Os 8 truques mais comuns usados para hackear senhas

 Quer descobrir a senha de alguém? Revise suas escolhas de vida. Aprenda a proteger sua senha contra hackers.


Quando você ouve "falha de segurança", o que me vem à mente? Um hacker malévolo sentado em frente a telas cobertas de texto digital estilo Matrix? Ou um adolescente que mora no porão que não vê a luz do dia há três semanas? Que tal um supercomputador poderoso tentando hackear o mundo inteiro?

Hackear é tudo sobre uma coisa: sua senha. Se alguém pode adivinhar sua senha, não precisa de técnicas de hacking chiques e supercomputadores. Eles vão fazer login, agindo como você. Se sua senha é curta e simples, é o fim do jogo.

Existem oito táticas comuns que os hackers usam para hackear sua senha.

1. Hack dicionário

top 20 senhas vazadas 2016

O primeiro no guia de táticas de hacking de senhas comuns é o ataque ao dicionário. Por que é chamado de ataque de dicionário? Porque ele tenta automaticamente cada palavra em um "dicionário" definido contra a senha. O dicionário não é estritamente o que você usou na escola.

Não. Este dicionário é na verdade um pequeno arquivo contendo as combinações de senha mais usadas, também. Isso inclui 123456, qwerty, senha, iloveyou, e clássico de todos os tempos, hunter2.

A tabela acima detalha as senhas mais vazadas em 2016. A tabela abaixo detalha as senhas mais vazadas em 2020.

Observe as semelhanças entre os dois — e certifique-se de que você não use essas opções incrivelmente simples.

top 20 senhas vazadas 2020

Pros: Fast; will usually unlock some woefully protected accounts.

Contras: Mesmo senhas ligeiramente mais fortes permanecerão seguras.

Mantenha-se seguro: Use uma senha de uso único forte para cada conta, em conjunto com um aplicativo de gerenciamento de senhas. O gerenciador de senhas permite que você armazene suas outras senhas em um repositório. Então você pode usar uma única senha ridiculamente forte para cada site.

Relacionado: Google Password Manager: Como começar

2. Força Bruta

Em seguida, o ataque de força bruta, pelo qual um atacante tenta todas as combinações de caráter possíveis. As senhas tentadas corresponderão às especificações das regras de complexidade, por exemplo, incluindo um maiústo, um caso inferior, decimais de Pi, seu pedido de pizza, e assim por diante.

Um ataque de força bruta também tentará as combinações de caracteres alfanuméricos mais usadas primeiro também. Estes incluem as senhas listadas anteriormente, bem como 1q2w3e4r5t, zxcvbnm e qwertyuiop. Pode levar muito tempo para descobrir uma senha usando este método, mas isso depende inteiramente da complexidade da senha.

Profissionais: Teoricamente, ele vai quebrar qualquer senha por meio de tentar cada combinação.

Contras: Dependendo do comprimento e dificuldade da senha, pode levar muito tempo. Jogue algumas variáveis como $, &, {, ou ], e descobrir a senha se torna extremamente difícil.

Mantenha-se seguro: Use sempre uma combinação variável de caracteres e, sempre que possível, introduza símbolos extras para aumentar a complexidade.

3. Phishing

Isso não é estritamente um "hack", mas cair presa a uma tentativa de phishing ou spear-phishing geralmente terminará mal. E-mails gerais de phishing enviam bilhões para todos os tipos de usuários de internet em todo o mundo.

Um e-mail de phishing geralmente funciona assim:

  1. O usuário-alvo recebe um e-mail falso que alega ser de uma grande organização ou empresa.
  2. O e-mail falsificado exige atenção imediata, apresentando um link para um site.
  3. Este link realmente se conecta a um portal de login falso, ridicularizado para aparecer exatamente o mesmo que o site legítimo.
  4. O usuário de destino desavisado insere suas credenciais de login e é redirecionado ou orientado a tentar novamente.
  5. As credenciais do usuário são roubadas, vendidas ou usadas nefastamente (ou ambas).

O volume diário de spam enviado em todo o mundo permanece alto, representando mais da metade de todos os e-mails enviados globalmente. Além disso, o volume de anexos maliciosos também é alto, com a Kaspersky notando mais de 92 milhões de anexos maliciosos de janeiro a junho de 2020. Lembre-se, isso é só para kaspersky, então o número real é muito maior.

kaspersky anexos maliciosos jan junho 2020

Back in 2017, the biggest phishing lure was a fake invoice. However, in 2020, the COVID-19 pandemic provided a new phishing threat.

In April 2020, not long after many countries went into pandemic lockdown, Google announced it was blocking over 18 million COVID-19 themed malicious spam and phishing emails per day. Huge numbers of these emails use official government or health organization branding for legitimacy and catch victims off-guard.

Pros: The user literally hands over their login information, including passwords—relatively high hit rate, easily tailored to specific services or specific people in a spear-phishing attack.

Cons: Spam emails are easily filtered, spam domains blacklisted, and major providers like Google constantly update protections.

Stay safe: Stay skeptical of emails, and increase your spam filter to its highest setting or, better still, use a proactive whitelist. Use a link checker to ascertain if an email link is legitimate before clicking.

4. Social Engineering

Social engineering is essentially phishing in the real world, away from the screen.

A core part of any security audit is gauging what the entire workforce understands. For instance, a security company will phone the business they are auditing. The "attacker" tells the person on the phone they are the new office tech support team, and they need the latest password for something specific.

An unsuspecting individual may hand over the keys without a pause for thought.

The scary thing is how often this works. Social engineering has existed for centuries. Being duplicitous to gain entry to a secure area is a common method of attack and one that is only guarded against with education.

This is because the attack won't always ask directly for a password. It could be a fake plumber or electrician asking for entry to a secure building, and so on.

When someone says they were tricked into revealing their password, it is often the result of social engineering.

Pros: Skilled social engineers can extract high-value information from a range of targets. It can be deployed against almost anyone, anywhere. It's extremely stealthy.

Cons: A social engineering failure can raise suspicions about an impending attack, and uncertainty as to whether the correct information is procured.

Stay safe: This is a tricky one. A successful social engineering attack will be complete by the time you realize anything is wrong. Education and security awareness is a core mitigation tactic. Avoid posting personal information that could be later used against you.

5. Rainbow Table

md5 hash password cracking

A rainbow table is usually an offline password attack. For example, an attacker has acquired a list of user names and passwords, but they're encrypted. The encrypted password is hashed. This means it looks completely different from the original password.

For instance, your password is (hopefully not!) logmein. The known MD5 hash for this password is "8f4047e3233b39e4444e1aef240e80aa."

Gibberish para você e eu. Mas, em certos casos, o invasor executará uma lista de senhas de texto simples através de um algoritmo de hashing, comparando os resultados com um arquivo de senha criptografado. Em outros casos, o algoritmo de criptografia é vulnerável, e a maioria das senhas já estão quebradas, como o MD5 (daí porque conhecemos o hash específico para "logmein".

Aqui onde a mesa do arco-íris entra em sua própria. Em vez de ter que processar centenas de milhares de senhas potenciais e combinar seu hash resultante, uma tabela arco-íris é um enorme conjunto de valores de hash específicos de algoritmo pré-compensados.

O uso de uma mesa arco-íris diminui drasticamente o tempo necessário para quebrar uma senha hashed — mas não é perfeita. Os hackers podem comprar mesas de arco-íris pré-preenchidas povoadas com milhões de combinações potenciais.

Profissionais: Pode descobrir senhas complexas em um curto espaço de tempo; concede ao hacker muito poder sobre certos cenários de segurança.

Contras: Requer uma enorme quantidade de espaço para armazenar a enorme (às vezes terabytes) mesa de arco-íris. Além disso, os atacantes estão limitados aos valores contidos na tabela (caso contrário, eles devem adicionar outra tabela inteira).

Mantenha-se seguro: Outra complicada. Tabelas arco-íris oferecem uma ampla gama de potencial de ataque. Evite quaisquer sites que usem SHA1 ou MD5 como seu algoritmo de hashing de senha. Evite quaisquer sites que limitem você a senhas curtas ou restrinja os caracteres que você pode usar. Use sempre uma senha complexa.

RELACIONADO:Como Saber Se Um Site Armazena Senhas Como Texto Simples (E O Que Fazer)

6. Malware/Keylogger

Outra maneira segura de perder suas credenciais de login é cair em falta de malware. O malware está em toda parte, com potencial para causar danos maciços. Se a variante de malware possui um keylogger, você pode encontrar todas as suas contas comprometidas.

Alternativamente, o malware pode direcionar especificamente dados privados ou introduzir um Trojan de acesso remoto para roubar suas credenciais.

Profissionais: Milhares de variantes de malware, muitas personalizáveis, com vários métodos fáceis de entrega. Uma boa chance de um alto número de alvos sucumbir a pelo menos uma variante. Ele pode passar despercebido, permitindo a coleta adicional de dados privados e credenciais de login.

Contras: Chance de que o malware não funcione ou esteja em quarentena antes de acessar dados; não garante que os dados são úteis.

Mantenha-se seguroInstale e atualize regularmente seu software antivírus e antimalware. Considere cuidadosamente suas fontes de download. Não clique em pacotes de instalação contendo empacotamento e muito mais. Afaste-se de locais nefastos (mais fácil dizer do que fazer). Use ferramentas de bloqueio de script para impedir scripts maliciosos.

7. Aranha

Aranhando laços no ataque do dicionário. Se um hacker atingir uma instituição ou empresa específica, ele pode tentar uma série de senhas relacionadas à própria empresa. O hacker poderia ler e reunir uma série de termos relacionados — ou usar uma aranha de pesquisa para fazer o trabalho para eles.

Você já deve ter ouvido o termo "aranha" antes. Essas aranhas de pesquisa são extremamente semelhantes às que rastejam pela internet, indexando conteúdo para mecanismos de busca. A lista de palavras personalizadas é então usada contra contas de usuários na esperança de encontrar uma correspondência.

Profissionais: Pode potencialmente desbloquear contas de indivíduos de alto escalão dentro de uma organização. Relativamente fácil de montar e adiciona uma dimensão extra a um ataque de dicionário.

Contras: Pode acabar infrutífera se a segurança organizacional estiver bem configurada.

Mantenha-se seguro: Novamente, use apenas senhas fortes de uso único compostas de strings aleatórias; nada ligando à sua persona, negócios, organização, e assim por diante.

8. Surfe no ombro

A opção final é uma das mais básicas. E se alguém olhar por cima do seu ombro enquanto você digita sua senha?

Surfar no ombro parece um pouco ridículo, mas acontece. Se você está trabalhando em um café movimentado no centro da cidade e não prestando atenção ao seu entorno, alguém pode chegar perto o suficiente para anotar sua senha como você digita.

Profissionais: Abordagem de baixa tecnologia para roubar uma senha.

Contras: Deve identificar o alvo antes de descobrir a senha; poderiam revelar-se no processo de roubo.

Mantenha-se seguro: Mantenha-se atento às pessoas ao seu redor ao digitar sua senha. Cubra o teclado e obscureça as teclas durante a entrada.

Use sempre uma senha forte, única e de uso único

Então, como você impede um hacker de roubar sua senha? A resposta realmente curta é que você não pode realmente estar 100% seguro. As ferramentas que os hackers usam para roubar seus dados estão mudando o tempo todo e há inúmeros vídeos e tutoriais sobre adivinhar senhas ou aprender a hackear uma senha.

Uma coisa é certa: usar uma senha forte, única e de uso único nunca fez mal a ninguém.

Comentários

Postar um comentário

Postagens mais visitadas deste blog

Pulo do Gato Eletrônica

Imagem
  MICRO AMPLIFICADOR DE VÁLVULA Este artigo descreve a construção de um mini-amplificador mono de baixa potência feito com válvulas e funcionando com apenas 12V. Ele usa como válvula de saída o 12K5, projetado para os rádios automáticos dos anos 50. Antes de começar, faço um pouco de história. Durante minha infância, alguns dispositivos na minha casa tinham válvulas, por exemplo o amado toca-discos com o rádio da minha mãe (um armatoste) e a televisão. Desde criança eu gostava de "me tornar o inventor" e uma vez eu absurdamente propus, para tentar consertar a TV na minha casa (eu tinha 7 anos!!). O choque elétrico que peguei me fez ver as estrelas e desde   então, sempre tive muito cuidado (para dizer o mínimo) com o que considero alta tensão (mais de 30V). Aparelhos válvulas eu sempre vi como objetos fora do tempo, com montagens aparentemente caóticas, sem circuitos impressos, sem chassis metálicos isolados, cheios de bobinas de cera, transformadores e capacitores gigant...
Leia mais

Receptor de FM com o TDA7000

Imagem
  Bom... isso aqui não tem muito a ver com radioamadorismo, mas as história é legal. Lá por volta de 1989 eu comprei um TDA7000 na Eletrônica B.B. (não existe mais...) que era uma loja de material eletrônico aqui da cidade. Se não me engano o que originou a compra deste CI foi um projeto publicado na revista Saber Eletrônica.    Naquela época, eu com meus 15 anos devo ter juntado moedinhas pra comprar esse CI eheh. O fato é que comprado o CI é quase certo que eu devo ter empacado na placa de circuito impresso, já que naquela época eu não sabia que caneta de retroprojetor era a mesma caneta que era vendida a peso de ouro na lojinha de eletrônica.    E claro, a única forma que eu conhecia pra fazer placa era desenhando na caneta ou pior... na base do pincel e esmalte de unha! O fato é que o CI acabou engavetado e a idéia passou. Alguns anos mais tarde eu devo ter tentado montar o radinho usando aquelas porcarias de placa universal. A julgar pela foto ao...
Leia mais

As melhores alternativas gratuitas para nero cd/dvd burner

Imagem
  Não gaste dinheiro com uma ferramenta de gravação de CD/DVD! Um aplicativo freeware pode ser tudo o que você precisa. Aqui compilamos cinco alternativas ao Nero Burning ROM para o seu PC Windows. Nero costumava ser uma das melhores e mais populares software para queima de CDs ou DVDs. Mas é caro e volumoso. Além disso, está inchado com características que você realmente não precisa. Você provavelmente não terá que gastar dinheiro em uma ferramenta de gravação de CD/DVD! Por que não experimenta um aplicativo de gravação de CD/DVD freeware? Pode ser tudo que você precisa. Aqui compilamos cinco alternativas ao Nero Burning ROM para o seu PC Windows. 1.  InfraRecorder Esta é a minha alternativa Nero. Eu uso em parte porque o InfraRecorder oferece uma interface simples e principalmente porque é  de código aberto . Além disso, inclui tudo o que você esperaria em uma suíte de gravação de CD/DVD -- e muito mais. Alguns destaques desta alternativa nero incluem: su...
Leia mais