8 روش رایج برای هک کردن پسورد
به گزارش هنجس بلاگ، برای هک کردن می توان اهداف مختلف را مطرح نمود ولی مهم ترین هدف این فرایند دستیابی به پسورد یا همان رمز عبور افراد است. اگر کسی بتواند پسورد شما را حدس بزند، به تکنیک های پر زرق وبرق برای هک کردن نیازی نخواهد داشت. به همین خاطر اگر پسورد شما کوتاه و ساده است، در واقع کار هکرها را بسیار راحت تر می کنید. در ادامه به 8 ترفند رایج برای هک کردن پسورد می پردازیم که برای این کار به کرات مورد استفاده قرار می گیرند.
1. حمله مبتنی بر دیکشنری
به عنوان اولین ترفند این فهرست، باید به هک مبتنی بر دیکشنری بپردازیم. اما چرا برای این روش چنین اسمی انتخاب شده است؟ زیرا به طور اتوماتیک از یک دیکشنری حاوی میلیون ها پسورد بالقوه استفاده می گردد تا هکر بتواند پسورد واقعی را تشخیص بدهد. در این زمینه دیکشنری های متفاوتی وجود دارد که بعضی از آن ها چندین گیگابایت حجم دارند.
در تصویر زیر می توانید 20 پسورد رایج در سال 2020 را مشاهده کنید که هکرها حتی با بهره گیری از دیکشنری های بسیار کم حجم هم می توانند این پسوردها را پیدا نمایند و به اکانت های دلخواه نفوذ نمایند.
مزایا: سرعت بالا و شناسایی راحت پسوردهای ساده.
معایب: اگر پسورد از یک حدی پیچیده تر و طولانی تر باشد معمولا با این روش هک نمی گردد.
توصیه امنیتی: برای هرکدام از اکانت های خود از پسوردهای قوی بهره ببرید و بهره گیری از ابزارهای مدیریت پسورد را از قلم نیاندازید که به شما اجازه می دهد تمام گذرواژه های خود را در یک مکان ذخیره کنید. سپس کافی است تنها یک رمز عبور پیچیده را برای این ابزار حفظ کنید و وظیفه انتخاب پسوردهای سخت و بسیار پیچیده را به این ابزار واگذار می کنید.
- 7 دلیل برای استفاده از برنامه های مدیریت رمز عبور
2. حمله جستجوی فراگیر (Brute Force)
در حمله جستجوی فراگیر (Brute Force) هکر تمام عبارات ممکن را امتحان می نمایند تا بتواند پسورد را پیدا کند. تشخیص کلمه عبور با استفاده از این روش می تواند بسیار زمان بر باشد اما این موضوع تا حد زیادی به پیچیدگی رمز عبور موردنظر بستگی دارد.
مزایا: از نظر تئوری با استفاده از این روش با امتحان کردن میلیون ها عبارت، می توان پسورد را هک کرد.
معایب: با توجه به طول و پیچیدگی گذرواژه، بهره گیری از این روش می تواند تا حد زیادی طول بکشد. به همین خاطر توصیه می گردد در پسورد خود کاراکترهای خاص مانند / یا } را قرار دهید زیرا با این کار شناسایی رمز عبور بسیار سخت تر می گردد.
توصیه امنیتی: برای انتخاب رمز عبور، همیشه از تعدادی کاراکتر خاص بهره ببرید تا پیچیدگی این عبارت تا حد زیادی بیشتر گردد.
3. فیشینگ
این روش لزوما یک ترفند هک نیست اما در نهایت می تواند منجر به هک شدن کاربر گردد. از جمله رایج ترین کارهایی که برای این نوع حملات انجام می گردد، ارسال میلیاردها ایمیل فیشینگ به کاربران در سرتاسر دنیا است. یک ایمیل فیشینگ معمولا به شکل زیر به هدف خود می رسد؛
- کاربر یک ایمیل جعلی از یک کسب وکار یا سازمان مهم دریافت می نماید.
- این ایمیل خواهان توجه فوری است و معمولا در آن لینکی قرار گرفته است.
- این لینک شما را راهی سایتی می نماید که دقیقا مشابه سایت دلخواهتان طراحی شده اما در حقیقت یک سایت جعلی محسوب می گردد.
- کاربر بی خبر از این موضوع، نام کاربری و رمز عبور خود را در این سایت وارد می نماید و در نهایت یا به سایت دیگری منتقل می گردد یا اینکه پیامی مبنی بر اشتباه بودن اطلاعات تایپ شده به نمایش درمی آید.
- در نهایت اطلاعات کاربر به سرقت می رود و با توجه به اهداف طرف مقابل، مورد سوءاستفاده قرار می گیرد.
در سال 2017 محبوب ترین روش برای فیشینگ، ارسال فاکتورهای جعلی بود. اما در سال 2020 بحران کرونا به روش مورد علاقه این افراد تبدیل شده است. در آوریل 2020 گوگل خاطرنشان کرد که بیش از 18 میلیون ایمیل اسپم خطرناک و فیشینگ را مسدود نموده است. تعداد بسیاری از این ایمیل ها از نام سازمان های دولتی و سازمان های بهداشتی سوء استفاده نموده بودند.
مزایا: در این روش کاربر به معنای واقعی کلمه نام کاربری و رمز عبور خود را دو دستی تحویل هکر می دهد.
معایب: ایمیل های اسپم به راحتی فیلتر می شوند، این دامنه ها در لیست سیاه قرار می گیرند و شرکت هایی مانند گوگل در این زمینه به شدت فعال هستند.
توصیه امنیتی: فیلتر مربوط به ایمیل های اسپم را شدیدتر کنید و اگر یک ایمیل از شما می خواهد که وارد سایتی شوید و اطلاعات خود را وارد کنید، از جعلی نبودن سایت اطمینان حاصل کنید.
4. مهندسی اجتماعی
مهندسی اجتماعی در واقع همان فیشینگ ولی در دنیای واقعی است. به عنوان مثال، فرد مهاجم به یکی از کارمندان شرکت شما می گوید که آن ها تیم جدید مربوط به پشتیبانی هستند و برای کار معینی، به رمز عبور احتیاج دارد. فرد قربانی هم بدون اینکه به چیزی شک کند، پسورد را در اختیار او قرار می دهد. نکته ترسناک درباره این روش این است که همچنان تا حد زیادی استفاده می گردد و به پیروزیت می رسد.
مزایا: مهندسان اجتماعی ماهر می توانند اطلاعات با ارزشی را از افراد مختلف دریافت نمایند.
معایب: شکست مهندسی اجتماعی می تواند سوءظن ها را در خصوص حمله قریب الوقوع افزایش دهد. همچنین معین نیست که آیا اطلاعات ارائه شده صحت دارند یا نه.
توصیه امنیتی: این روش معمولا توسط افراد بسیار ماهر استفاده می گردد. آموزش و آگاهی بیشتر کارکنان می تواند مثمر ثمر واقع گردد و از انتشار اطلاعات شخصی که ممکن است بعدا علیه شما استفاده شوند، خودداری کنید.
5. جدول رنگین کمانی
فرض کنید یک هکر پیروز شده به پایگاه داده سایت دلخواه نفوذ کند و نام کاربری و پسوردها را به دست آورد؛ اما او می بیند که تمام این پسوردها رمزنگاری شده اند. این یعنی پسوردهای لازم هش (Hash) شده اند و به همین خاطر کاملا با گذرواژه های اصلی متفاوت به نظر می رسند.
به عنوان مثال، اگر مثلا پسورد اکانت شما logmein باشد، الگوریتم هش MD5 آن را به 8f4047e3233b39e4444e1aef240e80aa تبدیل می نماید. چنین عبارتی برای کاربران بسیار عجیب به نظر می رسد، اما بعضی هکرها انواع پسوردهای رایج را با این الگوریتم به عبارت های رمزی تغییر می دهند و آن ها را در یک جدول می گذارند. با این کار، آن ها دقیقا می دانند که عبارت رمزنگاری شده مربوط به logmein دقیقا چه چیزی است. به این نوع از جدول ها، جدول رنگین کمانی گفته می گردد.
مزایا: اگر تمام شرایط مهیا باشد، این روش به هکرها اجازه می دهد که در مدت زمان کوتاهی پسوردهای پیچیده را شناسایی نمایند.
معایب: این جدول ها معمولا حجم بسیار بالایی دارند که گاهی اوقات به چند ترابایت می رسند.
توصیه امنیتی: چنین روشی دیگر مانند گذشته استفاده نمی گردد زیرا تقریبا تمام سایت ها به غیر از الگوریتم های مربوط به هش کردن پسوردها، از روش موسوم به Salt هم استفاده می نمایند که این روش هک پسورد را تقریبا غیر ممکن می نماید. اما در هر صورت از سایت هایی که کاربران خود را به بهره گیری از پسوردهای کوتاه و یا کاراکترهای خاص محدود می نمایند، استفاده نکنید.
6. بدافزار/کی لاگر
از دیگر روش های مربوط به هک پسورد می توانیم به بدافزارها اشاره کنیم. بدافزارها به طور گسترده در محیط اینترنت حضور دارند و می توانند آسیب های گسترده ای را ایجاد نمایند. اگر این بدافزار دارای کی لاگر (Keylogger) باشد، احتمالا تمام اکانت های شما به خطر می افتند. همچنین بدافزار می تواند بخش خاصی از داده های شخصی شما را هدف قرار دهد یا به یک تروجان اجازه دهد که به سیستم شما نفوذ کند.
مزایا: هزاران نوع مختلف بدافزار وجود دارد که از ویژگی های متنوعی بهره می برند. بسیاری از سیستم ها همچنان ضعف های امنیتی زیادی دارند و احتمال اینکه حداقل یک نوع از این بدافزارها به سیستم ها نفوذ نمایند، چندان پایین نیست.
معایب: احتمال کارکرد اشتباه بدافزار وجود دارد و شاید قبل از دسترسی به اطلاعات مهم، وارد محیط قرنطینه سیستم گردد. همچنین حتی در صورت دستیابی به اطلاعات، هیچ تضمینی برای مفید بودن این اطلاعات وجود ندارد.
توصیه امنیتی: آنتی ویروس و ابزارهای مقابله با بدافزارها را مرتبا آپدیت کنید. مراقب دانلود و استفاده از نرم افزارهای مشکوک باشید و تا حد ممکن از سایت های مشکوک دوری کنید. همچنین با بهره گیری از بعضی ابزارها می توانید از اجرای اسکریپت های مشکوک سایت ها جلوگیری کنید.
7. روش Spidering
روش Spidering به حمله دیکشنری که در ابتدای فهرست به آن پرداختیم، ارتباط دارد. اگر یک هکر به دنبال نفوذ به سازمان یا کسب وکار معینی باشد، احتمالا یک سری پسورد مربوط به آن کسب وکار را امتحان می نماید. هکر می تواند یک سری کلمات مرتبط را پیدا و جمع آوری کند یا اینکه اصطلاحا از یک عنکبوت جستجوگر برای این کار بهره ببرد.
شاید قبلا در این رابطه اصطلاح عنکبوت را شنیده باشید. این عنکبوت های جستجوگر تا حد زیادی به خزنده های وب (Web crawler) شباهت دارند که توسط موتورهای جستجو برای فهرست کردن سایت ها استفاده می شوند. در نهایت فهرست کلمات شخصی سازی شده، برای نفوذ به اکانت های کاربران به امید یافتن پسوردهای درست استفاده می گردد.
مزایا: این روش به طور بالقوه می تواند منجر به هک اکانت های افراد رده بالای سازمان گردد. بهره گیری از این روش نسبتا آسان است و تفاوت زیادی با حمله مبتنی بر دیکشنری ندارد.
معایب: اگر امنیت سازمان بالا باشد، چنین روشی به احتمال زیاد بی نتیجه خواهد بود.
توصیه امنیتی: بار دیگر تکرار می کنیم که از پسوردهای قوی و غیرتکراری بهره ببرید که هیچ ارتباطی با افراد، کسب وکار، سازمان و دیگر موارد این چنینی نداشته باشند.
8. نگاه از پشت (Shoulder Surfing)
در نهایت باید به ساده ترین روش هک پسورد اشاره کنیم. فرض کنید در حال تایپ کردن پسورد خود هستید و یک نفر از پشت شما را زیر نظر گرفته است. این روش شاید مضحک به نظر برسد، اما رخ دادن آن چندان هم بعید نیست. به عنوان مثال اگر در یک کافه شلوغ کارهای خود را انجام می دهید، شاید یک نفر به نزدیک شما بیاید و بتواند پسورد شما را در حین تایپ، یادداشت کند.
مزایا: یک روش بسیار ساده و مؤثر که احتیاجی به فناوری های پیچیده ندارد.
معایب: باید قبل از هک پسورد، فرد شناسایی گردد و این احتمال وجود دارد در حین انجام کار لو برود.
توصیه امنیتی: هنگام تایپ کردن رمز عبور خود به محیط اطراف خود دقت کنید و حین انجام این کار، کیبورد خود را بپوشانید.
- 4 اشتباه ساده که امنیت گوشی را به خطر می اندازند
منبع: Make Use Of
منبع: دیجیکالا مگ