Inhoudsopgave:
Video: Hoe kraakt iemand een wachtwoord? 2024
Wachtwoord kraken is een van de leukste hacks voor de slechteriken. Het voedt hun gevoel van onderzoek en verlangen om een probleem te achterhalen. Een hacker kan low-tech methoden gebruiken om wachtwoorden te kraken. Deze methoden omvatten het gebruik van social engineering-technieken, schouder surfen en gewoon het raden van wachtwoorden uit informatie die hij kent van de gebruiker.
Social engineering
De meest populaire low-tech methode voor het verzamelen van wachtwoorden is social engineering . Social engineering maakt gebruik van de vertrouwende aard van mensen om informatie te verkrijgen die later kwaadwillig kan worden gebruikt. Een veel gebruikte techniek voor social engineering is om mensen simpelweg te verleiden hun wachtwoord te onthullen. Het klinkt belachelijk, maar het gebeurt de hele tijd.
Technieken
Om een wachtwoord via social engineering te verkrijgen, vraagt u er gewoon om. U kunt bijvoorbeeld eenvoudigweg een gebruiker bellen en hem vertellen dat hij een aantal belangrijke e-mails in de wachtrij heeft staan en u hebt zijn wachtwoord nodig om in te loggen en deze vrij te maken. Dit is vaak hoe hackers en bedrieglijke insiders de informatie proberen te krijgen!
Een veelgehoorde zwakheid die dergelijke social engineering kan vergemakkelijken is wanneer de namen, telefoonnummers en e-mailadressen van medewerkers op uw bedrijfswebsites worden geplaatst. Sociale mediasites zoals LinkedIn, Facebook en Twitter kunnen ook worden gebruikt tegen een bedrijf, omdat deze sites de namen en contactgegevens van werknemers kunnen onthullen.
Tegenmaatregelen
Gebruikersbewustzijn en consistente beveiligingstraining zijn geweldige verdedigingen tegen social engineering. Beveiligingshulpmiddelen zijn een goede fail-safe als ze controleren op dergelijke e-mails en op internet browsen op hostniveau, netwerkperimeter of in de cloud.
Train gebruikers om aanvallen te herkennen en effectief te reageren. Hun beste antwoord is niet om informatie te geven en de juiste manager voor informatiebeveiliging in de organisatie te waarschuwen om te zien of het onderzoek legitiem is en of een reactie noodzakelijk is. Oh, en neem die personeelslijst van je website of verwijder in ieder geval de informatie van IT-personeelsleden.
Schoudersurfen
Schoudersurfen (het over de schouder kijken om te zien wat de persoon aan het typen is) is een effectieve, low-tech wachtwoordhack.
Technieken
Om deze aanval te ondersteunen, moeten de slechteriken in de buurt van hun slachtoffers zijn en niet voor de hand liggend lijken. Ze verzamelen eenvoudigweg het wachtwoord door het toetsenbord of scherm van de gebruiker te bekijken wanneer de persoon zich aanmeldt.
Een aanvaller met een goed oog kan zelfs kijken of de gebruiker om zijn bureau kijkt voor een herinnering aan het wachtwoord of het wachtwoord zelf.Beveiligingscamera's of een webcam kunnen zelfs voor dergelijke aanvallen worden gebruikt. Coffeeshops en vliegtuigen bieden de ideale scenario's voor schouder surfen.
Je kunt zelf schouder surfen. Loop eenvoudig door het kantoor en voer willekeurige steekproeven uit. Ga naar de bureaus van gebruikers en vraag hen om in te loggen op hun computers, het netwerk of zelfs hun e-mailtoepassingen. Vertel ze gewoon niet vooraf wat je aan het doen bent, of probeer te verbergen wat ze typen of waar ze naar hun wachtwoord zoeken. Wees voorzichtig hiermee en respecteer de privacy van anderen.
Tegenmaatregelen
Moedig gebruikers aan zich bewust te zijn van hun omgeving en niet hun wachtwoorden in te voeren als ze vermoeden dat iemand over hun schouder kijkt. Instrueer gebruikers dat als ze vermoeden dat iemand over hun schouders kijkt terwijl ze inloggen, ze de persoon beleefd moeten vragen weg te kijken of, indien nodig, een passend epithet gebruiken om de dader te laten zien dat de gebruiker serieus is.
Het is vaak het gemakkelijkst om gewoon in de zichtlijn van de schouder surfer te leunen om te voorkomen dat ze elk type en / of computerscherm zien. Privacy-filters van 3M werken ook uitstekend.
Inference
Inference is gewoon het raden van wachtwoorden van informatie die u kent over gebruikers, zoals hun geboortedatum, favoriete televisieprogramma of telefoonnummers. Het klinkt raar, maar criminelen bepalen vaak de wachtwoorden van hun slachtoffers door ze gewoon te raden!
De beste verdediging tegen een afleidingsaanval is om gebruikers te informeren over het maken van veilige wachtwoorden die geen informatie bevatten die eraan kan worden gekoppeld. Buiten bepaalde ingewikkeldheidsfilters voor wachtwoorden is het vaak niet eenvoudig om deze praktijk met technische controles af te dwingen. U hebt dus een degelijk beveiligingsbeleid en voortdurend beveiligingsbewustzijn en training nodig om gebruikers eraan te herinneren dat het belangrijk is om een wachtwoord veilig te maken.
Zwakke verificatie
Externe aanvallers en kwaadwillende insiders kunnen wachtwoorden verkrijgen of gewoon vermijden te gebruiken door gebruik te maken van oudere of onbeveiligde besturingssystemen waarvoor geen wachtwoord vereist is om in te loggen. Hetzelfde geldt voor een telefoon of tablet die niet is geconfigureerd om wachtwoorden te gebruiken.
Authenticatie overslaan
Op oudere besturingssystemen die om een wachtwoord vragen, kunt u op Esc op het toetsenbord drukken om meteen in te voeren. Okay, het is moeilijk om Windows 9 x -systemen tegenwoordig te vinden, maar hetzelfde geldt voor elk besturingssysteem - oud of nieuw - dat is geconfigureerd om het inlogscherm te omzeilen.
Nadat u zich hebt aangemeld, kunt u andere wachtwoorden vinden die zijn opgeslagen op plaatsen als inbel- en VPN-verbindingen en schermbeveiligingen. Dergelijke wachtwoorden kunnen heel gemakkelijk worden gekraakt met Elcomsoft's Proactive System Password Recovery-tool en Cain & Abel. Deze zwakke systemen kunnen dienen als vertrouwde -machines - wat betekent dat mensen aannemen dat ze veilig zijn - en bieden ook goede startblokken voor netwerkgebaseerde wachtwoordaanvallen.
Tegenmaatregelen
De enige echte verdediging tegen zwakke authenticatie is ervoor te zorgen dat uw besturingssystemen een wachtwoord vereisen bij het opstarten.Om dit beveiligingslek te voorkomen, minimaal een upgrade naar Windows 7 of 8 of gebruik de meest recente versies van Linux of een van de verschillende smaken van UNIX, inclusief Mac OS X.