Home-theater-designers
Quan se sent 'incompliment de la seguretat', què em ve al cap? Un pirata informàtic malèfic assegut davant de pantalles cobertes amb text digital a l'estil Matrix? O un adolescent soterrani que no ha vist la llum del dia en tres setmanes? Què tal un poderós superordinador que intenta piratejar el món sencer?
El pirateig consisteix en una cosa: la vostra contrasenya. Si algú pot endevinar la vostra contrasenya, no necessita tècniques de pirateria i superordinadors. Només iniciaran la sessió, actuant com tu. Si la vostra contrasenya és curta i senzilla, ja s’ha acabat.
Hi ha vuit tàctiques habituals que fan servir els pirates informàtics per piratejar la vostra contrasenya.
1. Diccionari Hack
El primer a la guia de tàctiques habituals de pirateria de contrasenya és l’atac al diccionari. Per què es diu atac de diccionari? Perquè prova automàticament totes les paraules d'un 'diccionari' definit amb la contrasenya. El diccionari no és estrictament el que heu utilitzat a l’escola.
No, en realitat aquest diccionari és un petit fitxer que conté les combinacions de contrasenyes més utilitzades. Això inclou 123456, qwerty, contrasenya, iloveyou i clàssic de tots els temps, hunter2.
necessito una llanterna al telèfon
A la taula anterior es detallen les contrasenyes més filtrades el 2016. A la taula següent es detallen les contrasenyes més filtrades el 2020.
Tingueu en compte les similituds entre tots dos i assegureu-vos que no utilitzeu aquestes opcions increïblement senzilles.
Avantatges: Ràpid; normalment desbloquejarà alguns comptes lamentablement protegits.
Contres: Fins i tot les contrasenyes una mica més fortes es mantindran segures.
Cuidat: Utilitzeu una contrasenya segura d'un sol ús per a cada compte, juntament amb un aplicació de gestió de contrasenyes . El gestor de contrasenyes us permet emmagatzemar les vostres altres contrasenyes en un dipòsit. A continuació, podeu utilitzar una única contrasenya ridículament forta per a cada lloc.
Relacionat: Gestor de contrasenyes de Google: Com començar
2. Força Bruta
A continuació, l'atac de força bruta, pel qual un atacant prova totes les combinacions de personatges possibles. Les contrasenyes intentades coincideixen amb les especificacions de les regles de complexitat, per exemple. incloent una majúscula, una minúscula, decimals de Pi, la vostra comanda de pizza, etc.
Un atac de força bruta també provarà primer les combinacions de caràcters alfanumèrics més utilitzades. Aquests inclouen les contrasenyes llistades anteriorment, així com 1q2w3e4r5t, zxcvbnm i qwertyuiop. Pot trigar molt de temps a esbrinar una contrasenya mitjançant aquest mètode, però això depèn completament de la complexitat de la contrasenya.
Avantatges: Teòricament, esborrarà qualsevol contrasenya mitjançant la prova de totes les combinacions.
Contres: Depenent de la durada i la dificultat de la contrasenya, pot trigar molt de temps. Introduïu algunes variables com $, &, {o] i esbrinar la contrasenya es torna extremadament difícil.
Cuidat: Utilitzeu sempre una combinació variable de caràcters i, sempre que sigui possible, introduïu símbols addicionals per augmentar la complexitat .
3. Phishing
Això no és estrictament un 'hack', però la presa d'un intent de pesca (phishing o spear phishing) normalment acabarà malament. Els correus electrònics de pesca general enviats per milers de milions a tota mena d’usuaris d’Internet de tot el món.
Un correu electrònic de pesca normalment funciona així:
- L'usuari objectiu rep un correu electrònic falsificat que pretén provenir d'una organització o empresa important.
- El correu electrònic falsificat requereix atenció immediata, amb un enllaç a un lloc web.
- Aquest enllaç realment es connecta a un portal d’inici de sessió fals, simulat perquè aparegui exactament igual que el lloc legítim.
- L'usuari objectiu que no sospita introdueix les seves credencials d'inici de sessió i se li redirigeix o se li demana que torni a provar.
- Les credencials d’usuari es roben, es venen o s’utilitzen de manera nefasta (o ambdues coses).
El volum de correu brossa diari enviat a tot el món continua sent elevat, cosa que representa més de la meitat de tots els correus electrònics enviats a tot el món. A més, el volum de fitxers adjunts maliciosos també és elevat amb Kaspersky assenyalant més de 92 milions de fitxers adjunts maliciosos de gener a juny de 2020. Recordeu que això només és per a Kaspersky el nombre real és molt superior .
El 2017, el reclam més gran de pesca era una factura falsa. No obstant això, el 2020, la pandèmia COVID-19 va suposar una nova amenaça de pesca.
L’abril de 2020, poc després que molts països entressin en un bloqueig per pandèmia, Google va anunciar bloquejava més de 18 milions de correus electrònics danys amb correu brossa i pesca amb contingut temàtic COVID-19. Un gran nombre d’aquests correus electrònics utilitzen la marca oficial del govern o de les organitzacions sanitàries per obtenir legitimitat i atrapar les víctimes amb desconfiança.
Avantatges: L’usuari lliura literalment la seva informació d’inici de sessió, incloses les contrasenyes, una taxa d’encerts relativament alta, fàcilment adaptable a serveis específics o persones específiques en un atac de pesca de pesca.
Contres: Els correus electrònics brossa es filtren fàcilment, els dominis brossa a la llista negra i els principals proveïdors com Google actualitzen constantment les proteccions.
Cuidat: Mantingueu-vos escèptic sobre els correus electrònics i augmenteu el filtre de correu brossa fins a la configuració més alta o, millor encara, utilitzeu una llista blanca proactiva. Ús un corrector d'enllaços per esbrinar si un enllaç de correu electrònic és legítim abans de fer clic.
4. Enginyeria social
L’enginyeria social és essencialment phishing al món real, lluny de la pantalla.
Una part fonamental de qualsevol auditoria de seguretat és mesurar el que entén tota la plantilla. Per exemple, una empresa de seguretat trucarà per telèfon a l'empresa que està auditant. L ''atacant' diu a la persona que està per telèfon que és el nou equip d'assistència tècnica d'oficina i que necessita la contrasenya més recent per a alguna cosa específica.
Un individu desprevingut pot lliurar les claus sense fer una pausa per pensar.
El que fa por és la freqüència amb què això funciona. L’enginyeria social existeix des de fa segles. Ser duplicitat per accedir a una zona segura és un mètode d’atac habitual i que només es protegeix amb educació.
Això es deu al fet que l'atac no sempre demanarà directament una contrasenya. Podria ser un fals lampista o electricista que demanés l’entrada a un edifici segur, etc.
Quan algú diu que va ser enganyat perquè revelés la seva contrasenya, sovint és el resultat de l’enginyeria social.
Avantatges: Els enginyers socials qualificats poden extreure informació d’alt valor d’una sèrie d’objectius. Es pot desplegar contra gairebé qualsevol persona i en qualsevol lloc. És extremadament furtiu.
Contres: Un fracàs de l'enginyeria social pot generar sospites sobre un atac imminent i incertesa sobre si s'obté la informació correcta.
Cuidat : Això és complicat. Un atac d’enginyeria social amb èxit estarà complet en el moment que us adoneu que alguna cosa no funciona. La consciència sobre educació i seguretat és una tàctica bàsica de mitigació. Eviteu publicar informació personal que es pugui utilitzar posteriorment contra vosaltres.
5. Taula arc de Sant Martí
Una taula arc de Sant Martí sol ser un atac de contrasenya fora de línia. Per exemple, un atacant ha adquirit una llista de noms d'usuari i contrasenyes, però estan encriptades. La contrasenya xifrada està resumida. Això significa que sembla completament diferent de la contrasenya original.
Per exemple, la vostra contrasenya és (esperem que no!) Logmein. El hash MD5 conegut per a aquesta contrasenya és '8f4047e3233b39e4444e1aef240e80aa'.
Dibuixos animats per a vosaltres i per a mi. Però, en certs casos, l'atacant publicarà una llista de contrasenyes de text pla mitjançant un algorisme de resum, comparant els resultats amb un fitxer de contrasenya xifrada. En altres casos, l'algoritme de xifratge és vulnerable i la majoria de contrasenyes ja estan trencades, com MD5 (per això sabem el hash específic per a 'logmein').
Aquí és on la taula arc de Sant Martí entra en joc. En lloc d’haver de processar centenars de milers de contrasenyes potencials i fer coincidir el seu hash resultant, una taula arc de Sant Martí és un conjunt enorme de valors de hash específics d’algoritmes precomputats.
L’ús d’una taula arc de Sant Martí redueix dràsticament el temps que triga a trencar una contrasenya resumida, però no és perfecte. Els pirates informàtics poden comprar taules arc de Sant Martí omplertes amb milions de combinacions potencials.
Avantatges: Pot esbrinar contrasenyes complexes en poc temps; atorga al hacker molta potència sobre determinats escenaris de seguretat.
Contres: Requereix una gran quantitat d'espai per emmagatzemar l'enorme taula arc de Sant Martí (de vegades terabytes). A més, els atacants es limiten als valors continguts a la taula (en cas contrari, han d'afegir una altra taula sencera).
quin servei de repartiment d’aliments és més barat
Cuidat: Un altre de complicat. Les taules arc de Sant Martí ofereixen una àmplia gamma de possibilitats d’atac. Eviteu els llocs que utilitzen SHA1 o MD5 com a algorisme de resum de contrasenya. Eviteu els llocs que us limitin a contrasenyes curtes o restringeixin els caràcters que podeu utilitzar. Utilitzeu sempre una contrasenya complexa.
Relacionat: Com saber si un lloc emmagatzema les contrasenyes com a text complet (i què fer)
6. Programari maliciós / Keylogger
Una altra manera segura de perdre les vostres credencials d’inici de sessió és enganxar-vos de programari maliciós. El programari maliciós és a tot arreu, amb el potencial de causar danys massius. Si la variant de programari maliciós inclou un registre de claus, podríeu trobar tot dels vostres comptes compromesos.
Com a alternativa, el programari maliciós podria orientar-se específicament a dades privades o introduir un troià d’accés remot per robar-vos les vostres credencials.
Avantatges: Milers de variants de programari maliciós, moltes personalitzables, amb diversos mètodes de lliurament fàcils. Una bona possibilitat que un nombre elevat d’objectius sucombeixi com a mínim a una variant. Pot quedar sense ser detectat, cosa que permet obtenir més dades i credencials d'inici de sessió privades.
Contres: És probable que el programari maliciós no funcioni o estigui en quarantena abans d’accedir a les dades; cap garantia que les dades siguin útils.
Cuidat : Instal·leu i actualitzeu regularment el vostre antivirus i antimalware programari. Tingueu en compte amb atenció les fonts de baixada. No feu clic als paquets d’instal·lació que contenen paquets de paquets i molt més. Eviteu els llocs nefastos (més fàcil de dir que de fer). Utilitzeu eines de bloqueig d’escriptures per aturar scripts maliciosos.
7. Aranya
Aranyes vinculades a l'atac del diccionari. Si un pirata informàtic s’orienta a una institució o empresa concreta, pot provar una sèrie de contrasenyes relacionades amb la pròpia empresa. El pirata informàtic podia llegir i classificar una sèrie de termes relacionats, o fer servir una aranya de cerca per fer-los la feina.
És possible que hagueu sentit abans el terme 'aranya'. Aquestes aranyes de cerca són extremadament similars a les que es rastregen per Internet, indexant contingut per als motors de cerca. La llista de paraules personalitzada s'utilitza després amb comptes d'usuari amb l'esperança de trobar una coincidència.
Avantatges: Pot desbloquejar comptes per a individus d’alt rang dins d’una organització. Relativament fàcil de combinar i afegeix una dimensió addicional a un atac de diccionari.
Contres: Podria acabar sense resultat si la seguretat de la xarxa organitzativa està ben configurada.
Cuidat: Una vegada més, només utilitzeu contrasenyes fortes d’un sol ús que consten de cadenes aleatòries; res relacionat amb la vostra persona, negoci, organització, etc.
com configurar el compte per defecte a Chrome
8. Surf a l’espatlla
L’opció final és una de les més bàsiques. Què passa si algú només us mira per sobre de l'espatlla mentre escriviu la vostra contrasenya?
El surf a l’espatlla sona una mica ridícul, però sí. Si esteu treballant en una cafeteria del centre ocupada i sense parar atenció al vostre entorn, algú es pot apropar prou com per apuntar la vostra contrasenya mentre escriviu.
Avantatges: Enfocament de baixa tecnologia per robar una contrasenya.
Contres: Heu d’identificar l’objectiu abans d’esbrinar la contrasenya; podrien revelar-se en el procés de robatori.
Cuidat: Seguiu observant els que us envolten quan escriviu la contrasenya. Tapeu el teclat i enfosqueu les tecles durant l’entrada.
Utilitzeu sempre una contrasenya forta, única i d’un sol ús
Llavors, com podeu evitar que un pirata informàtic us robi la contrasenya? La resposta realment curta és que realment no es pot estar 100% segur . Les eines que fan servir els pirates informàtics per robar-vos les dades canvien constantment i hi ha infinitat de vídeos i tutorials sobre com endevinar contrasenyes o aprendre a piratejar-les.
Una cosa és segura: l’ús d’una contrasenya única, única i segura no fa mal a ningú.
Compartir Compartir Tweet Correu electrònic 5 eines de contrasenya per crear frases de contrasenya fortes i actualitzar la vostra seguretatCreeu una contrasenya segura que pugueu recordar més endavant. Utilitzeu aquestes aplicacions per millorar la vostra seguretat amb noves contrasenyes segures avui.
Llegiu a continuació Temes relacionats- Seguretat
- Consells sobre contrasenyes
- Seguretat en línia
- Pirateria informàtica
- Consells de seguretat
Gavin és l'editor júnior de Windows and Technology Explained, col·laborador habitual del Podcast Really Useful i revisor de productes habitual. Té un BA (Hons) Contemporary Writing with Digital Art Practices saquejat des dels turons de Devon, així com més d’una dècada d’experiència en escriptura professional. Li agrada una gran quantitat de te, jocs de taula i futbol.
Més de Gavin PhillipsSubscriu-te al nostre butlletí
Uniu-vos al nostre butlletí per obtenir consells tècnics, ressenyes, llibres electrònics gratuïts i ofertes exclusives.
Feu clic aquí per subscriure-us