Como os hackers quebrar senhas
Quebra de senha é um dos hacks mais agradáveis para os maus. Ele combustíveis seu sentido de exploração e desejo de descobrir um problema. Um hacker pode usar métodos de baixa tecnologia para quebrar senhas. Estes métodos incluem o uso de técnicas de engenharia social, surf ombro, e simplesmente adivinhar senhas a partir de informações que ele sabe sobre o usuário.
Menu
Engenharia social
O método de baixa tecnologia mais popular para a recolha de senhas é Engenharia social. A engenharia social tira proveito da natureza confiante de seres humanos para obter informações que mais tarde pode ser usado de forma maliciosa. A técnica de engenharia social comum é simplesmente para enganar pessoas em divulgar suas senhas. Parece ridículo, mas isso acontece o tempo todo.
técnicas
Para obter uma senha por meio de engenharia social, você simplesmente pedir para ela. Por exemplo, você pode simplesmente ligar para um usuário e dizer-lhe que ele tem alguns e-mails importantes para o futuro presos na fila de e-mail, e você precisa de sua senha para entrar e libertá-los. Isso é muitas vezes como os hackers e insiders maliciosos tentar obter a informação!
Uma fraqueza comum que possa facilitar a engenharia social é quando os nomes dos membros do pessoal ', números de telefone e endereços de e-mail são postadas em seus sites da empresa. sites de mídia social como o LinkedIn, Facebook e Twitter também pode ser usado contra uma empresa porque esses sites podem revelar os nomes dos funcionários e informações de contato.
contramedidas
conscientização do usuário e treinamento de segurança consistente são grandes defesas contra engenharia social. ferramentas de segurança são uma boa prova de falhas se monitorar para esses e-mails e navegação na web no nível do acolhimento, perímetro da rede, ou na nuvem.
treinar os usuários para detectar ataques e responder de forma eficaz. Sua melhor resposta é não dar nenhuma informação e alertar o gerente de segurança da informação adequada na organização para ver se a pergunta é legítima e se uma resposta é necessária. Oh, e tomar esse diretório equipe fora de seu site ou pelo menos removê-lo de informação dos membros do pessoal.
shoulder surfing
shoulder surfing (O ato de olhar por cima do ombro de alguém para ver o que a pessoa está digitando) é um, low-tech senha corte eficaz.
técnicas
Para montar este ataque, os bandidos devem estar perto de suas vítimas e não olhar óbvio. Eles simplesmente recolher a senha, observando tanto o teclado do usuário ou na tela quando a pessoa iniciar sessão.
Um invasor com um bom olho pode até assistir se o usuário está olhando em volta da mesa para qualquer um lembrete da senha ou a senha em si. As câmaras de segurança ou uma webcam pode até mesmo ser usado para tais ataques. cafés e aviões fornecer os cenários ideais para o surf ombro.
Você pode tentar ombro surfar sozinho. Simplesmente caminhar ao redor do escritório e realizar controlos aleatórios no local. Ir para mesas dos usuários e pedir-lhes para fazer logon em seus computadores, a rede, ou até mesmo seus aplicativos de e-mail. Só não diga a eles que você está fazendo de antemão, ou eles podem tentar esconder o que está digitando ou onde eles estão à procura de sua senha. Apenas tome cuidado para fazer isso e respeitar a privacidade de outras pessoas.
contramedidas
Incentivar os usuários a estar ciente de seu entorno e não entrar suas senhas quando suspeitar que alguém está olhando por cima dos ombros. Instrua os usuários que, se suspeitar que alguém está olhando por cima dos ombros enquanto eles estão login, eles devem pedir educadamente a pessoa a olhar para longe ou, quando necessário, lançar um epíteto apropriado para mostrar o ofensor que o usuário é grave.
Muitas vezes é mais fácil simplesmente inclinar-se para a linha do surfista ombro de visão para que não vejam qualquer digitação e / ou tela do computador. 3M Filtros de Privacidade grande trabalho também.
Inferência
Inferência é simplesmente adivinhar senhas a partir de informações que você sabe sobre os usuários - como a sua data de nascimento, programa de televisão favorito, ou números de telefone. Parece bobo, mas os criminosos muitas vezes determinam as senhas de suas vítimas simplesmente por adivinhar-los!
A melhor defesa contra um ataque de inferência é educar os usuários sobre como criar senhas seguras que não incluem informações que podem ser associados a eles. Fora de certos filtros de complexidade de senha, é muitas vezes não é fácil de aplicar esta prática com controles técnicos. Então, você precisa de uma política de segurança de som e de sensibilização para a segurança ea formação contínua, para lembrar os usuários sobre a importância da criação de senhas seguras.
autenticação fraca
invasores externos e insiders maliciosos podem obter - ou simplesmente evitar ter de usar -. senhas, tirando partido de sistemas operacionais mais antigos ou não garantido que não requerem senhas para logar O mesmo vale para um telefone ou tablet que não está configurado para usar senhas.
autenticação ignorando
Em sistemas operacionais mais antigos que solicite a senha, você pode pressionar Esc no teclado para obter direito de. Ok, é difícil encontrar qualquer Windows 9x sistemas estes dias, mas o mesmo vale para qualquer sistema operacional - novo ou velho - que está configurado para ignorar a tela de login.
Depois que você está, você pode encontrar outras senhas armazenadas em lugares como conexões discadas e VPN e protetores de tela. Tais senhas pode ser quebrada facilmente usando ferramenta de recuperação de senha Proactive System da Elcomsoft e Caim Abel. Estes sistemas podem servir como fracos confiança máquinas - o que significa que as pessoas assumem que eles são seguras - e fornecer boas plataformas de lançamento para ataques de senha baseadas em rede também.
contramedidas
A única verdadeira defesa contra autenticação fraca é para garantir que seus sistemas operacionais requerem uma senha na inicialização. Para eliminar essa vulnerabilidade, finalmente atualizar para o Windows 7 ou 8 ou usar as versões mais recentes do Linux ou um dos vários sabores de UNIX, incluindo Mac OS X.