8 thủ thuật phổ biến nhất được sử dụng để hack mật khẩu

8 thủ thuật phổ biến nhất được sử dụng để hack mật khẩu

Khi bạn nghe thấy 'vi phạm an ninh', bạn nghĩ đến điều gì? Một hacker ác độc đang ngồi trước những màn hình được bao phủ bởi văn bản kỹ thuật số kiểu Ma trận? Hay một thiếu niên sống ở tầng hầm đã không nhìn thấy ánh sáng ban ngày trong ba tuần? Làm thế nào về một siêu máy tính mạnh mẽ đang cố gắng tấn công toàn bộ thế giới?





Hacking là tất cả về một điều: mật khẩu của bạn. Nếu ai đó có thể đoán được mật khẩu của bạn, họ không cần đến các kỹ thuật hack và siêu máy tính ưa thích. Họ sẽ chỉ đăng nhập, hoạt động như bạn. Nếu mật khẩu của bạn ngắn và đơn giản, trò chơi kết thúc.



Có tám chiến thuật phổ biến mà tin tặc sử dụng để hack mật khẩu của bạn.





1. Hack từ điển

Đầu tiên trong hướng dẫn chiến thuật hack mật khẩu phổ biến là cuộc tấn công từ điển. Tại sao nó được gọi là một cuộc tấn công từ điển? Bởi vì nó tự động thử mọi từ trong một 'từ điển' được xác định dựa trên mật khẩu. Từ điển hoàn toàn không phải là từ điển bạn đã sử dụng ở trường.

Không. Từ điển này thực sự cũng là một tệp nhỏ chứa các tổ hợp mật khẩu được sử dụng phổ biến nhất. Điều đó bao gồm 123456, qwerty, password, iloveyou và cổ điển mọi thời đại, hunter2.



cách đặt một dòng ngang trong word

Bảng trên nêu chi tiết các mật khẩu bị rò rỉ nhiều nhất trong năm 2016. Bảng dưới đây nêu chi tiết các mật khẩu bị rò rỉ nhiều nhất vào năm 2020.

Lưu ý những điểm tương đồng giữa cả hai — và đảm bảo rằng bạn không sử dụng những tùy chọn cực kỳ đơn giản này.



Ưu điểm: Nhanh; thường sẽ mở khóa một số tài khoản được bảo vệ một cách tồi tệ.

Nhược điểm: Mật khẩu thậm chí mạnh hơn một chút sẽ vẫn an toàn.



Giữ an toàn: Sử dụng mật khẩu dùng một lần mạnh cho từng tài khoản, kết hợp với ứng dụng quản lý mật khẩu . Trình quản lý mật khẩu cho phép bạn lưu trữ các mật khẩu khác của mình trong một kho lưu trữ. Sau đó, bạn có thể sử dụng một mật khẩu duy nhất, cực kỳ mạnh cho mọi trang web.

Có liên quan: Trình quản lý mật khẩu của Google: Cách bắt đầu

2. Lực lượng vũ phu

Tiếp theo, cuộc tấn công brute force, theo đó kẻ tấn công thử mọi tổ hợp ký tự có thể. Mật khẩu đã cố gắng sẽ khớp với các thông số kỹ thuật cho các quy tắc phức tạp, ví dụ: bao gồm một chữ hoa, một chữ thường, số thập phân của số Pi, đơn hàng pizza của bạn, v.v.

Một cuộc tấn công bạo lực cũng sẽ thử các tổ hợp ký tự chữ và số thường được sử dụng nhất trước tiên. Chúng bao gồm các mật khẩu được liệt kê trước đó, cũng như 1q2w3e4r5t, zxcvbnm và qwertyuiop. Có thể mất rất nhiều thời gian để tìm ra mật khẩu bằng phương pháp này, nhưng điều đó hoàn toàn phụ thuộc vào độ phức tạp của mật khẩu.

Ưu điểm: Về mặt lý thuyết, nó sẽ bẻ khóa bất kỳ mật khẩu nào bằng cách thử mọi cách kết hợp.

Nhược điểm: Tùy thuộc vào độ dài và độ khó của mật khẩu, quá trình này có thể mất rất nhiều thời gian. Ném một vài biến như $, &, {, hoặc] và việc tìm ra mật khẩu trở nên cực kỳ khó khăn.

Giữ an toàn: Luôn sử dụng kết hợp nhiều ký tự và nếu có thể, giới thiệu thêm các ký hiệu để tăng độ phức tạp .

3. Lừa đảo

Đây hoàn toàn không phải là một 'hack', nhưng việc trở thành con mồi của một nỗ lực lừa đảo trực tuyến hoặc lừa đảo thường sẽ có kết cục tồi tệ. Hàng tỷ email lừa đảo nói chung được gửi đến tất cả các cách thức của người dùng internet trên toàn cầu.

Email lừa đảo thường hoạt động như sau:

  1. Người dùng mục tiêu nhận được một email giả mạo với mục đích đến từ một tổ chức hoặc doanh nghiệp lớn.
  2. Email giả mạo đòi hỏi sự chú ý ngay lập tức, có liên kết đến một trang web.
  3. Liên kết này thực sự kết nối với một cổng đăng nhập giả mạo, được chế tạo để xuất hiện giống hệt như trang web hợp pháp.
  4. Người dùng mục tiêu không nghi ngờ nhập thông tin đăng nhập của họ và được chuyển hướng hoặc được yêu cầu thử lại.
  5. Thông tin đăng nhập của người dùng bị đánh cắp, bán hoặc sử dụng bất chính (hoặc cả hai).

Khối lượng thư rác được gửi hàng ngày trên toàn thế giới vẫn ở mức cao, chiếm hơn một nửa tổng số email được gửi trên toàn cầu. Hơn nữa, số lượng tệp đính kèm độc hại cũng cao với Kaspersky lưu ý hơn 92 triệu tệp đính kèm độc hại từ tháng 1 đến tháng 6 năm 2020. Hãy nhớ rằng điều này chỉ dành cho Kaspersky, vì vậy con số thực cao hơn nhiều .

Trở lại năm 2017, chiêu trò lừa đảo lớn nhất là hóa đơn giả. Tuy nhiên, vào năm 2020, đại dịch COVID-19 đã cung cấp một mối đe dọa lừa đảo mới.

Vào tháng 4 năm 2020, không lâu sau khi nhiều quốc gia lâm vào tình trạng đại dịch, Google công bố nó đã chặn hơn 18 triệu email lừa đảo và spam độc hại theo chủ đề COVID-19 mỗi ngày. Một số lượng lớn các email này sử dụng thương hiệu chính thức của chính phủ hoặc tổ chức y tế để đảm bảo tính hợp pháp và khiến nạn nhân mất cảnh giác.

Ưu điểm: Người dùng thực sự trao thông tin đăng nhập của họ, bao gồm cả mật khẩu - tỷ lệ truy cập tương đối cao, dễ dàng điều chỉnh cho phù hợp với các dịch vụ cụ thể hoặc những người cụ thể trong một cuộc tấn công lừa đảo trực tuyến.

Nhược điểm: Email spam được lọc dễ dàng, các miền spam được đưa vào danh sách đen và các nhà cung cấp lớn như Google liên tục cập nhật các biện pháp bảo vệ.

Giữ an toàn: Hãy nghi ngờ email và tăng bộ lọc thư rác của bạn lên cài đặt cao nhất hoặc tốt hơn là sử dụng danh sách trắng chủ động. Sử dụng một trình kiểm tra liên kết để xác định nếu một liên kết email là hợp pháp trước khi nhấp vào.

4. Kỹ thuật xã hội

Kỹ thuật xã hội về cơ bản là lừa đảo trong thế giới thực, tránh xa màn hình.

Một phần cốt lõi của bất kỳ cuộc kiểm toán bảo mật nào là đánh giá những gì toàn bộ lực lượng lao động hiểu được. Ví dụ, một công ty bảo mật sẽ gọi điện thoại cho doanh nghiệp mà họ đang kiểm toán. 'Kẻ tấn công' nói với người trên điện thoại rằng họ là nhóm hỗ trợ công nghệ văn phòng mới và họ cần mật khẩu mới nhất cho một cái gì đó cụ thể.

Một cá nhân không nghi ngờ có thể giao chìa khóa mà không cần dừng lại suy nghĩ.

Điều đáng sợ là điều này thường hoạt động như thế nào. Kỹ thuật xã hội đã tồn tại trong nhiều thế kỷ. Giả mạo để xâm nhập vào một khu vực an toàn là một phương pháp tấn công phổ biến và chỉ được đề phòng khi có giáo dục.

Điều này là do cuộc tấn công không phải lúc nào cũng hỏi trực tiếp mật khẩu. Đó có thể là một thợ sửa ống nước hoặc thợ điện giả mạo yêu cầu được vào một tòa nhà an toàn, v.v.

Khi ai đó nói rằng họ bị lừa để lộ mật khẩu, đó thường là kết quả của kỹ thuật xã hội.

Ưu điểm: Các kỹ sư xã hội có tay nghề cao có thể trích xuất thông tin có giá trị cao từ một loạt các mục tiêu. Nó có thể được triển khai chống lại hầu hết mọi người, ở bất kỳ đâu. Nó cực kỳ lén lút.

Nhược điểm: Một lỗi kỹ thuật xã hội có thể làm dấy lên nghi ngờ về một cuộc tấn công sắp xảy ra và không chắc chắn liệu thông tin chính xác có được mua hay không.

Giữ an toàn : Đây là một khó khăn. Một cuộc tấn công kỹ thuật xã hội thành công sẽ hoàn tất vào thời điểm bạn nhận ra bất cứ điều gì không ổn. Giáo dục và nâng cao nhận thức về an ninh là một chiến thuật giảm thiểu cốt lõi. Tránh đăng thông tin cá nhân mà sau này có thể được sử dụng để chống lại bạn.

5. Bàn cầu vồng

Một bảng cầu vồng thường là một cuộc tấn công mật khẩu ngoại tuyến. Ví dụ: kẻ tấn công đã có được danh sách tên người dùng và mật khẩu, nhưng chúng đã được mã hóa. Mật khẩu được mã hóa được băm. Điều này có nghĩa là nó trông hoàn toàn khác với mật khẩu ban đầu.

Ví dụ, mật khẩu của bạn là (hy vọng không phải!) Đăng nhập. Hàm băm MD5 đã biết cho mật khẩu này là '8f4047e3233b39e4444e1aef240e80aa.'

Gibberish đối với bạn và tôi. Nhưng trong một số trường hợp nhất định, kẻ tấn công sẽ chạy danh sách mật khẩu bản rõ thông qua thuật toán băm, so sánh kết quả với tệp mật khẩu được mã hóa. Trong các trường hợp khác, thuật toán mã hóa dễ bị tấn công và hầu hết các mật khẩu đều đã bị bẻ khóa, chẳng hạn như MD5 (do đó, tại sao chúng ta biết hàm băm cụ thể cho 'logmein'. '

Đây là nơi mà bảng cầu vồng trở thành của riêng nó. Thay vì phải xử lý hàng trăm nghìn mật khẩu tiềm năng và khớp với hàm băm kết quả của chúng, bảng cầu vồng là một tập hợp khổng lồ các giá trị băm dành riêng cho thuật toán được tính toán trước.

Sử dụng bảng cầu vồng làm giảm đáng kể thời gian cần để bẻ khóa mật khẩu được băm — nhưng nó không hoàn hảo. Tin tặc có thể mua các bảng cầu vồng được điền sẵn với hàng triệu kết hợp tiềm năng.

Ưu điểm: Có thể tìm ra mật khẩu phức tạp trong một khoảng thời gian ngắn; cấp cho hacker rất nhiều quyền đối với các tình huống bảo mật nhất định.

Nhược điểm: Yêu cầu một lượng lớn không gian để lưu trữ bảng cầu vồng khổng lồ (đôi khi hàng terabyte). Ngoài ra, những kẻ tấn công bị giới hạn các giá trị có trong bảng (nếu không, chúng phải thêm toàn bộ bảng khác).

đó là loại điện thoại gì

Giữ an toàn: Một khó khăn khác. Bàn cầu vồng cung cấp một loạt các tiềm năng tấn công. Tránh bất kỳ trang web nào sử dụng SHA1 hoặc MD5 làm thuật toán băm mật khẩu của họ. Tránh bất kỳ trang web nào giới hạn bạn với mật khẩu ngắn hoặc hạn chế các ký tự bạn có thể sử dụng. Luôn sử dụng mật khẩu phức tạp.

Liên quan: Làm thế nào để biết nếu một trang web lưu trữ mật khẩu dưới dạng văn bản rõ ràng (Và phải làm gì)

6. Phần mềm độc hại / Keylogger

Một cách chắc chắn khác để mất thông tin đăng nhập của bạn là rơi vào tình trạng nhiễm phần mềm độc hại. Phần mềm độc hại ở khắp mọi nơi, với khả năng gây thiệt hại lớn. Nếu biến thể phần mềm độc hại có keylogger, bạn có thể tìm thấy tất cả các tài khoản của bạn bị xâm phạm.

Ngoài ra, phần mềm độc hại có thể nhắm mục tiêu cụ thể vào dữ liệu cá nhân hoặc giới thiệu một Trojan truy cập từ xa để lấy cắp thông tin đăng nhập của bạn.

Ưu điểm: Hàng nghìn biến thể phần mềm độc hại, nhiều biến thể có thể tùy chỉnh, với một số phương pháp phân phối dễ dàng. Một cơ hội tốt là một số lượng mục tiêu cao sẽ không thể khuất phục trước ít nhất một biến thể. Nó có thể không bị phát hiện, cho phép thu thập thêm dữ liệu cá nhân và thông tin đăng nhập.

Nhược điểm: Có thể phần mềm độc hại sẽ không hoạt động hoặc bị cách ly trước khi truy cập dữ liệu; không đảm bảo rằng dữ liệu là hữu ích.

Giữ an toàn : Cài đặt và cập nhật thường xuyên chương trình chống vi-rút và phần mềm chống phần mềm độc hại của bạn phần mềm. Hãy xem xét cẩn thận các nguồn tải xuống của bạn. Không nhấp qua các gói cài đặt có chứa phần mềm gói và hơn thế nữa. Tránh xa các trang web bất chính (nói thì dễ hơn làm). Sử dụng các công cụ chặn tập lệnh để ngăn chặn các tập lệnh độc hại.

7. Thêu

Thêu các mối quan hệ vào cuộc tấn công từ điển. Nếu tin tặc nhắm mục tiêu vào một tổ chức hoặc doanh nghiệp cụ thể, họ có thể thử một loạt mật khẩu liên quan đến chính doanh nghiệp đó. Tin tặc có thể đọc và đối chiếu một loạt các thuật ngữ có liên quan — hoặc sử dụng trình thu thập thông tin tìm kiếm để thực hiện công việc cho chúng.

Bạn có thể đã nghe thuật ngữ 'con nhện' trước đây. Những trình thu thập thông tin tìm kiếm này cực kỳ giống với những trình thu thập thông tin trên internet, lập chỉ mục nội dung cho các công cụ tìm kiếm. Danh sách từ tùy chỉnh sau đó được sử dụng chống lại các tài khoản người dùng với hy vọng tìm được sự phù hợp.

Ưu điểm: Có thể mở khóa tài khoản cho các cá nhân có thứ hạng cao trong một tổ chức. Tương đối dễ dàng để kết hợp lại với nhau và thêm một chiều kích bổ sung cho một cuộc tấn công từ điển.

Nhược điểm: Có thể không có kết quả nếu bảo mật mạng tổ chức được định cấu hình tốt.

Giữ an toàn: Một lần nữa, chỉ sử dụng mật khẩu mạnh, dùng một lần bao gồm các chuỗi ngẫu nhiên; không có gì liên kết đến cá tính, doanh nghiệp, tổ chức của bạn, v.v.

biểu tượng nguồn windows 10 không hiển thị

8. Lướt sóng vai

Tùy chọn cuối cùng là một trong những tùy chọn cơ bản nhất. Điều gì sẽ xảy ra nếu ai đó chỉ nhìn qua vai bạn trong khi bạn đang nhập mật khẩu?

Lướt qua vai nghe có vẻ hơi nực cười, nhưng nó vẫn xảy ra. Nếu bạn đang làm việc trong một quán cà phê đông đúc ở trung tâm thành phố và không chú ý đến xung quanh, ai đó có thể đến đủ gần để ghi lại mật khẩu của bạn khi bạn nhập.

Ưu điểm: Cách tiếp cận công nghệ thấp để đánh cắp mật khẩu.

Nhược điểm: Phải xác định mục tiêu trước khi tìm ra mật khẩu; có thể tự tiết lộ trong quá trình ăn trộm.

Giữ an toàn: Hãy chú ý quan sát những người xung quanh khi nhập mật khẩu của bạn. Che bàn phím của bạn và che khuất các phím của bạn trong quá trình nhập liệu.

Luôn sử dụng mật khẩu mạnh, duy nhất, dùng một lần

Vì vậy, làm thế nào để bạn ngăn chặn một hacker đánh cắp mật khẩu của bạn? Câu trả lời thực sự ngắn gọn là bạn không thể thực sự an toàn 100 phần trăm . Các công cụ mà tin tặc sử dụng để đánh cắp dữ liệu của bạn luôn thay đổi và có vô số video và hướng dẫn về cách đoán mật khẩu hoặc học cách hack mật khẩu.

Một điều chắc chắn là sử dụng một mật khẩu mạnh, duy nhất, sử dụng một lần không bao giờ làm tổn thương bất kỳ ai.

Đăng lại Đăng lại tiếng riu ríu E-mail 5 công cụ mật khẩu để tạo mật khẩu mạnh và cập nhật bảo mật của bạn

Tạo một mật khẩu mạnh mà bạn có thể nhớ sau này. Sử dụng các ứng dụng này để nâng cấp bảo mật của bạn bằng mật khẩu mạnh mới ngay hôm nay.

Đọc tiếp Chủ đề liên quan
  • Bảo vệ
  • Mẹo mật khẩu
  • Bảo mật trực tuyến
  • Hacking
  • Mẹo bảo mật
Giới thiệu về tác giả Gavin Phillips(Đã xuất bản 945 bài báo)

Gavin là Junior Editor cho Windows và Technology Explained, người đóng góp thường xuyên cho Podcast Thực sự Hữu ích và là người đánh giá sản phẩm thường xuyên. Anh ấy có bằng Cử nhân (Hons) Viết đương đại với Thực hành nghệ thuật kỹ thuật số bị cướp đoạt từ những ngọn đồi của Devon, cũng như hơn một thập kỷ kinh nghiệm viết văn chuyên nghiệp. Anh ấy thích uống nhiều trà, trò chơi trên bàn và bóng đá.

Xem thêm từ Gavin Phillips

Theo dõi bản tin của chúng tôi

Tham gia bản tin của chúng tôi để biết các mẹo công nghệ, đánh giá, sách điện tử miễn phí và các ưu đãi độc quyền!

Bấm vào đây để đăng ký