Как хакеры взламывают пароли

Кевин Бивер

Взлом пароля - один из самых приятных уловок для плохих парней. Это подпитывает их чувство исследования и желание разобраться в проблеме. Хакер может использовать низкотехнологичные методы для взлома паролей. Эти методы включают использование методов социальной инженерии, серфинга по плечу и простого угадывания паролей на основе информации, которую он знает о пользователе.

Социальная инженерия

Самый популярный низкотехнологичный метод сбора паролей - это социальная инженерия . Социальная инженерия использует доверчивую природу людей для получения информации, которая впоследствии может быть использована злонамеренно. Распространенный метод социальной инженерии - просто обманом заставить людей раскрыть свои пароли. Звучит смешно, но такое случается постоянно.



Методы

Чтобы получить пароль с помощью социальной инженерии, вы просто его запрашиваете. Например, вы можете просто позвонить пользователю и сказать ему, что у него в очереди почты застряли важные на вид электронные письма, и вам нужен его пароль для входа в систему и их освобождения. Именно так хакеры и инсайдеры-мошенники часто пытаются получить информацию!

Распространенная слабость, которая может способствовать такой социальной инженерии, - это когда имена сотрудников, номера телефонов и адреса электронной почты публикуются на веб-сайтах вашей компании. Сайты социальных сетей, такие как LinkedIn, Facebook и Twitter, также могут быть использованы против компании, поскольку на этих сайтах могут быть указаны имена и контактная информация сотрудников.

Контрмеры

Осведомленность пользователей и последовательное обучение безопасности - отличная защита от социальной инженерии. Инструменты безопасности являются хорошим средством защиты от сбоев, если они отслеживают такую ​​электронную почту и просмотр веб-страниц на уровне хоста, периметре сети или в облаке.

Обучайте пользователей обнаруживать атаки и эффективно реагировать. Их лучший ответ - не разглашать какую-либо информацию и предупреждать соответствующего менеджера по информационной безопасности в организации о том, является ли запрос законным и необходим ли ответ. Да, и удалите этот каталог сотрудников со своего веб-сайта или, по крайней мере, удалите информацию о сотрудниках ИТ.

Серфинг на плечах

Серфинг на плечах (просмотр через чье-то плечо, чтобы увидеть, что набирает этот человек) - эффективный, не требующий высоких технологий взлом пароля.

Методы

Чтобы организовать эту атаку, плохие парни должны быть рядом со своими жертвами и не выглядеть очевидными. Они просто собирают пароль, наблюдая за клавиатурой или экраном пользователя при входе в систему.

Злоумышленник с хорошим зрением может даже посмотреть, оглядывается ли пользователь вокруг своего стола в поисках напоминания пароля или самого пароля. Камеры видеонаблюдения или веб-камеры могут даже использоваться для таких атак. Кофейни и самолеты предоставляют идеальные сценарии для занятий серфингом через плечо.

Вы можете попробовать заняться серфингом через плечо. Просто ходите по офису и проводите выборочные проверки. Подойдите к рабочим столам пользователей и попросите их войти в систему на своих компьютерах, в сети или даже в приложениях электронной почты. Только не говорите им, что вы делаете заранее, иначе они могут попытаться скрыть то, что они набирают, или где они ищут свой пароль. Просто будьте осторожны и уважайте частную жизнь других людей.

Контрмеры

Поощряйте пользователей осознавать свое окружение и не вводить свои пароли, когда они подозревают, что кто-то смотрит им через плечо. Сообщите пользователям, что, если они подозревают, что кто-то смотрит им через плечо, пока они входят в систему, они должны вежливо попросить этого человека отвести взгляд или, при необходимости, бросить соответствующий эпитет, чтобы показать обидчику, что пользователь серьезно настроен.

Часто проще всего просто наклониться к плечу серфера, чтобы он не видел печатного текста и / или экрана компьютера. Фильтры конфиденциальности 3M тоже отлично работают.

Вывод

Вывод просто угадывает пароли на основе информации, которую вы знаете о пользователях, например, их даты рождения, любимого телешоу или телефонных номеров. Это звучит глупо, но преступники часто определяют пароли своих жертв, просто угадывая их!

Лучшая защита от атаки логического вывода - научить пользователей создавать безопасные пароли, не содержащие информации, которая может быть с ними связана. За исключением определенных фильтров сложности паролей, зачастую нелегко обеспечить соблюдение этой практики с помощью технических средств контроля. Итак, вам нужна надежная политика безопасности и постоянная осведомленность о безопасности и обучение, чтобы напоминать пользователям о важности создания безопасного пароля.

Слабая аутентификация

Внешние злоумышленники и злоумышленники могут получить пароли или просто избежать их использования, воспользовавшись преимуществами старых или незащищенных операционных систем, которые не требуют паролей для входа в систему. То же самое касается телефона или планшета, которые не настроены для использования пароли.

Обход аутентификации

В старых операционных системах, которые запрашивают пароль, вы можете нажать клавишу Esc на клавиатуре, чтобы войти. Хорошо, трудно найти какую-либо Windows 9 Икс системы в наши дни, но то же самое касается любой операционной системы - старой или новой, - которая настроена на обход экрана входа в систему.

Войдя в систему, вы можете найти другие пароли, хранящиеся в таких местах, как коммутируемое соединение, VPN-подключения и хранители экрана. Такие пароли можно очень легко взломать, используя Инструмент проактивного восстановления системного пароля от Elcomsoft а также Каин и Авель . Эти слабые системы могут служить доверенный машины - это означает, что люди думают, что они безопасны - а также являются хорошими стартовыми площадками для сетевых атак на пароли.

Контрмеры

Единственная реальная защита от слабой аутентификации - это обеспечение того, чтобы операционная система требовала пароль при загрузке. Чтобы устранить эту уязвимость, по меньшей мере обновитесь до Windows 7 или 8 или используйте самые последние версии Linux или одну из различных разновидностей UNIX, включая Mac OS X.