Articles

Sei tipi di attacchi con password e come fermarli

posted by:
Ottobre 11, 2020

Gli attacchi con password sono una delle forme più comuni di violazione dei dati aziendali e personali. Un attacco password è semplicemente quando un hacker trys per rubare la password. Nel 2020, l ‘ 81% delle violazioni dei dati erano dovute a credenziali compromesse. Poiché le password possono contenere solo così tante lettere e numeri, le password stanno diventando meno sicure. Gli hacker sanno che molte password sono mal progettate, quindi gli attacchi alle password rimarranno un metodo di attacco finché vengono utilizzate le password.,

Proteggersi dagli attacchi di password con le informazioni di seguito.

Phishing

Il phishing è quando un hacker in posa come un partito affidabile ti invia un’e-mail fraudolenta, sperando di rivelare le tue informazioni personali volontariamente. A volte ti portano a falsi schermi “reimposta la password”; altre volte, i link installano codice dannoso sul tuo dispositivo. Evidenziamo diversi esempi sul blog OneLogin.

Ecco alcuni esempi di phishing:

  • Phishing regolare. Si ottiene una e-mail da quello che sembra goodwebsite.,com ti chiede di reimpostare la password, ma non hai letto da vicino ed è in realtà goodwobsite.com. Si “reimposta la password” e l’hacker ruba le credenziali.
  • Spear phishing. Un hacker ti prende di mira in modo specifico con un’e-mail che sembra provenire da un amico, un collega o un associato. Ha un breve blurb generico (“Controlla la fattura che ho allegato e fammi sapere se ha senso.”) e spera di fare clic sull’allegato dannoso.
  • Smishing e vishing., Ricevi un messaggio di testo (SMS phishing o smishing) o una telefonata (voice phishing o vishing) da un hacker che ti informa che il tuo account è stato bloccato o che è stata rilevata una frode. Inserisci le informazioni del tuo account e l’hacker le ruba.
  • Caccia alle balene. Tu o la tua organizzazione ricevete un’e-mail presumibilmente da una figura senior della tua azienda. Non fai i compiti sulla veridicità dell’e-mail e invii informazioni sensibili a un hacker.,

Per evitare attacchi di phishing, segui questi passaggi:

  • Controlla chi ha inviato l’e-mail: guarda la riga From: in ogni e-mail per assicurarti che la persona che affermano di essere corrisponda all’indirizzo e-mail che ti aspetti.
  • Ricontrolla con la fonte: in caso di dubbio, contatta la persona da cui proviene l’e-mail e assicurati che sia il mittente.
  • Verifica con il tuo team IT: il reparto IT della tua organizzazione può spesso dirti se l’email che hai ricevuto è legittima.,

Attacco man-in-the-middle

Gli attacchi Man-in-the-middle (MitM) sono quando un hacker o un sistema compromesso si trova tra due persone o sistemi senza compromessi e decifra le informazioni che stanno passando l’un l’altro, incluse le password. Se Alice e Bob stanno passando note in classe, ma Jeremy deve trasmettere quelle note, Jeremy ha l’opportunità di essere l’uomo nel mezzo., Allo stesso modo, in 2017, Equifax ha rimosso le sue app da App Store e Google Play Store perché stavano passando dati sensibili su canali insicuri in cui gli hacker avrebbero potuto rubare informazioni sui clienti.

Per prevenire attacchi man-in-the-middle:

  • Abilita la crittografia sul router. Se il modem e il router sono accessibili da chiunque fuori strada, possono utilizzare la tecnologia “sniffer” per vedere le informazioni che vengono passate attraverso di essa.
  • Utilizzare credenziali forti e autenticazione a due fattori. Molte credenziali del router non vengono mai modificate dal nome utente e dalla password predefiniti., Se un hacker ottiene l’accesso alla vostra amministrazione router, possono reindirizzare tutto il traffico ai loro server hacked.
  • Utilizzare una VPN. Una rete privata virtuale sicura (VPN) aiuterà a prevenire gli attacchi man-in-the-middle assicurando che tutti i server a cui invii i dati siano attendibili.

Attacco a forza bruta

Se una password equivale all’uso di una chiave per aprire una porta, un attacco a forza bruta sta usando una ram percossa. Un hacker può provare 2.,18 trilioni di combinazioni di password/nome utente in 22 secondi, e se la password è semplice, il tuo account potrebbe essere nel mirino.

Per prevenire attacchi di forza bruta:

  • Utilizzare una password complessa. La differenza tra un all-minuscolo, all-alfabetico, password a sei cifre e un caso misto, mixed-carattere, password di dieci cifre è enorme. Man mano che la complessità della password aumenta, la possibilità di un attacco di forza bruta di successo diminuisce.
  • Abilita e configura l’accesso remoto. Chiedi al tuo reparto IT se la tua azienda utilizza la gestione dell’accesso remoto., Uno strumento di gestione degli accessi come OneLogin ridurrà il rischio di un attacco a forza bruta.
  • Richiede l’autenticazione a più fattori. Se l’autenticazione a più fattori (MFA) è abilitata sul tuo account, un potenziale hacker può solo inviare una richiesta al tuo secondo fattore per l’accesso al tuo account. Gli hacker probabilmente non avranno accesso al tuo dispositivo mobile o all’impronta digitale, il che significa che saranno bloccati dal tuo account.,

Attacco al dizionario

Un tipo di attacco a forza bruta, gli attacchi al dizionario si basano sulla nostra abitudine di scegliere parole “di base” come password, le più comuni delle quali gli hacker hanno raccolto in “dizionari di cracking.”Gli attacchi di dizionario più sofisticati incorporano parole che sono personalmente importanti per te, come un luogo di nascita, il nome del bambino o il nome dell’animale domestico.

Per prevenire un attacco al dizionario:

  • Non usare mai una parola del dizionario come password. Se l’hai letto in un libro, non dovrebbe mai far parte della tua password., Se è necessario utilizzare una password anziché uno strumento di gestione degli accessi, considerare l’utilizzo di un sistema di gestione delle password.
  • Bloccare gli account dopo troppi errori di password. Può essere frustrante per essere bloccato fuori del tuo account quando si dimentica brevemente una password, ma l’alternativa è spesso conto insicurezza. Datevi cinque o meno tentativi prima che l’applicazione ti dice di raffreddarsi.
  • Considera di investire in un gestore di password. I gestori di password generano automaticamente password complesse che aiutano a prevenire gli attacchi del dizionario.,

Credential stuffing

Se hai subito un hack in passato, sai che le tue vecchie password erano probabilmente trapelate su un sito web poco raccomandabile. Credential stuffing sfrutta gli account che non hanno mai cambiato le loro password dopo un’irruzione nell’account. Gli hacker proveranno varie combinazioni di ex nomi utente e password, sperando che la vittima non li abbia mai cambiati.

Per prevenire il credential stuffing:

  • Monitora i tuoi account., Ci sono servizi a pagamento che monitoreranno le vostre identità online, ma è anche possibile utilizzare servizi gratuiti come haveIbeenpwned.com per verificare se il tuo indirizzo email è collegato a eventuali perdite recenti.
  • Cambia regolarmente le tue password. Più a lungo una password rimane invariata, più è probabile che un hacker troverà un modo per decifrarlo.
  • Utilizzare un gestore di password. Come un attacco dizionario, molti attacchi credential stuffing possono essere evitati avendo una password forte e sicura. Un gestore di password aiuta a mantenere quelli.,

Keylogger

I keylogger sono un tipo di software dannoso progettato per tenere traccia di ogni battitura e segnalarlo a un hacker. In genere, un utente scaricherà il software credendo che sia legittimo, solo per installare un keylogger senza preavviso.

Per proteggersi dai keylogger:

  • Controlla il tuo hardware fisico. Se qualcuno ha accesso alla tua workstation, può installare un keylogger hardware per raccogliere informazioni sulle tue sequenze di tasti., Ispezionare regolarmente il computer e l’area circostante per assicurarsi di conoscere ogni pezzo di hardware.
  • Eseguire una scansione antivirus. Utilizzare un software antivirus affidabile per eseguire la scansione del computer su base regolare. Le aziende antivirus mantengono i loro record dei keylogger di malware più comuni e li contrassegneranno come pericolosi.

Prevenire attacchi di password

Il modo migliore per risolvere un attacco di password è quello di evitare uno in primo luogo., Chiedi al tuo professionista IT di investire in modo proattivo in una politica di sicurezza comune che include:

  • Autenticazione a più fattori. L’utilizzo di un token fisico (come un Yubikey) o di un dispositivo personale (come un telefono cellulare) per autenticare gli utenti garantisce che le password non siano l’unica porta di accesso.

  • Accesso remoto. L’utilizzo di una piattaforma di accesso remoto intelligente come OneLogin significa che i singoli siti Web non sono più la fonte di fiducia degli utenti. Invece, OneLogin assicura che l’identità dell’utente sia confermata, quindi li accede.

  • Dati biometrici., Un attore malintenzionato troverà molto difficile replicare la tua impronta digitale o la forma del viso. Abilitare l’autenticazione biometrica trasforma la tua password in uno dei diversi punti di fiducia che un hacker deve superare.

Related Posts

5 volte quando si dovrebbe saltare l’allenamento e prendere un giorno di riposo

Febbraio 24, 2021

È Binge Drinking al college vale la pena una vita di danni e problemi di salute?

Febbraio 20, 2021

Quanto dura l’olio in una friggitrice?

Settembre 11, 2020

Leave a Reply