любых потенциальных злоумышленников в режиме реального времени. Обратите внимание на блокировку IP-адресов, блокировку учетной записи и свяжитесь с пользователями, чтобы определить, является ли активность учетной записи законной (если она выглядит подозрительной).
Как пользователи могут укрепить пароли против атак грубой силы
Как пользователь, вы можете многое сделать для поддержки своей защиты в цифровом мире. Лучшая защита от атак на пароли — убедиться, что ваши пароли максимально надежны.
Атаки методом грубой силы полагаются на время, чтобы взломать ваш пароль. Итак, ваша цель состоит в том, чтобы убедиться, что ваш пароль максимально замедляет эти атаки, потому что, если взлом займет слишком много времени, чтобы оправдать себя … большинство хакеров сдадутся и двинутся дальше.
Вот несколько способов повысить надежность паролей от грубых атак:
Более длинные пароли с разными типами символов. По возможности пользователи должны выбирать пароли из 10 символов, которые включают символы или цифры. Это создает 171,3 квинтиллиона (1,71 x 10 20 ) возможностей. При использовании процессора GPU, который пытается 10,3 миллиарда хэшей в секунду, взлом пароля займет примерно 526 лет. Хотя суперкомпьютер мог взломать его за несколько недель.По этой логике, добавление большего количества символов усложняет задачу подбора пароля.
Разработайте парольные фразы. Не все сайты принимают такие длинные пароли, что означает, что вам следует выбирать сложные парольные фразы, а не отдельные слова. Атаки по словарю созданы специально для фраз, состоящих из одного слова, и делают взлом практически без усилий. Парольные фразы — пароли, состоящие из нескольких слов или сегментов — следует усыпать дополнительными символами и специальными типами символов.
Создайте правила для создания паролей. Лучшие пароли — это те, которые вы можете запомнить, но не будут иметь смысла для других, читающих их. При выборе маршрута парольной фразы рассмотрите возможность использования сокращенных слов, например, замены «древесины» на «wd», чтобы создать строку, которая имеет смысл только для вас. Другие примеры могут включать удаление гласных или использование только первых двух букв каждого слова.
Держитесь подальше от часто используемых паролей. Важно избегать использования наиболее распространенных паролей и часто их менять.
Используйте уникальные пароли для каждого используемого сайта. Чтобы не стать жертвой переполнения учетных данных, никогда не используйте пароль повторно. Если вы хотите повысить уровень безопасности, используйте разные имена пользователей для каждого сайта. Вы можете защитить другие учетные записи от взлома, если одна из ваших будет взломана.
Воспользуйтесь менеджером паролей. Установка менеджера паролей автоматизирует создание и отслеживание информации для входа в систему. Это позволяет вам получить доступ ко всем своим учетным записям, сначала войдя в диспетчер паролей.Затем вы можете создавать очень длинные и сложные пароли для всех сайтов, которые вы посещаете, безопасно хранить их, и вам нужно помнить только один основной пароль.
Если вам интересно, «сколько времени займет взлом моего пароля», вы можете проверить надежность парольной фразы на https://password.kaspersky.com.