Articles

sześć rodzajów ataków haseł i jak je zatrzymać

posted by:
11 października, 2020

ataki haseł są jedną z najczęstszych form naruszenia danych korporacyjnych i osobistych. Atak hasłem jest po prostu wtedy, gdy haker próbuje ukraść hasło. W 2020 r. 81% naruszeń danych wynikało z naruszonych danych uwierzytelniających. Ponieważ hasła mogą zawierać tylko tyle liter i cyfr, hasła stają się mniej bezpieczne. Hakerzy wiedzą, że wiele haseł jest źle zaprojektowanych, więc ataki na hasła pozostaną metodą ataku tak długo, jak będą używane.,

chroń się przed atakami hasłami za pomocą poniższych informacji.

Phishing

Phishing polega na tym, że haker udający godną zaufania osobę wysyła Ci fałszywy e-mail z nadzieją, że dobrowolnie ujawnisz swoje dane osobowe. Czasami prowadzą do fałszywych ekranów „Resetuj hasło”; innym razem linki instalują złośliwy kod na urządzeniu. Wyróżniamy kilka przykładów na blogu OneLogin.

Oto kilka przykładów phishingu:

  • regularny phishing. Otrzymasz e-mail z tego, co wygląda jak goodwebsite.,com prosi o zresetowanie hasła, ale nie przeczytałeś uważnie i to jest goodwobsite.com. ty” zresetować hasło ” i haker kradnie swoje poświadczenia.
  • Spear phishing. Haker kieruje do Ciebie wiadomość e-mail, która wydaje się być od przyjaciela, współpracownika lub współpracownika. Ma krótki, ogólny blurb („Sprawdź fakturę, którą załączam i daj mi znać, jeśli ma to sens.”) i ma nadzieję, że klikniesz złośliwy załącznik.
  • smashing and vishing., Otrzymasz wiadomość tekstową (SMS phishing lub smishing) lub rozmowę telefoniczną (voice phishing lub vishing) od hakera, który poinformuje cię, że Twoje konto zostało zamrożone lub wykryto oszustwo. Wprowadzasz informacje o swoim koncie, a haker je kradnie.
  • wielorybnictwo. Ty lub Twoja organizacja otrzymujesz wiadomość e-mail rzekomo od wyższej osoby w Twojej firmie. Nie odrabiasz lekcji na temat prawdziwości wiadomości e-mail i nie wysyłasz poufnych informacji hakerowi.,

aby uniknąć ataków phishingowych, wykonaj następujące kroki:

  • Sprawdź, kto wysłał wiadomość e-mail: spójrz na linię From: w każdej wiadomości e-mail, aby upewnić się, że osoba, za którą się podaje, pasuje do oczekiwanego adresu e-mail.
  • sprawdź ponownie źródło: w razie wątpliwości skontaktuj się z osobą, od której pochodzi wiadomość e-mail i upewnij się, że to ona była nadawcą.
  • skontaktuj się ze swoim zespołem IT: dział IT Twojej organizacji często może Ci powiedzieć, czy otrzymany e-mail jest zgodny z prawem.,

atak typu man-in-the-middle

atak typu man-in-the-middle (MitM) polega na tym, że haker lub skompromitowany system znajduje się pomiędzy dwoma bezkompromisowymi osobami lub systemami i odszyfruje informacje, które przekazują sobie nawzajem, w tym hasła. Jeśli Alice i Bob przekazują notatki w klasie, ale Jeremy musi przekazać te notatki, Jeremy ma szansę być człowiekiem w środku., Podobnie w 2017 roku Equifax usunął swoje aplikacje ze sklepu App Store i Google Play, ponieważ przekazywały poufne dane przez niebezpieczne kanały, w których hakerzy mogli ukraść informacje o klientach.

aby zapobiec atakom typu man-in-the-middle:

  • Włącz szyfrowanie na routerze. Jeśli dostęp do modemu i routera może uzyskać każdy poza ulicą, może on użyć technologii „sniffer”, aby zobaczyć informacje, które są przez nią przekazywane.
  • używaj silnych poświadczeń i uwierzytelniania dwuskładnikowego. Wiele poświadczeń routera nigdy nie jest zmienianych z domyślnej nazwy użytkownika i hasła., Jeśli haker uzyska dostęp do administracji routerem, może przekierować cały twój ruch na zhakowane serwery.
  • użyj VPN. Bezpieczna wirtualna sieć prywatna (VPN) pomoże zapobiegać atakom typu man-in-the-middle, zapewniając, że wszystkie serwery, do których wysyłasz dane, są zaufane.

atak Brute force

Jeśli hasło jest równoznaczne z użyciem klucza do otwarcia drzwi, atak brute force używa tarana. Haker może spróbować 2.,18 bilionów kombinacji hasła/nazwy użytkownika w 22 sekundy, a jeśli hasło jest proste, Twoje konto może być na celowniku.

aby zapobiec atakom brute force:

  • użyj złożonego hasła. Różnica między sześciocyfrowym, sześciocyfrowym, sześciocyfrowym, sześciocyfrowym, sześciocyfrowym, sześciocyfrowym, sześciocyfrowym, sześciocyfrowym, sześciocyfrowym hasłem jest ogromna. Wraz ze wzrostem złożoności hasła zmniejsza się szansa na udany atak brute force.
  • Włącz i skonfiguruj dostęp zdalny. Zapytaj swój dział IT, czy Twoja firma korzysta z zarządzania dostępem zdalnym., Narzędzie do zarządzania dostępem, takie jak OneLogin, zmniejszy ryzyko ataku brute-force.
  • wymaga uwierzytelniania wieloskładnikowego. Jeśli na twoim koncie jest włączona uwierzytelnianie wieloskładnikowe (MFA), potencjalny haker może wysłać żądanie dostępu do Twojego konta tylko do drugiego czynnika. Hakerzy prawdopodobnie nie będą mieli dostępu do Twojego urządzenia mobilnego lub odcisku kciuka, co oznacza, że zostaną zablokowani na twoim koncie.,

atak słownikowy

atak słownikowy typu brute force polega na naszym nawyku wybierania „podstawowych” słów jako hasła, z których najczęściej hakerzy zestawiali w „łamanie słowników”.”Bardziej wyrafinowane ataki słownikowe zawierają słowa, które są dla Ciebie ważne, takie jak miejsce urodzenia, imię dziecka lub imię zwierzęcia.

aby zapobiec atakowi słownikowemu:

  • nigdy nie używaj słowa słownikowego jako hasła. Jeśli przeczytałeś go w książce, nigdy nie powinien być częścią twojego hasła., Jeśli musisz użyć hasła zamiast narzędzia do zarządzania dostępem, rozważ użycie systemu zarządzania hasłami.
  • Zablokuj konta po zbyt wielu błędach haseł. Zablokowanie konta może być frustrujące, gdy na krótko zapomnisz hasła, ale alternatywą jest często brak bezpieczeństwa konta. Daj sobie pięć lub mniej prób, zanim aplikacja każe ci ochłonąć.
  • rozważ zainwestowanie w menedżera haseł. Menedżery haseł automatycznie generują złożone hasła, które zapobiegają atakom słownikowym.,

wypchanie poświadczeń

Jeśli w przeszłości doświadczyłeś włamania, wiesz, że twoje stare hasła prawdopodobnie wyciekły na złą stronę internetową. Wypychanie poświadczeń wykorzystuje konta, na których nigdy nie zmieniono haseł po włamaniu do konta. Hakerzy będą próbować różnych kombinacji dawnych nazw użytkowników i haseł, mając nadzieję, że ofiara nigdy ich nie zmieni.

aby zapobiec wypychaniu poświadczeń:

  • monitoruj swoje konta., Istnieją płatne usługi, które będą monitorować twoją tożsamość online, ale możesz również korzystać z bezpłatnych usług, takich jak haveIbeenpwned.com aby sprawdzić, czy twój adres e-mail jest połączony z ostatnimi wyciekami.
  • regularnie zmieniaj hasła. Im dłużej jedno hasło pozostaje niezmienione, tym bardziej prawdopodobne jest, że haker znajdzie sposób na jego złamanie.
  • Użyj Menedżera haseł. Podobnie jak atak słownikowy, wiele ataków poświadczeń można uniknąć, mając silne i bezpieczne hasło. Menedżer haseł pomaga w ich utrzymaniu.,

keyloggery

keyloggery to rodzaj złośliwego oprogramowania przeznaczonego do śledzenia każdego naciśnięcia klawisza i zgłaszania go hakerowi. Zazwyczaj użytkownik pobierze oprogramowanie wierząc, że jest legalne, tylko po to, aby zainstalować keylogger bez uprzedzenia.

aby zabezpieczyć się przed keyloggerami:

  • sprawdź swój fizyczny sprzęt. Jeśli ktoś ma dostęp do twojej stacji roboczej, może zainstalować keylogger sprzętowy, aby zbierać informacje o twoich naciśnięciach klawiszy., Regularnie sprawdzaj komputer i otoczenie, aby upewnić się, że znasz każdy element sprzętu.
  • Uruchom skanowanie antywirusowe. Użyj renomowanego oprogramowania antywirusowego, aby regularnie skanować komputer. Firmy antywirusowe przechowują swoje rejestry najczęstszych keyloggerów złośliwego oprogramowania i oznaczą je jako niebezpieczne.

zapobieganie atakom hasłem

najlepszym sposobem na naprawienie ataku hasłem jest uniknięcie go w pierwszej kolejności., Zapytaj swojego specjalistę IT o aktywne inwestowanie we wspólną politykę bezpieczeństwa, która obejmuje:

  • uwierzytelnianie wieloskładnikowe. Korzystanie z tokena fizycznego (takiego jak Yubikey) lub urządzenia osobistego (takiego jak telefon komórkowy) do uwierzytelniania użytkowników zapewnia, że hasła nie są jedyną bramą dostępu.

  • zdalny dostęp. Korzystanie z inteligentnej platformy zdalnego dostępu, takiej jak OneLogin, oznacza, że poszczególne witryny nie są już źródłem zaufania użytkowników. Zamiast tego OneLogin zapewnia potwierdzenie tożsamości użytkownika, a następnie loguje go.

  • Biometria., Złośliwemu aktorowi bardzo trudno będzie odtworzyć odcisk palca lub kształt twarzy. Włączenie uwierzytelniania biometrycznego sprawia, że hasło staje się tylko jednym z kilku punktów zaufania, które haker musi pokonać.

Related Posts

jak czyścić szczotkę do Włosów: 3 proste samouczki do dezynfekcji szczotek i grzebieni

6 grudnia, 2020

Zachowaj Młode dłonie: 6 czynności i zakazów

29 września, 2020

Wayne State University (Polski)

25 stycznia, 2021

Leave a Reply