הסיסמה שלך היא קו ההגנה הראשון מפני פושעי סייבר. זה גם אומר שהוא פגיע להתקפה...

סיסמאות מהוות מחסום לגישה לחשבונות שלך, וזו הסיבה שפושעי סייבר כל כך להוטים למקד אליהם. פעולת פיצוח הסיסמאות פופולרית מאוד, אבל יש יותר משיטה אחת שאפשר להשתמש בה כאן.

אז באילו דרכים ניתן לבצע פיצוח סיסמאות, והאם ניתן להימנע מכך?

מה זה פיצוח סיסמא?

פיצוח סיסמאות משמש כדי לחשוף את הסיסמאות של המשתמשים כך שניתן יהיה לפרוץ את החשבונות שלהם על ידי פושעי סייבר.

כל כך הרבה מהחשבונות שלנו, כמו אלה המשמשים לבנקאות, לחברות, לקניות ולעבודה, מוגנים בסיסמאות, כך שאין זה מפתיע שהאקרים רוצים לשים את ידם על הנתונים האלה.

הזן פיצוח סיסמה. באמצעות שיטות שונות, לשחקנים זדוניים יש סיכוי לחשוף את הסיסמה האמיתית שלך, לתת להם גישה לחשבון שלך אם יש להם גם את כתובת הדוא"ל או שם המשתמש שלך (שיכול להיות קל להדאיג להשהות שֶׁל).

בהתאם למורכבות הסיסמה שלך, היא עלולה להיסדק תוך מספר שניות עד מיליוני שנים. קל יותר לפיצוח סיסמאות פשוטות כמובן, לכן חשוב לבנות את הסיסמה שלך בצורה יעילה כדי להדוף האקרים (עליהם נדון בהמשך).

שיטות פיצוח הסיסמאות הפופולריות ביותר

instagram viewer

במהלך השנים, פיצוח סיסמאות גיוון לשיטות רבות - חלקן מוצלחות יותר מאחרות. אז באילו שיטות משתמשים לרוב האקרים בעת פיצוח סיסמאות?

1. התקפות כוח גסות

התקפות כוח אכזריות משמשים לעתים קרובות על ידי פושעי סייבר לפריצת חשבונות. שיטת פיצוח זו כוללת ריצה של כל שילוב אפשרי של אותיות, מספרים או סמלים, שעשויים להיכלל בסיסמה נתונה. זוהי בעצם שיטת ניסוי וטעייה, או תהליך של חיסול, הנמשכת עד שמגיעים לביטוי הנכון.

התקפות כוח אכזריות יעילות במיוחד על סיסמאות פשוטות יותר, כגון אלה ללא שילוב של אותיות גדולות או סמלים ומספרים.

התקפת כוח גס יכולה להסתיים תוך פחות מדקה, אם כי ישנם מקרים רבים שבהם זה ייקח הרבה יותר זמן. יש פושעי רשת שיאפשרו לתהליך להימשך שבועות, חודשים או אפילו שנים, תלוי במידת הערך של הסיסמה. אם מתקפת הכוח הגס תצליח, היא תנחת על הסיסמה הנכונה, ותעניק להאקר גישה לכל מה שהם מנסים להתפשר.

2. פישינג

פישינג היא טקטיקה פופולרית של פשעי סייבר, וניתן להשתמש בו לגניבת נתונים ולהפצת תוכנות זדוניות. כשמדובר בפיצוח סיסמאות, גניבת נתונים היא המטרה הברורה של מתקפת הדיוג.

התקפות דיוג מתרחשות בדרך כלל באמצעות דואר אלקטרוני, SMS או מדיה חברתית (בעיקר DM). כאשר אישורי התחברות הם היעד, המתקפה תכלול לעתים קרובות את השחקן הזדוני שישלח למטרות תקשורת המתחזה לישות רשמית.

לדוגמה, רמאי יכול לשלוח דוא"ל לקורבן שטוען שהוא עובד של הבנק שבחרו. בדוא"ל, בדרך כלל נאמר שפעילות חריגה זוהתה בחשבון שלהם, והם צריכים להיכנס באופן מקוון כדי לוודא אם זה היה הם. מתחת לטקסט, יסופק קישור לדף ההתחברות לכאורה. עם זאת, במציאות, מדובר בקישור לדף פישינג זדוני שנועד להיראות כמעט זהה לדף התחברות רשמי, תוך גניבת הנתונים שהזנת.

אם הקורבן נופל להונאה, הוא יזין את אישורי ההתחברות שלו בדף ההתחזות, שנאסף לאחר מכן על ידי התוקף. בשלב זה, לתוקף יש את שם המשתמש והסיסמה לחשבון של הקורבן, מה שנותן לו גישה בלתי מורשית.

3. התקפות אדם-באמצע

כמו שהשם מרמז, התקפות Man-in-the-Middle (MitM). כרוך בשחקן זדוני המציב את עצמו בין קורבן לאפליקציה או אתר אינטרנט.

התקפות אדם-באמצע יכולות לבוא בצורות רבות, כולל:

  • חטיפת אימייל.
  • זיוף HTTPS.
  • זיוף HTML.
  • זיוף SSL.
  • זיוף Wi-Fi.

צורה אחת של התקפת איש-באמצע כוללת את המפעיל הזדוני מצותת באופן פעיל לאינטראקציה בין משתמש לשרת. בתרחיש כזה, התוקף יגש לרשת דרך חולשה, ולאחר מכן יסרוק אפליקציה או אתר לאיתור פגיעות אבטחה. כאשר מתגלה פגיעות, הם ימקדו אותה, ולאחר מכן יתחילו למקד למשתמשים כאשר הם מקיימים אינטראקציה עם אפליקציות ואתרים דרך הרשת שנפרצה.

לאחר מכן, כאשר הקורבן יזין כל סוג של נתונים, או יקבל נתונים מהאפליקציה, הם יהיו גלויים לתוקף. במקרה זה, אם הם מזינים סיסמה, התוקף יכול לאחזר אותה. אם יש צורך לפענח את הנתונים הללו, זה יהיה השלב הבא. כעת, הנתונים של הקורבן יכולים לשמש את המפעיל הזדוני בכל דרך שירצו.

4. רישום מקשים

קרדיט תמונה: קטלוג מלאי/פליקר

רישום מקשים היא שיטת גניבת נתונים הכוללת רישום כל הקשה שקורבן מבצע במכשיר שלו, בין אם זה מחשב שולחני, מחשב נייד, טאבלט, סמארטפון או דומה.

Keyloggers מגיעים בצורה של תוכנות זדוניות; תוכנות זדוניות המשמשות לתקיפה. כאשר מכשיר נגוע ב-keylogger, המפעיל הזדוני יכול לראות את כל מה שהקורבן מקליד, שיכול להיות מיילים, פרטי תשלום, אישורי התחברות - או כל דבר באמת!

לכן, אם אי פעם תיכנס לחשבון במכשיר נגוע ב-keylogger, או פשוט הקלד את אישורי הכניסה שלך באפליקציית הערות או במנהל סיסמאות, ניתן לראות את כל מה שתזין. אישורים אלה ייקחו אז על ידי התוקף וישמשו לגישה לאחד או יותר מהחשבונות המקוונים שלך.

אתה צריך לדעת כיצד לזהות ולהסיר keyloggers כדי להגן על הנתונים שלך אם המכשירים שלך יידבקו.

כיצד להימנע מפיצוח סיסמאות

הימנעות מפיצוח סיסמאות דורשת כמה צעדים, מטבע הדברים החל מהסיסמאות שבהן אתה משתמש. למרות שזה מפתה להשתמש בסיסמה פשוטה עבור כל החשבונות שלך, זה חושף אותך באופן מסיבי לפיצוח סיסמאות, במיוחד התקפות כוח אכזרי. רוב האתרים יציגו כמה דרישות ליצירת סיסמה, כגון רישיות מעורבות, שימוש בסמלים ומספרים ואורך מינימלי הכולל.

אלו פרמטרים מוצקים שיש לעקוב אחריהם, אבל יש גם דברים אחרים שכדאי להימנע מהם, כמו שימוש במידע אישי (למשל ימי הולדת, שמות וכו') בסיסמאות שלך. כדאי גם להימנע משימוש באותה סיסמה עבור כל החשבונות שלך: אם האישורים שלך נכנסים ל- ידיו של תוקף, יש להם סיכוי לגרום אפילו יותר נזק על ידי התפשרות על יותר מסתם אחד חֶשְׁבּוֹן.

נוסף על חידוד הסיסמאות שלך, אתה צריך גם לדעת כיצד לזהות תקשורת דיוג, שכן אלה משמשים גם לגניבת אישורי כניסה. כמה סימנים שכדאי תמיד לשים לב אליהם כוללים:

  • כתיב ודקדוק לקויים.
  • כתובת אימייל יוצאת דופן.
  • סיפקו קישורים.
  • קישורים שאתר בודק הדגיש כזדוניים.
  • שפה משכנעת/דחופה מדי.

בנוסף, עליך לשקול שימוש באימות דו-גורמי או רב-גורמי כדי להוסיף שכבת אבטחה נוספת לחשבונות שלך. בדרך זו, אם תוקף מנסה להיכנס באמצעות שם המשתמש והסיסמה שלך, תצטרך תחילה לאמת את ניסיון הכניסה ממכשיר או ערוץ נפרד, כגון SMS או דואר אלקטרוני.

פיצוח סיסמאות מעמיד את כולם בסיכון

אין ספק שטכניקות פיצוח סיסמאות אלו מאיימות על האבטחה והפרטיות של משתמשים ברחבי העולם. כמויות אדירות של נתונים כבר נגנבו באמצעות פיצוח סיסמאות, ואין לומר שלא יכוונו אותך. אז ודא שאתה יודע איך להתרחק מהמיזם הזדוני הזה כדי לשמור על בטיחות החשבונות שלך.