Gli 8 trucchi più comuni usati per hackerare le password

Gli 8 trucchi più comuni usati per hackerare le password

Quando senti 'violazione della sicurezza', cosa ti viene in mente? Un hacker malevolo seduto di fronte a schermi ricoperti di testo digitale in stile Matrix? O un adolescente che vive in un seminterrato che non vede la luce del giorno da tre settimane? Che ne dici di un potente supercomputer che tenta di hackerare il mondo intero?





L'hacking è tutto su una cosa: la tua password. Se qualcuno riesce a indovinare la tua password, non ha bisogno di fantasiose tecniche di hacking e supercomputer. Accederanno semplicemente, agendo come te. Se la tua password è breve e semplice, il gioco è finito.



Esistono otto tattiche comuni utilizzate dagli hacker per hackerare la tua password.





1. Dizionario Hack

Il primo passo nella guida alle tattiche di hacking delle password comuni è l'attacco del dizionario. Perché si chiama attacco dizionario? Perché prova automaticamente ogni parola in un 'dizionario' definito contro la password. Il dizionario non è strettamente quello che usavi a scuola.

No. Questo dizionario è in realtà un piccolo file contenente anche le combinazioni di password più comunemente usate. Ciò include 123456, qwerty, password, iloveyou e il classico di tutti i tempi, hunter2.



dopo l'aggiornamento di Windows 10 il computer non si avvia

La tabella sopra mostra le password più trapelate nel 2016. La tabella seguente descrive le password più trapelate nel 2020.

Nota le somiglianze tra i due e assicurati di non utilizzare queste opzioni incredibilmente semplici.



Professionisti: Veloce; di solito sbloccherà alcuni account tristemente protetti.

Contro: Anche le password leggermente più forti rimarranno sicure.



Rimani al sicuro: Usa una password forte e monouso per ogni account, insieme a a app per la gestione delle password . Il gestore di password ti consente di memorizzare le tue altre password in un repository. Quindi puoi utilizzare una singola password ridicolmente forte per ogni sito.

Imparentato: Google Password Manager: come iniziare

2. Forza Bruta

Successivamente, l'attacco di forza bruta, in cui un attaccante prova ogni possibile combinazione di caratteri. Le password tentate corrisponderanno alle specifiche per le regole di complessità, ad es. inclusi una maiuscola, una minuscola, i decimali di Pi, il tuo ordine di pizza e così via.

Un attacco di forza bruta proverà prima anche le combinazioni di caratteri alfanumerici più comunemente usate. Questi includono le password elencate in precedenza, nonché 1q2w3e4r5t, zxcvbnm e qwertyuiop. Può volerci molto tempo per capire una password usando questo metodo, ma ciò dipende interamente dalla complessità della password.

Professionisti: In teoria, craccherà qualsiasi password provando ogni combinazione.

Contro: A seconda della lunghezza e della difficoltà della password, potrebbe volerci molto tempo. Inserisci alcune variabili come $, &, { o ] e capire la password diventa estremamente difficile.

Rimani al sicuro: Utilizzare sempre una combinazione variabile di caratteri e, ove possibile, introdurre simboli extra per aumentare la complessità .

3. Phishing

Questo non è strettamente un 'hack', ma cadere preda di un tentativo di phishing o spear-phishing di solito finisce male. E-mail di phishing generiche inviate a miliardi a tutti i tipi di utenti Internet in tutto il mondo.

Un'e-mail di phishing generalmente funziona in questo modo:

  1. L'utente di destinazione riceve un'e-mail contraffatta che sembra provenire da un'importante organizzazione o azienda.
  2. L'e-mail contraffatta richiede un'attenzione immediata, con un collegamento a un sito Web.
  3. Questo collegamento in realtà si collega a un falso portale di accesso, simulato per apparire esattamente uguale al sito legittimo.
  4. L'ignaro utente di destinazione inserisce le proprie credenziali di accesso e viene reindirizzato o gli viene chiesto di riprovare.
  5. Le credenziali dell'utente vengono rubate, vendute o utilizzate in modo nefasto (o entrambe le cose).

Il volume giornaliero di spam inviato in tutto il mondo rimane elevato, rappresentando oltre la metà di tutte le e-mail inviate a livello globale. Inoltre, anche il volume di allegati dannosi è elevato con Kaspersky notando oltre 92 milioni di allegati dannosi da gennaio a giugno 2020. Ricorda, questo è solo per Kaspersky, quindi il numero reale è molto più alto .

Nel 2017, la più grande esca di phishing era una fattura falsa. Tuttavia, nel 2020, la pandemia di COVID-19 ha fornito una nuova minaccia di phishing.

Nell'aprile 2020, non molto tempo dopo che molti paesi sono entrati in isolamento pandemico, Google annunciato bloccava ogni giorno oltre 18 milioni di email dannose a tema COVID-19 e di phishing. Un numero enorme di queste e-mail utilizza il marchio ufficiale del governo o dell'organizzazione sanitaria per la legittimità e cattura le vittime alla sprovvista.

Professionisti: L'utente consegna letteralmente le proprie informazioni di accesso, comprese le password: un tasso di successo relativamente alto, facilmente adattabile a servizi specifici o persone specifiche in un attacco di spear-phishing .

Contro: Le e-mail di spam vengono facilmente filtrate, i domini di spam vengono inseriti nella lista nera e i principali fornitori come Google aggiornano costantemente le protezioni.

Rimani al sicuro: Rimani scettico nei confronti delle e-mail e aumenta il filtro antispam al livello più alto o, meglio ancora, utilizza una whitelist proattiva. Utilizzo un controllore di collegamento per accertare se un collegamento e-mail è legittimo prima di fare clic.

4. Ingegneria sociale

L'ingegneria sociale è essenzialmente phishing nel mondo reale, lontano dallo schermo.

Una parte fondamentale di qualsiasi audit di sicurezza è valutare ciò che l'intera forza lavoro comprende. Ad esempio, una società di sicurezza telefonerà all'azienda che sta controllando. L''attaccante' dice alla persona al telefono che è il nuovo team di supporto tecnico dell'ufficio e che ha bisogno della password più recente per qualcosa di specifico.

Un individuo ignaro può consegnare le chiavi senza una pausa di riflessione.

La cosa spaventosa è la frequenza con cui funziona. L'ingegneria sociale esiste da secoli. Essere ipocriti per ottenere l'accesso a un'area sicura è un metodo di attacco comune e da cui si difende solo con l'istruzione.

Questo perché l'attacco non richiederà sempre direttamente una password. Potrebbe essere un falso idraulico o un elettricista che chiede l'ingresso in un edificio sicuro e così via.

Quando qualcuno afferma di essere stato indotto con l'inganno a rivelare la propria password, spesso è il risultato dell'ingegneria sociale.

Professionisti: Ingegneri sociali esperti possono estrarre informazioni di alto valore da una serie di obiettivi. Può essere schierato contro quasi chiunque, ovunque. È estremamente furtivo.

Contro: Un fallimento dell'ingegneria sociale può sollevare sospetti su un attacco imminente e incertezza sul fatto che le informazioni corrette vengano ottenute.

Rimani al sicuro : Questo è difficile. Un attacco di ingegneria sociale di successo sarà completo nel momento in cui ti rendi conto che qualcosa non va. L'istruzione e la consapevolezza della sicurezza sono una tattica di mitigazione fondamentale. Evita di pubblicare informazioni personali che potrebbero essere successivamente utilizzate contro di te.

5. Tavolo arcobaleno

Una tabella arcobaleno è solitamente un attacco di password offline. Ad esempio, un utente malintenzionato ha acquisito un elenco di nomi utente e password, ma sono crittografati. La password crittografata è sottoposta a hashing. Ciò significa che ha un aspetto completamente diverso dalla password originale.

Ad esempio, la tua password è (si spera di no!) logmein. L'hash MD5 noto per questa password è '8f4047e3233b39e4444e1aef240e80aa'.

Gibberish per te e me. Ma in alcuni casi, l'attaccante eseguirà un elenco di password in chiaro tramite un algoritmo di hashing, confrontando i risultati con un file di password crittografato. In altri casi, l'algoritmo di crittografia è vulnerabile e la maggior parte delle password è già craccata, come MD5 (da qui il motivo per cui conosciamo l'hash specifico per 'logmein'.

Qui entra in gioco il tavolo arcobaleno. Invece di dover elaborare centinaia di migliaia di potenziali password e abbinare il loro hash risultante, una tabella arcobaleno è un enorme insieme di valori hash specifici dell'algoritmo precalcolati.

L'uso di una tabella arcobaleno riduce drasticamente il tempo necessario per decifrare una password con hash, ma non è perfetto. Gli hacker possono acquistare tabelle arcobaleno precompilate popolate con milioni di potenziali combinazioni.

Professionisti: Può capire password complesse in un breve lasso di tempo; concede all'hacker molto potere su determinati scenari di sicurezza.

Contro: Richiede un'enorme quantità di spazio per memorizzare l'enorme tabella arcobaleno (a volte terabyte). Inoltre, gli aggressori sono limitati ai valori contenuti nella tabella (altrimenti, devono aggiungere un'altra intera tabella).

come vedere che tipo di scheda madre ho

Rimani al sicuro: Un altro difficile. I tavoli Rainbow offrono un'ampia gamma di potenziali di attacco. Evita i siti che utilizzano SHA1 o MD5 come algoritmo di hashing della password. Evita i siti che ti limitano a password brevi o limitano i caratteri che puoi utilizzare. Usa sempre una password complessa.

Correlati: Come sapere se un sito memorizza le password come testo normale (e cosa fare)

6. Malware/Keylogger

Un altro modo sicuro per perdere le credenziali di accesso è incorrere in malware. Il malware è ovunque, con il potenziale di fare enormi danni. Se la variante del malware presenta un keylogger, potresti trovare Tutti dei tuoi account compromessi.

In alternativa, il malware potrebbe prendere di mira specificamente i dati privati ​​o introdurre un Trojan di accesso remoto per rubare le tue credenziali.

Professionisti: Migliaia di varianti di malware, molte personalizzabili, con diversi metodi di consegna facili. È molto probabile che un numero elevato di bersagli soccomba ad almeno una variante. Può non essere rilevato, consentendo un'ulteriore raccolta di dati privati ​​e credenziali di accesso.

Contro: Possibilità che il malware non funzioni o venga messo in quarantena prima di accedere ai dati; nessuna garanzia che i dati siano utili.

Rimani al sicuro : Installa e aggiorna regolarmente il tuo antivirus e antimalware Software. Considera attentamente le tue fonti di download. Non fare clic sui pacchetti di installazione contenenti bundleware e altro. Evita i siti nefasti (più facile a dirsi che a farsi). Utilizza strumenti di blocco degli script per bloccare gli script dannosi.

7. Ragnare

Lo spidering si lega all'attacco del dizionario. Se un hacker prende di mira un'istituzione o un'azienda specifica, potrebbe provare una serie di password relative all'azienda stessa. L'hacker potrebbe leggere e raccogliere una serie di termini correlati o utilizzare uno spider di ricerca per eseguire il lavoro per loro.

Potresti aver già sentito il termine 'ragno'. Questi spider di ricerca sono estremamente simili a quelli che strisciano su Internet, indicizzando i contenuti per i motori di ricerca. L'elenco di parole personalizzato viene quindi utilizzato contro gli account utente nella speranza di trovare una corrispondenza.

Professionisti: Può potenzialmente sbloccare account per individui di alto livello all'interno di un'organizzazione. Relativamente facile da mettere insieme e aggiunge una dimensione extra a un attacco a dizionario.

Contro: Potrebbe finire inutilmente se la sicurezza della rete organizzativa è ben configurata.

Rimani al sicuro: Ancora una volta, usa solo password complesse e monouso composte da stringhe casuali; niente che si colleghi alla tua persona, azienda, organizzazione e così via.

il gioco Steam sarà in vendita dopo l'acquisto

8. Surf sulle spalle

L'ultima opzione è una delle più basilari. Cosa succede se qualcuno ti guarda alle spalle mentre stai digitando la password?

Il surf sulle spalle sembra un po' ridicolo, ma succede. Se lavori in un bar affollato del centro e non presti attenzione a ciò che ti circonda, qualcuno potrebbe avvicinarsi abbastanza da annotare la tua password mentre digiti.

Professionisti: Approccio a bassa tecnologia per rubare una password.

Contro: Deve identificare il target prima di capire la password; potrebbero rivelarsi nel processo di furto.

Rimani al sicuro: Rimani attento a chi ti circonda quando digiti la password. Copri la tastiera e oscura i tasti durante l'immissione.

Usa sempre una password forte, unica e monouso

Quindi, come impedire a un hacker di rubare la tua password? La risposta davvero breve è che non puoi essere veramente sicuro al 100% . Gli strumenti utilizzati dagli hacker per rubare i tuoi dati cambiano continuamente e ci sono innumerevoli video e tutorial su come indovinare le password o imparare a hackerare una password.

Una cosa è certa: l'utilizzo di una password forte, unica e monouso non fa mai male a nessuno.

Condividere Condividere Tweet E-mail 5 strumenti per la password per creare passphrase efficaci e aggiornare la tua sicurezza

Crea una password sicura che potrai ricordare in seguito. Usa queste app per aggiornare la tua sicurezza con nuove password complesse oggi stesso.

Leggi Avanti Argomenti correlati
  • Sicurezza
  • Suggerimenti per la password
  • Sicurezza online
  • Hacking
  • Suggerimenti per la sicurezza
Circa l'autore Gavin Phillips(945 articoli pubblicati)

Gavin è l'editor junior per Windows e la spiegazione della tecnologia, un collaboratore regolare del podcast Really Useful e un revisore regolare del prodotto. Ha una laurea (Hons) in scrittura contemporanea con pratiche di arte digitale saccheggiata dalle colline del Devon, oltre a oltre un decennio di esperienza di scrittura professionale. Ama abbondanti quantità di tè, giochi da tavolo e calcio.

Altro da Gavin Phillips

Iscriviti alla nostra Newsletter

Iscriviti alla nostra newsletter per suggerimenti tecnici, recensioni, ebook gratuiti e offerte esclusive!

Clicca qui per iscriverti