ハッカーがオンラインアカウントを大きく開くために使用するパスワードクラッキングの手法を理解することは、それが決して起こらないようにするための優れた方法です。
あなたは確かに常にあなたのパスワードを変更する必要があり、時にはあなたが思っているよりも緊急に変更する必要がありますが、盗難を軽減することはあなたのアカウントのセキュリティを常に把握するための素晴らしい方法です。いつでもwww.haveibeenpwned.comにアクセスして、危険にさらされているかどうかを確認できますが、パスワードがハッキングされないように十分に安全であると考えるのは悪い考え方です。
そのため、ハッカーがパスワードを安全に取得する方法を理解しやすくするために、ハッカーが使用するパスワードクラッキング手法のトップ10のリストをまとめました。以下の方法のいくつかは確かに時代遅れですが、それはそれらがまだ使用されていないという意味ではありません。注意深く読み、何を軽減するかを学びます。
ハッカーが使用するパスワードクラッキング手法のトップ10
1.辞書攻撃
辞書攻撃は、辞書で見つけることができる単語を含む単純なファイルを使用するため、その名前はかなり単純です。言い換えれば、この攻撃は、多くの人がパスワードとして使用する種類の単語を正確に使用します。
「letmein」や「superadministratorguy」などの単語を巧妙にグループ化しても、パスワードがこのように解読されるのを防ぐことはできません。数秒以上かかることはありません。
2.ブルートフォース攻撃
辞書攻撃と同様に、ブルートフォース攻撃にはハッカーに追加のボーナスが付属しています。単純に単語を使用する代わりに、ブルートフォース攻撃により、aaa1からzzz10までのすべての可能な英数字の組み合わせを処理することにより、辞書にない単語を検出できます。
パスワードが数文字を超える場合は迅速ではありませんが、最終的にはパスワードが明らかになります。ブルートフォース攻撃は、ビデオカードGPUの能力を活用するなどの処理能力と、オンラインビットコインマイナーなどの分散コンピューティングモデルを使用するなどのマシン数の両方の観点から、追加の計算能力を投入することで短縮できます。
3.レインボーテーブルアタック
レインボーテーブルは、その名前が示すほどカラフルではありませんが、ハッカーにとっては、パスワードが最後にある可能性があります。可能な限り最も簡単な方法で、レインボーテーブルを要約して、事前に計算されたハッシュのリストにまとめることができます。これは、パスワードを暗号化するときに使用される数値です。このテーブルには、特定のハッシュアルゴリズムで可能なすべてのパスワードの組み合わせのハッシュが含まれています。レインボーテーブルは、パスワードハッシュを解読するのに必要な時間を短縮して、リストで何かを検索するだけで済むため、魅力的です。
ただし、レインボーテーブルは巨大で扱いにくいものです。実行するには深刻な計算能力が必要であり、アルゴリズムをハッシュする前にパスワードにランダムな文字を追加することで、検索しようとしているハッシュが「ソルト」されていると、テーブルは役に立たなくなります。
塩漬けのレインボーテーブルが存在するという話がありますが、これらは実際には使用するのが難しいほど大きいでしょう。テーブルのサイズは州レベルのハッカーでさえ法外なものになるため、事前定義された「ランダム文字」セットと12文字未満のパスワード文字列でのみ機能する可能性があります。
4.フィッシング
ハッキングする簡単な方法があります。ユーザーにパスワードを尋ねます。フィッシングメールは、疑いを持たない読者を、ハッカーがアクセスしたいサービスに関連付けられたなりすましのログインページに導きます。通常は、ユーザーにセキュリティに関するひどい問題を正すように要求します。次に、そのページはパスワードをすくい取り、ハッカーはそれを自分の目的に使用することができます。
とにかくユーザーが喜んでパスワードを教えてくれるのに、なぜわざわざパスワードを解読するのに苦労するのでしょうか。
5.ソーシャルエンジニアリング
ソーシャルエンジニアリングは、フィッシングが現実の世界に固執する傾向がある受信トレイの外にある「ユーザーに尋ねる」という概念全体を取り入れています。
ソーシャルエンジニアのお気に入りは、ITセキュリティ技術者を装ったオフィスに電話して、ネットワークアクセスパスワードを要求することです。これがどれほど頻繁に機能するかに驚かれることでしょう。中には、ビジネスに入る前にスーツと名札を身に付けて受付係に同じ質問をするために必要な性腺を持っている人さえいます。
6.マルウェア
キーロガーまたはスクリーンスクレイパーは、ログインプロセス中に入力したものすべてを記録したり、スクリーンショットを撮ったりして、このファイルのコピーをハッカーセントラルに転送するマルウェアによってインストールされる可能性があります。
一部のマルウェアは、Webブラウザクライアントのパスワードファイルの存在を探し、これをコピーします。このファイルには、適切に暗号化されていない限り、ユーザーの閲覧履歴から簡単にアクセスできる保存済みパスワードが含まれます。
7.オフラインクラッキング
パスワードが保護されているシステムが、3〜4回の誤った推測の後でユーザーをロックアウトし、自動推測アプリケーションをブロックしている場合、パスワードが安全であることは容易に想像できます。侵害されたシステムから「取得」されたパスワードファイル内の一連のハッシュを使用して、ほとんどのパスワードハッキングがオフラインで行われるという事実がなければ、それは真実です。
多くの場合、問題のターゲットはサードパーティのハッキングによって侵害されており、サードパーティはシステムサーバーとそれらの非常に重要なユーザーパスワードハッシュファイルへのアクセスを提供します。パスワードクラッカーは、ターゲットシステムや個々のユーザーに警告することなく、コードを解読する必要がある限り、時間がかかる可能性があります。
8.ショルダーサーフィン
ソーシャルエンジニアリングのもう1つの形態であるショルダーサーフィンでは、クレデンシャルやパスワードなどを入力しているときに肩越しに覗き見する必要があります。コンセプトは非常にローテクですが、パスワードと機密情報の数に驚かれることでしょう。このように盗まれるので、外出先で銀行口座などにアクセスするときは、周囲の状況に注意してください。
最も自信のあるハッカーは、小包の宅配便業者、エアコンのサービス技術者、またはオフィスビルへのアクセスを可能にするその他のものを装います。彼らが入ると、サービス要員の「ユニフォーム」は、邪魔されずに歩き回る一種のフリーパスを提供し、本物のスタッフが入力したパスワードをメモします。また、ログインが落書きされたLCD画面の前面に貼り付けられたすべての付箋を目で確認する絶好の機会を提供します。
9.スパイダリング
精通したハッカーは、多くの企業パスワードがビジネス自体に関連する単語で構成されていることに気づきました。企業の文献、Webサイトの販売資料、さらには競合他社や上場顧客のWebサイトを研究することで、ブルートフォース攻撃で使用するカスタム単語リストを作成するための弾薬を提供できます。
本当に精通したハッカーはプロセスを自動化し、主要な検索エンジンがキーワードを識別し、それらのリストを収集して照合するために採用しているWebクローラーと同様のスパイダーアプリケーションを許可しました。
10.推測する
もちろん、パスワードクラッカーの親友はユーザーの予測可能性です。タスク専用のソフトウェアを使用して真にランダムなパスワードが作成されていない限り、ユーザーが生成した「ランダムな」パスワードは、そのようなものではない可能性があります。
代わりに、私たちの好きなものに対する私たちの脳の感情的な愛着のおかげで、それらのランダムなパスワードは私たちの興味、趣味、ペット、家族などに基づいている可能性があります。実際、パスワードは、ソーシャルネットワークでチャットしたいすべてのものに基づいている傾向があり、プロファイルにも含まれています。パスワードクラッカーは、辞書やブルートフォース攻撃に頼らずに消費者レベルのパスワードを解読しようとすると、この情報を見て、いくつかの(多くの場合正しい)知識に基づいた推測を行う可能性が非常に高くなります。
注意すべき他の攻撃
ハッカーが何かを欠いている場合、それは創造性ではありません。さまざまな手法を使用し、絶えず変化するセキュリティプロトコルに適応することで、これらの侵入者は成功し続けます。
たとえば、ソーシャルメディアの誰もが、最初の車、好きな食べ物、14歳の誕生日の一番の歌について話すように求める楽しいクイズやテンプレートを見たことがあるでしょう。これらのゲームは無害に見え、投稿するのは確かに楽しいですが、実際にはセキュリティの質問とアカウントアクセス確認の回答のためのオープンテンプレートです。
アカウントを設定するときは、実際には自分には関係がないが、覚えやすい回答を使用してみてください。 「あなたの最初の車は何でしたか?」正直に答える代わりに、代わりにあなたの夢の車を置いてください。それ以外の場合は、セキュリティの回答をオンラインに投稿しないでください。
アクセスするもう1つの方法は、パスワードをリセットすることです。侵入者がパスワードをリセットすることに対する最善の防御策は、頻繁にチェックする電子メールアドレスを使用し、連絡先情報を最新の状態に保つことです。可能な場合は、常に2要素認証を有効にします。ハッカーがあなたのパスワードを知ったとしても、一意の確認コードがないとアカウントにアクセスできません。
よくある質問
サイトごとに異なるパスワードが必要なのはなぜですか?
パスワードを教えたり、なじみのないコンテンツをダウンロードしたりしないでください。毎日サインインするアカウントについてはどうでしょうか。 Grammarlyなどの任意のアカウントに使用するのと同じパスワードを銀行口座に使用するとします。 Grammarlyがハッキングされた場合、ユーザーはあなたの銀行のパスワードも持っています(そして、おそらくあなたの電子メールはあなたのすべての財源へのアクセスをさらに簡単にします)。
アカウントを保護するために何ができますか?
この機能を提供するアカウントで2FAを使用し、アカウントごとに一意のパスワードを使用し、文字と記号を組み合わせて使用することが、ハッカーに対する最善の防御策です。前に述べたように、ハッカーがアカウントにアクセスする方法はたくさんあります。そのため、定期的に実行していることを確認する必要があるその他のことは、ソフトウェアとアプリを最新の状態に保つことです(セキュリティパッチ用)。なじみのないダウンロードを避けます。
パスワードを保持する最も安全な方法は何ですか?
いくつかの独特の奇妙なパスワードについていくことは、信じられないほど難しい場合があります。アカウントを危険にさらすよりも、パスワードのリセットプロセスを実行する方がはるかに優れていますが、時間がかかります。パスワードを安全に保つために、Last PassやKeePassなどのサービスを使用して、すべてのアカウントパスワードを保存できます。
独自のアルゴリズムを使用して、パスワードを覚えやすくしながら保持することもできます。たとえば、PayPalはhwpp + c832のようなものになります。基本的に、このパスワードは、URL(// www.paypal.com)の各区切りの最初の文字であり、自宅にいる全員の誕生年の最後の番号です(例として)。アカウントにログインするときは、このパスワードの最初の数文字を示すURLを表示してください。
記号を追加してパスワードをハッキングしにくくしますが、覚えやすいように整理します。たとえば、「+」記号はエンターテインメントに関連するすべてのアカウントを表し、「!」は金融口座に使用できます。