Jak hackeři rozbíjejí hesla

Autor: Kevin Beaver

Prolomení hesla je jedním z nejpříjemnějších hacků pro padouchy. Podporuje to jejich smysl pro zkoumání a touhu vyřešit problém. Hacker může k prolomení hesel použít low-tech metody. Mezi tyto metody patří používání technik sociálního inženýrství, procházení ramen a jednoduché hádání hesel z informací, které o uživateli ví.



Sociální inženýrství

Nejoblíbenější low-tech metoda pro shromažďování hesel je sociální inženýrství . Sociální inženýrství využívá důvěryhodnou povahu lidí k získání informací, které mohou být později použity zlomyslně. Běžnou technikou sociálního inženýrství je jednoduše přimět lidi, aby prozradili svá hesla. Zní to směšně, ale děje se to pořád.



Techniky

Chcete-li získat heslo prostřednictvím sociálního inženýrství, jednoduše o něj požádáte. Například můžete jednoduše zavolat uživateli a sdělit mu, že má v poštovní frontě zaseknuté některé důležité e-maily, které potřebujete, abyste se mohli přihlásit a uvolnit je. Takto se často hackeři a nepoctiví zasvěcenci snaží získat informace!

Běžnou slabinou, která může takové sociální inženýrství usnadnit, je zveřejňování jmen zaměstnanců, telefonních čísel a e-mailových adres na webové stránky vaší společnosti. Weby sociálních médií, jako jsou LinkedIn, Facebook a Twitter, lze také použít proti společnosti, protože tyto weby mohou odhalit jména zaměstnanců a kontaktní informace.



Protiopatření

Povědomí uživatelů a důsledné školení v oblasti zabezpečení jsou skvělou obranou proti sociálnímu inženýrství. Bezpečnostní nástroje jsou dobrým zabezpečením proti selhání, pokud sledují takové e-maily a procházení webu na úrovni hostitele, obvodu sítě nebo v cloudu.

Trénujte uživatele, aby odhalili útoky a efektivně reagovali. Jejich nejlepší odpovědí není poskytnout žádné informace a upozornit příslušného manažera zabezpečení informací v organizaci, aby zjistil, zda je dotaz legitimní a zda je nutná odpověď. Vezměte adresář zaměstnanců z vašeho webu nebo alespoň odeberte informace zaměstnanců IT.

Rameno surfování

Rameno surfování (akt dívání se někomu přes rameno, aby se zjistilo, co ten člověk píše), je účinný hack s nízkými technologiemi.



Techniky

Aby útok padl, musí být padouchy blízko svých obětí a nesmí vypadat očividně. Jednoduše shromáždí heslo sledováním klávesnice nebo obrazovky uživatele, když se osoba přihlásí.

Útočník s dobrým okem by mohl dokonce sledovat, zda se uživatel dívá kolem stolu na připomenutí hesla nebo na samotné heslo. K takovým útokům lze dokonce použít bezpečnostní kamery nebo webovou kameru. Kavárny a letadla poskytují ideální scénáře pro surfování přes rameno.

Můžete si sami vyzkoušet surfování přes rameno. Jednoduše projděte kancelář a proveďte náhodné namátkové kontroly. Přejděte na stoly uživatelů a požádejte je, aby se přihlásili k jejich počítačům, síti nebo dokonce k jejich e-mailovým aplikacím. Prostě jim předem neříkejte, co děláte, jinak by se mohli pokusit skrýt, co píšou nebo kde hledají své heslo. Při tom buďte opatrní a respektujte soukromí ostatních lidí.

Protiopatření

Povzbuďte uživatele, aby si byli vědomi svého okolí a nezadávali hesla, když mají podezření, že se někdo dívá přes jejich ramena. Poučte uživatele, že pokud mají podezření, že se jim někdo přihlíží přes rameno, když se přihlašují, měli by osobu zdvořile požádat, aby odvrátila pohled, nebo v případě potřeby vrhnout vhodný epiteton, aby pachateli ukázal, že to uživatel myslí vážně.

Často je nejjednodušší se naklonit do zorného pole surfaře, aby jim zabránil vidět jakékoli psaní a / nebo obrazovku počítače. Filtry ochrany osobních údajů 3M fungují také skvěle.

Odvození

Odvození je jen hádání hesel z informací, které znáte o uživatelích - například jejich datum narození, oblíbený televizní pořad nebo telefonní čísla. Zní to hloupě, ale zločinci často určují hesla svých obětí pouhým hádáním!

Nejlepší obranou proti inferenčnímu útoku je naučit uživatele vytvářet bezpečná hesla, která neobsahují informace, které s nimi lze spojit. Kromě určitých filtrů složitosti hesel není často snadné prosazovat tento postup pomocí technických ovládacích prvků. Potřebujete tedy spolehlivou bezpečnostní politiku a průběžné povědomí o bezpečnosti a školení, které uživatelům připomene důležitost vytváření zabezpečeného hesla.

Slabé ověřování

Externí útočníci a škodliví zasvěcenci mohou získat - nebo jednoduše nepoužívat - hesla pomocí výhod starších nebo nezajištěných operačních systémů, které k přihlášení hesla nevyžadují. Totéž platí pro telefon nebo tablet, který není nakonfigurován k použití hesla.

Vynechání ověřování

Ve starších operačních systémech, které požadují heslo, můžete stisknutím klávesy Esc vstoupit přímo dovnitř. Dobře, je těžké najít Windows 9 X systémů, ale to samé platí pro všechny operační systémy - staré i nové - nakonfigurované tak, aby obcházely přihlašovací obrazovku.

Po vstupu najdete další hesla uložená na takových místech, jako je vytáčené připojení a připojení VPN a spořiče obrazovky. Taková hesla lze snadno prolomit pomocí Proaktivní nástroj pro obnovení hesla systému Elcomsoft a Cain & Abel . Tyto slabé systémy mohou sloužit jako důvěryhodný stroje - to znamená, že lidé předpokládají, že jsou v bezpečí - a také poskytují dobré startovací podložky pro síťové útoky hesly.

Protiopatření

Jedinou skutečnou obranou proti slabému ověřování je zajistit, aby operační systémy vyžadovaly při spuštění heslo. K odstranění této chyby zabezpečení alespoň upgradujte na Windows 7 nebo 8 nebo použijte nejnovější verze systému Linux nebo některou z různých verzí systému UNIX, včetně systému Mac OS X.