معرفی 12 روش هک پسورد ها

در طولانی ترین زمان ، گذرواژه ها یا همان پسورد ها  به عنوان یک فرم قابل قبول برای محافظت از حریم خصوصی دیجیتال در نظر گرفته می شدند. با این حال ، هنگامی که بیومتریک و رمزنگاری به طور فزاینده ای در دسترس عموم قرار گرفت ، اشکالات این روش ساده احراز هویت به طور فزاینده ای آشکار شده بود. پس از همه ، یک رمز عبور نشت شده به مرکز اصلی بزرگترین داستان امنیت سایبری در 12 ماه گذشته تبدیل شد . یعنی هک SolarWinds . این باعث شد که هک پسورد به عنوان یکی از مهمترین مسائل شناخته شود. مسئله ای که هم کاربران و هم هکر ها به دنبال آن بودند.

هک Solarwinds123

در اوایل سال جاری ، مشخص شد که “solarwinds123” – که توسط کارآموز راه اندازی و ارائه شده بود – از ژوئن 2018 از طریق مخزن خصوصی GitHub در دسترس عموم قرار گرفت . در نهایت به هکرها اجازه داد تا حمله گسترده زنجیره تامین را سازماندهی کنند. با این حال ، حتی اگر رمز عبور فاش نشده باشد ، حدس زدن آن برای مجرمان سایبری دشوار نخواهد بود. به هر حال ، به قول سیاستمدار آمریکایی کتی پورتر ، اکثر والدین از رمز عبور قوی تری برای جلوگیری از “تماشای زیاد یوتیوب در iPad خود” استفاده می کنند.

رمزهای عبور ضعیف و آسان برای حدس زدن بیش از آنچه انتظار می رود رایج است. یافته های اخیر NCSC نشان داد که تقریباً از هر 6 نفر یک نفر از نام حیوانات خانگی خود به عنوان گذرواژه خود استفاده می کند . این یک انتخاب بسیار قابل پیش بینی است. حتی بدتر از این ، این گذرواژه ها نیز در سایت های مختلف مورد استفاده مجدد قرار می گیرند . به طوری که از هر سه نفر (32٪) یک نفر رمز عبور یکسانی را برای دسترسی به چندین حساب تعیین کرده اند.

به همین دلیل نباید تعجب کرد که گذرواژه ها بدترین کابوس یک متخصص امنیت سایبری هستند. با این حال ، اقدامات لازم برای رفع این مشکل انجام می شود. در حالی که بیومتریک و رمزنگاری می توانند امنیت یک شرکت را تقویت کنند ، احراز هویت چند لایه قوی ضروری است. جدا از این موارد ، کاهش خطرات همچنین به معنای آگاهی از اقدامات مجرمان سایبری برای انواع روش هک پسورد  شما است.

به همین دلیل است که ما 12 روش هک پسورد برتر مورد استفاده هکرها را جمع آوری کرده ایم . تا ایده بهتری را برای شما و کسب و کار خود در مورد آنچه که باید به دنبال آن باشید ، ارائه دهیم.

12 روش هک پسورد

1. فیشینگ

فیشینگ شاید رایج ترین روش هک امروزه باشد . تلاش برای سرقت اطلاعات کاربران با پوشاندن محتوای مخرب به عنوان یک ارتباط قابل اعتماد. اگرچه این اصطلاح به طور کلی با ایمیل ارتباط دارد .اما  اصطلاحاتی برای توصیف سایر رسانه ها هم وجود دارد . مانند “smishing” (فیشینگ پیامکی).اما فیشینگ می تواند در هر نوع ارتباط الکترونیکی رخ دهد.

تاکتیک معمولی این است که کاربر را فریب دهید تا روی پیوند جاسازی شده کلیک کرده یا پیوست را بارگیری کند. به جای اینکه به یک منبع مفید هدایت شود ، یک فایل مخرب بارگیری و بر روی دستگاه کاربر اجرا می شود. آنچه بعد اتفاق می افتد کاملاً به اجرای بدافزار بستگی دارد. برخی ممکن است فایل ها را رمزگذاری کرده و از دسترسی کاربر به دستگاه جلوگیری کنند . در حالی که برخی ممکن است سعی کنند مخفی بمانند تا بعنوان پشت درهای دیگر بدافزارها عمل کنند.

بهترین رمزهای عبور رمزهایی هستند که نمی توانید آنها را به خاطر بسپارید!!. اما حواستان باشد که آن ها را جایی یادداشت کنید.

رمز عبور ها باید سخت باشند و در جای امنی نگهداری شوند

اگر رمز عبور نیست پس چیست؟

با افزایش سواد رایانه ای در طول این سالها و عادت کاربران به تهدیدات آنلاین ، تکنیک های فیشینگ باید پیچیده تر شوند. فیشینگ امروزی معمولاً نوعی مهندسی اجتماعی را شامل می شود . جایی که به نظر می رسد پیام از یک شرکت قانونی و اغلب مشهور ارسال شده است. سپس به مشتریان خود اطلاع می دهد که باید به نوعی اقدام کنند. Netflix ، Amazon و Facebook اغلب برای این منظور استفاده می شوند . زیرا به احتمال زیاد قربانی دارای یک حساب مرتبط با این شرکت ها خواهد بود.

تعداد ایمیل فرستادن شاهزادگان در نیجریه به دنبال وارث یا شرکت هایی که از طرف اقوام متوفی ثروتمند فعالیت می کنند ، دیده شده. اگرچه هنوز می توانید ادعای عجیب و غریب فوق العاده ای را در سراسر جهان به عنوان روش هک پسورد پیدا کنید.

مورد علاقه اخیر ما مورد اولین فضانورد نیجریه ای است. که متأسفانه در فضا گم شده است و نیاز دارد که ما برای انتقال 3 میلیون دلار به آژانس فضایی روسیه به عنوان یک واسط عمل کنیم . اما اگر این کار را انجام دهید پسورد های شما هک می شود!.

2. مهندسی اجتماعی

در مورد مهندسی اجتماعی ، این معمولاً به فرایند فریب کاربران به این باور است که هکر یک عامل قانونی است. یک تاکتیک رایج این است که هکرها با قربانی تماس بگیرند و به عنوان پشتیبانی فنی ظاهر شوند. سپس مواردی مانند گذرواژه های دسترسی به شبکه را برای ارائه کمک درخواست کنند. این می تواند به همان اندازه موثر باشد اگر شخصاً با استفاده از یک لباس جعلی و مدارک معتبر انجام شود . اگرچه این روزها بسیار کمتر رایج است.

حملات موفقیت آمیز مهندسی اجتماعی می تواند فوق العاده قانع کننده و بسیار پردرآمد باشد . همانطور که مدیرعامل یک شرکت انرژی مستقر در بریتانیا 201،000 پوند به هکرها پس از فریب وی با ابزار هوش مصنوعی که از صدای دستیار او تقلید می کرد ، ضرر کرد.

3. بدافزار و هک پسورد

کی لاگر ها ، اسکرپرهای صفحه نمایش و بسیاری از ابزارهای مخرب دیگر همه زیر چتر بدافزارها قرار دارند .یعنی نرم افزارهای مخربی که برای سرقت اطلاعات شخصی طراحی شده اند. در کنار نرم افزارهای مخرب و بسیار مخرب مانند باج افزار ، که تلاش می کند دسترسی به کل سیستم را مسدود کند ، خانواده های بدافزارهای بسیار تخصصی نیز وجود دارند که رمزهای عبور را به طور خاص هدف قرار می دهند.

Keylogger ها و امثال آنها فعالیت کاربر را ثبت می کنند .خواه از طریق ضربه زدن به کیبورد یا از طریق صفحه نمایش . که همه آنها سپس با هکر به اشتراک گذاشته می شود. برخی از بدافزارها حتی از طریق سیستم کاربر به دنبال واژه نامه های رمز عبور یا داده های مرتبط با مرورگرهای وب هستند.

4. حمله Brute Force

حملات Brute Force به تعدادی از روشهای مختلف هک اشاره دارد که همه آنها شامل حدس زدن گذرواژه ها برای دسترسی به یک سیستم است.

یک مثال ساده از حمله وحشیانه می تواند یک هکر باشد که گذرواژه شخص را بر اساس سرنخ های مربوط حدس بزند . اما می تواند پیچیده تر از این باشد. به عنوان مثال ، بازیابی اعتبار بر این واقعیت استوار است که بسیاری از افراد از رمزهای عبور خود استفاده می کنند . که برخی از آنها توسط نقض داده های قبلی فاش شده است. حملات برعکس نیروی هجوم شامل هکرهایی است که برخی از رایج ترین رمزهای عبور را می گیرند و سعی می کنند نام کاربری مرتبط را حدس بزنند.

اکثر حملات نیروی خشن از نوعی پردازش خودکار استفاده می کنند و به مقدار زیادی رمز عبور اجازه می دهند تا در یک سیستم وارد شوند.

با استفاده از Keylogger ها افراد می توانند هک پسورد را انجام دهند

5. هک پسورد ها با حمله دیکشنری

حمله دیکشنری یک نمونه پیچیده تر از حمله سایبری است. این از یک فرآیند خودکار برای تغذیه لیستی از رمزهای عبور و عبارات رایج استفاده شده در سیستم رایانه تا زمانی که چیزی مناسب باشد استفاده می کند. اکثر دیکشنریها  از اعتبارنامه های بدست آمده از هک های قبلی تشکیل شده اند . اگرچه شامل رایج ترین رمزهای عبور و ترکیب کلمات نیز خواهند بود.

این تکنیک از این واقعیت استفاده می کند که بسیاری از افراد از عبارات به یاد ماندنی به عنوان گذرواژه استفاده می کنند . که معمولاً کلمات کاملی هستند که به هم چسبیده اند. این عمدتا به همین دلیل است که سیستم ها هنگام ایجاد رمز عبور از استفاده از چندین نوع کاراکتر استفاده می کنند.

6. حمله به ماسک

در مواردی که در حملات دیکشنری از لیست تمام عبارت ها و ترکیب کلمات استفاده می شود ، حملات ماسک در محدوده خود بسیار دقیق تر هستند و اغلب بر اساس شخصیت یا اعداد حدس ها را تصحیح می کنند . معمولاً بر اساس دانش موجود.

به عنوان مثال ، اگر هکر مطلع باشد که رمز عبور با یک عدد شروع می شود ، می تواند ماسک را طوری تنظیم کند که فقط آن نوع رمزها را امتحان کند. طول گذرواژه ، ترتیب کاراکترها ، شامل کاراکترهای خاص یا چند بار تکرار یک کاراکتر تنها برخی از معیارهایی هستند که می توانند برای پیکربندی ماسک استفاده شوند.

هدف در اینجا این است که زمان شکستن گذرواژه را به شدت کاهش دهید و هرگونه پردازش غیر ضروری را حذف کنید.

7. حمله Rainbow table

هرگاه یک رمز عبور بر روی یک سیستم ذخیره می شود ، معمولاً با استفاده از “هش” یا نام مستعار رمزنگاری شده رمزگذاری می شود . بنابراین تعیین رمز عبور اصلی بدون هش مربوطه غیرممکن می شود. به منظور دور زدن این مورد ، هکرها دایرکتوری هایی را ذخیره می کنند. که رمزهای عبور و هش های مربوط به آنها را که اغلب از هک های قبلی ساخته شده اند ذخیره می کنند .سپس زمان نفوذ به سیستم را کاهش می دهد (در حملات وحشیانه استفاده می شود).این روش هک پسورد به شذت حرفه ای است!.

جداول رنگین کمان یک قدم جلوتر می روند. زیرا اینها به جای ارائه گذرواژه و هش آن ، فهرستی از پیش آماده شده از تمام نسخه های متنی ساده رمزهای رمزگذاری شده را بر اساس یک الگوریتم هش ذخیره می کنند. هکرها سپس می توانند این لیست ها را با رمزهای رمزگذاری شده ای که در سیستم یک شرکت کشف کرده اند ، مقایسه کنند.

بسیاری از محاسبات قبل از حمله انجام می شود و در مقایسه با روش های دیگر ، حمله را بسیار آسان تر و سریعتر انجام می دهد. نقطه ضعف جنایتکاران سایبری این است که حجم زیاد ترکیبات احتمالی بدین معناست که میزهای رنگین کمان می تواند بسیار بزرگ باشد و اغلب صدها گیگابایت حجم دارند.

8. تحلیلگرهای شبکه

تحلیلگرهای شبکه ابزاری هستند که به هکرها اجازه می دهد بسته های داده ارسال شده از طریق شبکه را رصد و رهگیری کرده و رمزهای عبور متنی ساده موجود در آن را بلند کنند.

چنین حمله ای مستلزم استفاده از بدافزار یا دسترسی فیزیکی به سوئیچ شبکه است . اما می تواند بسیار موثر باشد. این به بهره برداری از آسیب پذیری سیستم یا اشکال شبکه متکی نیست . به همین دلیل برای اکثر شبکه های داخلی قابل استفاده است. همچنین استفاده از تحلیلگرهای شبکه متداول است.

پلتفرم های مختلف مانند ایمیل یا اینستاگرام توانایی هک شدن دارند

البته ، مشاغل می توانند از همین ابزارها برای اسکن شبکه های خود استفاده کنند . که می تواند به ویژه برای اجرای تشخیص یا عیب یابی مفید باشد. با استفاده از تجزیه و تحلیل شبکه ، سرپرستان می توانند اطلاعاتی را که در متن ساده منتقل می شوند تشخیص دهند و سیاست هایی را برای جلوگیری از این اتفاق وضع کنند.

تنها راه جلوگیری از این حمله ، ایمن سازی ترافیک با هدایت آن از طریق VPN یا موارد مشابه است.

9. اسپایدرینگ و هک پسورد

اسپایدرینگ به فرایند هکرها که از نزدیک با اهداف خود آشنا می شوند و اعتبار آنها را بر اساس فعالیت آنها بدست می آورند ، اشاره می کند. این فرآیند بسیار شبیه به تکنیک هایی است که در حملات فیشینگ و مهندسی اجتماعی استفاده می شود. اما شامل مقدار زیادی از کارهای پا از طرف هکر است .اگرچه به طور کلی در نتیجه موفقیت آمیزتر است.

نحوه استفاده هکرها از اسپایدرینگ بستگی به هدف دارد. به عنوان مثال ، اگر هدف یک شرکت بزرگ باشد ، هکرها ممکن است سعی کنند از اسناد داخلی مانند کتابهای راهنمای مبتدیان استفاده کنند تا بتوانند از نوع سیستم عامل ها و امنیت مورد استفاده استفاده کنند. در این موارد است که اغلب راهنمایی در مورد نحوه دسترسی به خدمات خاص یا یادداشت هایی در مورد استفاده از Wi-Fi در دفتر پیدا می کنید.

اغلب این مورد وجود دارد که شرکت ها از رمزهای عبور مربوط به فعالیت تجاری یا مارک تجاری خود به نحوی استفاده می کنند . عمدتا به این دلیل که به خاطر سپردن کارکنان را آسان تر می کند. هکرها می توانند با مطالعه محصولاتی که یک کسب و کار ایجاد می کند ، به منظور ایجاد یک لیست ترکیبی از ترکیبات احتمالی کلمات ، که می تواند برای حمایت از حمله بی رحمانه مورد استفاده قرار گیرد ، از این امر سوء استفاده کنند.

همانطور که در مورد بسیاری از تکنیک های دیگر در این لیست وجود دارد ، روند اسپایدرینگ به طور معمول با اتوماسیون پشتیبانی می شود.

10. کرک آفلاین

مهم است که به خاطر داشته باشید که همه هک ها از طریق اتصال به اینترنت انجام نمی شود. در واقع ، بیشتر کارها بصورت آفلاین انجام می شود ، به ویژه این که اکثر سیستم ها تعداد حدس های مجاز قبل از قفل شدن حساب را محدود می کنند.

هک آفلاین معمولاً شامل فرایند رمزگشایی رمزهای عبور با استفاده از لیستی از هش ها است. که احتمالاً از نقض اطلاعات اخیر گرفته شده است. بدون تهدید تشخیص یا محدودیت فرم رمز عبور ، هکرها می توانند وقت خود را بگیرند. بنابراین این هم یک روش هک پسورد است.

البته ، این کار تنها زمانی قابل انجام است که حمله اولیه با موفقیت انجام شود . خواه هکر دارای امتیازات بالا و دسترسی به پایگاه داده باشد ، با استفاده از حمله تزریق SQL ، یا با سرور محافظت نشده.

بسیاری از درگاه ها و صفحات برای فیشینگ ساخته شده اند

11. موج سواری

نمونه های این امر شامل هکرهایی است که برای دسترسی به سایت های شرکت خود را مبدل می کنند . به معنای واقعی کلمه ، برای گرفتن اسناد و گذرواژه های حساس ، حساب های کارکنان را بررسی می کنند. شاید مشاغل کوچکتر بیشتر در معرض این مشکل باشند . زیرا نمی توانند به اندازه یک سازمان بزرگتر از سایت های خود مأموریت بگیرند.

کارشناسان امنیتی اخیراً درباره آسیب پذیری در فرایند احراز هویت مورد استفاده واتس اپ هشدار داده اند. کاربرانی که سعی می کنند از WhatsApp در دستگاه جدید استفاده کنند ، ابتدا باید یک کد منحصر به فرد را که از طریق پیام متنی ارسال می شود وارد کنند .که می تواند برای بازیابی حساب کاربر و سابقه چت از پشتیبان استفاده شود. مشخص شد که اگر یک هکر بتواند شماره تلفن کاربر را بدست آورد ، می تواند برنامه را در یک دستگاه تمیز بارگیری کرده و درخواست کد جدید را بدهد . که اگر در فاصله جاسوسی قرار دارند ، می توانند به همان صورت کپی کنند. وارد دستگاه خود کاربر می شود.

12. حدس زدن

در صورت عدم موفقیت روش هک پسورد ، هکر همیشه می تواند رمز عبور شما را حدس بزند. در حالی که بسیاری از مدیران رمز عبور موجود هستند که رشته هایی را ایجاد می کنند که حدس آنها غیرممکن است ، بسیاری از کاربران همچنان به عبارات به یاد ماندنی اعتماد می کنند. اینها اغلب بر اساس سرگرمی ها ، حیوانات خانگی یا خانواده است . که اغلب آنها در صفحات نمایه ای که رمز عبور سعی در محافظت از آنها دارد ، وجود دارد.

جلوگیری از هک پسورد

ابتدا بررسی کنید که رمز عبور شما چقدر امن است. به سایت How my Secure Is My Password سر بزنید و ببینید حساب شما چقدر سریع هک می شود. این سایت به شما اطلاع می دهد که از رمز عبور قوی استفاده می کنید یا اگر می خواهید آن را در موارد دشوارتر تغییر دهید.

اطمینان حاصل کنید که رمز عبور شما در لیست رایج ترین رمزهای عبور محبوب نیست. در اوایل سال جاری ، وبلاگ تهدید ESET لیستی از رایج ترین رمزهای عبور را منتشر کرد. لیست کامل را بررسی کنید و اگر گذرواژه یا شماره پین ​​شما در لیست است باید فوراً آن را تغییر دهید.

اگر از Google برای هر چیزی (Gmail ، Google Talk ، Google+ و غیره) استفاده می کنید ، مطمئن شوید که تأیید صحت 2 مرحله ای را فعال کنید. تأیید صحت دو مرحله ای یک لایه امنیتی اضافی به حساب Google شما می افزاید. علاوه بر نام کاربری و گذرواژه شما ، کدی را وارد می کنید که Google هنگام ورود به سیستم از طریق پیام متنی یا صوتی برای شما ارسال می کند. این امر حدس زدن رمز عبور شما را سخت تر می کند.

امنیت بیشتر…

برای امنیت بیشتر از یک مدیر رمز عبور استفاده کنید. مدیران گذرواژه مانند LastPass و 1Password برای مدیریت گذرواژه های شما و ایجاد رمزهای جدید جدید و غیرقابل کنترل عالی هستند. مزیت این نوع خدمات این است که مجبور نیستید رمز عبور هر سایت را به خاطر بسپارید. تنها کاری که باید انجام دهید این است که فقط یک رمز عبور اصلی را به خاطر بسپارید. هنگام وارد شدن به سیستم نیازی به وارد کردن رمز عبور ندارید. کافی است با یک کلیک به طور یکپارچه وارد وب سایت های خود شوید.

گوگل در سایت اطلاعات گذرواژه خود نکات مفیدی برای گذرواژه دارد. در حالی که ممکن است اینها ساده به نظر برسند.بسیاری از افراد در رعایت نکردن این قوانین مقصر هستند. لیست کامل را اینجا بخوانید. سه نکته اصلی برای جلوگیری از روش هک پسورد شامل موارد زیر است:
1-برای همه حسابهای مهم خود از رمز عبور منحصر به فرد استفاده کنید.
2-از رمز عبور طولانی استفاده کنید
3-ساز رمز عبور با ترکیبی از حروف ، اعداد و نمادها استفاده کنید

جمع بندی

سالها از اختراع دنیای دیجیتال می گذرد. در این زمان رمز عبور ها مهمترین اجزایی بودند که می توانستند امنیت شما را تامین کنند. بنابراین باید به این موضوه توجه ویژه ای داشته باشید.

برای این که بتوانید با استفاده از رمز عبور خود را ایمن کنید باید در نظر داشته باشید که در ابتدا آن ها را سخت تهیه کنید. در صورتی که یک رمز عبور به راحتی در ذهن شما قرار می گیرد می توانید آن را عوض کنید. رمز عبور هایی که توسط نرم افزار ها ساخته می شود بسیار ایمن هستند. اما باید آن ها را حتما یادداشت کنید. در غیر این صورت آن ها را فراموش خواهید کرد. بعد از این که این رمز ها را یادداشت کردید باید یک مکان امن برای نگهداری آن ها در نظر داشته باشید.