Sechs Arten von Passwortangriffen und wie man sie stoppt

Passwortangriffe sind eine der häufigsten Formen der Verletzung von Unternehmens-und personenbezogenen Daten. Ein Passwort-Angriff ist einfach, wenn ein Hacker versucht, Ihr Passwort zu stehlen. Im Jahr 2020 waren 81% der Datenverletzungen auf kompromittierte Anmeldeinformationen zurückzuführen. Da Passwörter nur so viele Buchstaben und Zahlen enthalten können, werden Passwörter immer weniger sicher. Hacker wissen, dass viele Passwörter schlecht gestaltet sind, daher bleiben Passwortangriffe eine Angriffsmethode, solange Passwörter verwendet werden.,

Schützen Sie sich mit den folgenden Informationen vor Passwortangriffen.

Phishing

Phishing ist, wenn ein Hacker, der sich als vertrauenswürdige Partei ausgibt, Ihnen eine betrügerische E-Mail sendet, in der Hoffnung, dass Sie Ihre persönlichen Daten freiwillig preisgeben. Manchmal führen sie zu gefälschten“ Reset your Password “ – Bildschirmen; Andere Male installieren die Links bösartigen Code auf Ihrem Gerät. Wir heben einige Beispiele im OneLogin-Blog hervor.

Hier sind einige Beispiele für Phishing:

• Reguläres Phishing. Sie erhalten eine E-Mail von dem, was wie goodwebsite aussieht.,com bittet Sie, Ihr Passwort zurückzusetzen, aber Sie haben nicht genau gelesen und es ist tatsächlich goodwobsite.com. Sie „setzen Ihr Passwort zurück“ und der Hacker stiehlt Ihre Anmeldeinformationen.
• Speer Phishing. Ein Hacker richtet sich speziell an Sie mit einer E-Mail, die von einem Freund, Kollegen oder Mitarbeiter stammt. Es hat eine kurze, generische Unschärfe („Schauen Sie sich die Rechnung an, die ich angehängt habe, und lassen Sie mich wissen, ob es Sinn macht.“) und hofft, dass Sie auf den bösartigen Anhang klicken.
• Smishing und vishing., Sie erhalten eine SMS (SMS-Phishing oder Smishing) oder einen Anruf (Voice-Phishing oder Vishing) von einem Hacker, der Sie darüber informiert, dass Ihr Konto gesperrt oder Betrug festgestellt wurde. Sie geben Ihre Kontoinformationen ein und der Hacker stiehlt sie.
• Walfang. Sie oder Ihre Organisation erhalten eine E-Mail, die angeblich von einer leitenden Person in Ihrem Unternehmen stammt. Sie machen Ihre Hausaufgaben nicht in Bezug auf die Richtigkeit der E-Mail und senden vertrauliche Informationen an einen Hacker.,

Um Phishing-Angriffe zu vermeiden, führen Sie die folgenden Schritte aus:

• Überprüfen Sie, wer die E-Mail gesendet hat: Schauen Sie sich die From: – Zeile in jeder E-Mail an, um sicherzustellen, dass die Person, von der sie behaupten, sie zu sein, mit der erwarteten E-Mail-Adresse übereinstimmt.
• Überprüfen Sie die Quelle doppelt: Wenden Sie sich im Zweifelsfall an die Person, von der die E-Mail stammt, und stellen Sie sicher, dass sie der Absender war.
• Melden Sie sich bei Ihrem IT-Team an: Die IT-Abteilung Ihres Unternehmens kann Ihnen häufig mitteilen, ob die empfangene E-Mail legitim ist.,

Man-in-the-middle attack

Man-in-the-Middle (MitM) Angriffe sind, wenn ein Hacker oder kompromittiertes System zwischen zwei kompromisslosen Personen oder Systemen sitzt und die Informationen entschlüsselt, die sie aneinander weitergeben, einschließlich Passwörter. Wenn Alice und Bob im Unterricht Notizen machen, aber Jeremy diese Notizen weiterleiten muss, hat Jeremy die Möglichkeit, der Mann in der Mitte zu sein., In ähnlicher Weise entfernte Equifax 2017 seine Apps aus dem App Store und Google Play Store, weil sie vertrauliche Daten über unsichere Kanäle weitergaben, auf denen Hacker Kundeninformationen gestohlen haben könnten.

um Zu verhindern man-in-the-middle-Angriffe:

• Aktivieren Sie die Verschlüsselung auf Ihrem router. Wenn auf Ihr Modem und Ihren Router von jedermann außerhalb der Straße zugegriffen werden kann, können sie die „Sniffer“ – Technologie verwenden, um die Informationen anzuzeigen, die durch sie geleitet werden.
• Verwenden Sie starke Anmeldeinformationen und Zwei-Faktor-Authentifizierung. Viele Router-Anmeldeinformationen werden nie vom Standard-Benutzernamen und Passwort geändert., Wenn ein Hacker Zugriff auf Ihre Routerverwaltung erhält, kann er Ihren gesamten Datenverkehr auf seine gehackten Server umleiten.
• Verwenden Sie ein VPN. Ein sicheres Virtual Private Network (VPN) verhindert Man-in-the-Middle-Angriffe, indem sichergestellt wird, dass alle Server, an die Sie Daten senden, vertrauenswürdig sind.

Brute-Force-Angriff

Wenn ein Passwort der Verwendung eines Schlüssels zum Öffnen einer Tür entspricht, verwendet ein Brute-Force-Angriff einen Rammbock. Ein Hacker kann 2 versuchen.,18 billionen Passwort / Benutzername Kombinationen in 22 Sekunden, und wenn Ihr Passwort einfach ist, könnte Ihr Konto im Fadenkreuz sein.

Um Brute-Force-Angriffe zu verhindern:

• Verwenden Sie ein komplexes Passwort. Der Unterschied zwischen einem sechsstelligen Passwort in Kleinbuchstaben und einem zehnstelligen Passwort mit gemischten Buchstaben in gemischten Buchstaben ist enorm. Wenn die Komplexität Ihres Passworts zunimmt, verringert sich die Wahrscheinlichkeit eines erfolgreichen Brute-Force-Angriffs.
• Fernzugriff aktivieren und konfigurieren. Fragen Sie Ihre IT-Abteilung, ob Ihr Unternehmen Remote Access Management verwendet., Ein Zugriffsmanagementtool wie OneLogin mindert das Risiko eines Brute-Force-Angriffs.
• Erfordern multi-faktor authentifizierung. Wenn die Multi-Faktor-Authentifizierung (MFA) in Ihrem Konto aktiviert ist, kann ein potenzieller Hacker nur eine Anfrage an Ihren zweiten Faktor für den Zugriff auf Ihr Konto senden. Hacker haben wahrscheinlich keinen Zugriff auf Ihr Mobilgerät oder Ihren Fingerabdruck, was bedeutet, dass sie von Ihrem Konto ausgeschlossen sind.,

Wörterbuchangriff

Eine Art Brute-Force-Angriff, Wörterbuchangriffe verlassen sich auf unsere Gewohnheit,“ grundlegende „Wörter als unser Passwort auszuwählen, von denen Hacker am häufigsten in „Cracking“ Wörterbücher zusammengefasst haben.“Anspruchsvollere Wörterbuchangriffe enthalten Wörter, die für Sie persönlich wichtig sind, wie ein Geburtsort, der Name eines Kindes oder der Name eines Haustieres.

Um einen Wörterbuchangriff zu verhindern:

• Verwenden Sie niemals ein Wörterbuchwort als Passwort. Wenn Sie es in einem Buch gelesen haben, sollte es niemals Teil Ihres Passworts sein., Wenn Sie anstelle eines Zugriffsmanagementtools ein Kennwort verwenden müssen, sollten Sie ein Kennwortverwaltungssystem verwenden.
• Sperren Sie Konten nach zu vielen Passwortfehlern. Es kann frustrierend sein, aus Ihrem Konto gesperrt zu werden, wenn Sie kurz ein Passwort vergessen, aber die Alternative ist oft Kontounsicherheit. Geben Sie sich fünf oder weniger Versuche, bevor Ihre Anwendung Ihnen sagt, abkühlen.
• Erwägen Sie, in einen Passwort-Manager zu investieren. Passwortmanager generieren automatisch komplexe Passwörter, die Wörterbuchangriffe verhindern.,

Credential stuffing

Wenn Sie in der Vergangenheit einen Hack erlitten haben, wissen Sie, dass Ihre alten Passwörter wahrscheinlich auf eine anrüchige Website durchgesickert sind. Credential Stuffing nutzt Konten, bei denen ihre Passwörter nach einem Kontoeinbruch nie geändert wurden. Hacker werden verschiedene Kombinationen ehemaliger Benutzernamen und Passwörter ausprobieren, in der Hoffnung, dass das Opfer sie nie geändert hat.

Um das Füllen von Anmeldeinformationen zu verhindern:

• Überwachen Sie Ihre Konten., Es gibt kostenpflichtige Dienste, die Ihre Online-Identitäten überwachen, aber Sie können auch kostenlose Dienste wie haveIbeenpwned.com um zu überprüfen, ob Ihre E-Mail-Adresse mit aktuellen Lecks verbunden ist.
• Ändern Sie regelmäßig Ihre Passwörter. Je länger ein Passwort unverändert bleibt, desto wahrscheinlicher ist es, dass ein Hacker einen Weg findet, es zu knacken.
• Verwenden Sie einen Passwort-manager. Wie bei einem Wörterbuchangriff können viele Credential Stuffing-Angriffe durch ein starkes und sicheres Passwort vermieden werden. Ein Passwort-Manager hilft, diese zu pflegen.,

Keylogger

Keylogger sind eine Art bösartiger Software, mit der jeder Tastendruck verfolgt und an einen Hacker gemeldet werden kann. In der Regel lädt ein Benutzer die Software herunter und glaubt, dass sie legitim ist, nur um einen Keylogger ohne vorherige Ankündigung zu installieren.

Um sich vor Keyloggern zu schützen:

• Überprüfen Sie Ihre physische Hardware. Wenn jemand Zugriff auf Ihre Workstation hat, kann er einen Hardware-Keylogger installieren, um Informationen über Ihre Tastatureingaben zu sammeln., Überprüfen Sie regelmäßig Ihren Computer und die Umgebung, um sicherzustellen, dass Sie jedes Stück Hardware kennen.
• Führen Sie einen Virenscan aus. Verwenden Sie eine seriöse Antivirensoftware, um Ihren Computer regelmäßig zu scannen. Antivirus-Unternehmen führen ihre Aufzeichnungen über die häufigsten Malware-Keylogger und kennzeichnen sie als gefährlich.

Verhindern von Passwortangriffen

Der beste Weg, einen Passwortangriff zu beheben, besteht darin, einen an erster Stelle zu vermeiden., Fragen Sie Ihren IT-Fachmann nach proaktiven Investitionen in eine gemeinsame Sicherheitsrichtlinie, die Folgendes umfasst:

• Multi-Faktor-Authentifizierung. Die Verwendung eines physischen Tokens (wie eines Yubikey) oder eines persönlichen Geräts (wie eines Mobiltelefons) zur Authentifizierung von Benutzern stellt sicher, dass Kennwörter nicht das einzige Tor für den Zugriff sind.

• Fernzugriff. Die Verwendung einer intelligenten Fernzugriffsplattform wie OneLogin bedeutet, dass einzelne Websites nicht mehr die Quelle des Benutzervertrauens sind. Stattdessen stellt OneLogin sicher, dass die Identität des Benutzers bestätigt wird, und meldet sie dann an.

• Biometrie., Ein böswilliger Schauspieler wird es sehr schwierig finden, Ihren Fingerabdruck oder Ihre Gesichtsform zu replizieren. Durch Aktivieren der biometrischen Authentifizierung wird Ihr Passwort nur zu einem von mehreren Vertrauenspunkten, die ein Hacker überwinden muss.