8 เคล็ดลับที่พบบ่อยที่สุดที่ใช้ในการแฮ็ครหัสผ่าน

8 เคล็ดลับที่พบบ่อยที่สุดที่ใช้ในการแฮ็ครหัสผ่าน

เมื่อคุณได้ยิน 'การละเมิดความปลอดภัย' คุณนึกถึงอะไร แฮ็กเกอร์ผู้มุ่งร้ายนั่งอยู่หน้าจอที่เต็มไปด้วยข้อความดิจิทัลสไตล์เมทริกซ์? หรือวัยรุ่นที่อาศัยอยู่ในห้องใต้ดินที่ไม่ได้เห็นแสงแดดเป็นเวลาสามสัปดาห์? แล้วซูเปอร์คอมพิวเตอร์ทรงพลังที่พยายามแฮ็คคนทั้งโลกล่ะ?





การแฮ็กเป็นเรื่องเกี่ยวกับสิ่งหนึ่ง: รหัสผ่านของคุณ หากใครสามารถเดารหัสผ่านของคุณได้ พวกเขาไม่จำเป็นต้องใช้เทคนิคการแฮ็กและซูเปอร์คอมพิวเตอร์ พวกเขาจะเข้าสู่ระบบโดยทำหน้าที่เป็นคุณ หากรหัสผ่านของคุณสั้นและง่าย แสดงว่าเกมจบลง



มีแปดกลวิธีทั่วไปที่แฮ็กเกอร์ใช้เพื่อแฮ็ครหัสผ่านของคุณ





1. พจนานุกรม Hack

อันดับแรกในคู่มือกลยุทธ์การแฮ็กรหัสผ่านทั่วไปคือการโจมตีด้วยพจนานุกรม เหตุใดจึงเรียกว่าการโจมตีด้วยพจนานุกรม เพราะมันจะพยายามทุกคำใน 'พจนานุกรม' ที่กำหนดไว้โดยอัตโนมัติกับรหัสผ่าน พจนานุกรมไม่ใช่พจนานุกรมที่คุณใช้ในโรงเรียนอย่างเคร่งครัด

ไม่ แท้จริงแล้วพจนานุกรมนี้เป็นไฟล์ขนาดเล็กที่มีชุดรหัสผ่านที่ใช้บ่อยที่สุดเช่นกัน ซึ่งรวมถึง 123456, qwerty, รหัสผ่าน, iloveyou และคลาสสิกตลอดกาล hunter2



วิธีทำ iso ที่สามารถบู๊ตได้

ตารางด้านบนให้รายละเอียดรหัสผ่านที่รั่วไหลมากที่สุดในปี 2559 ตารางด้านล่างแสดงรายละเอียดรหัสผ่านที่รั่วไหลมากที่สุดในปี 2020

สังเกตความคล้ายคลึงกันระหว่างสองสิ่งนี้ และอย่าใช้ตัวเลือกง่ายๆ เหล่านี้อย่างเหลือเชื่อ



ข้อดี: เร็ว; มักจะปลดล็อกบัญชีที่ได้รับการป้องกันอย่างเลวร้าย

จุดด้อย: รหัสผ่านที่รัดกุมกว่าเล็กน้อยก็ยังปลอดภัย



อยู่อย่างปลอดภัย: ใช้รหัสผ่านแบบใช้ครั้งเดียวที่รัดกุมสำหรับแต่ละบัญชี ร่วมกับ a แอพจัดการรหัสผ่าน . ตัวจัดการรหัสผ่านช่วยให้คุณจัดเก็บรหัสผ่านอื่นๆ ของคุณในที่เก็บ จากนั้นคุณสามารถใช้รหัสผ่านเดียวที่รัดกุมอย่างน่าขันสำหรับทุกไซต์

ที่เกี่ยวข้อง: Google Password Manager: วิธีเริ่มต้นใช้งาน

2. กำลังดุร้าย

ถัดมา การโจมตีด้วยกำลังเดรัจฉาน โดยผู้โจมตีจะพยายามทุกชุดอักขระที่เป็นไปได้ รหัสผ่านที่พยายามจะตรงกับข้อกำหนดสำหรับกฎความซับซ้อน เช่น รวมถึงตัวพิมพ์ใหญ่หนึ่งตัว ตัวพิมพ์เล็กหนึ่งตัว ทศนิยมของ Pi คำสั่งซื้อพิซซ่าของคุณ และอื่นๆ

การโจมตีด้วยกำลังเดรัจฉานจะลองใช้ชุดอักขระผสมตัวเลขและตัวเลขที่ใช้บ่อยที่สุดก่อนเช่นกัน ซึ่งรวมถึงรหัสผ่านที่แสดงไว้ก่อนหน้านี้ เช่นเดียวกับ 1q2w3e4r5t, zxcvbnm และ qwertyuiop อาจใช้เวลานานมากในการหารหัสผ่านโดยใช้วิธีนี้ แต่นั่นก็ขึ้นอยู่กับความซับซ้อนของรหัสผ่านทั้งหมด

ข้อดี: ในทางทฤษฎี มันจะถอดรหัสรหัสผ่านใด ๆ โดยพยายามทุกชุดรวมกัน

จุดด้อย: อาจใช้เวลานานมากทั้งนี้ขึ้นอยู่กับความยาวและความยากของรหัสผ่าน ใส่ตัวแปรสองสามตัวเช่น $, &, {, หรือ ] และการหารหัสผ่านกลายเป็นเรื่องยากมาก

อยู่อย่างปลอดภัย: ใช้ชุดอักขระผสมกันเสมอ และหากเป็นไปได้ แนะนำสัญลักษณ์พิเศษเพื่อเพิ่มความซับซ้อน .

3. ฟิชชิ่ง

นี่ไม่ใช่ 'แฮ็ค' อย่างเคร่งครัด แต่การตกเป็นเหยื่อของฟิชชิ่งหรือฟิชชิ่งแบบหอกมักจะจบลงอย่างไม่ดี อีเมลฟิชชิ่งทั่วไปที่ส่งถึงผู้ใช้อินเทอร์เน็ตหลายพันล้านคนทั่วโลก

อีเมลฟิชชิ่งโดยทั่วไปมีลักษณะดังนี้:

  1. ผู้ใช้เป้าหมายได้รับอีเมลปลอมที่อ้างว่ามาจากองค์กรหรือธุรกิจหลัก
  2. อีเมลปลอมต้องได้รับการดำเนินการทันที โดยมีลิงก์ไปยังเว็บไซต์
  3. ลิงค์นี้เชื่อมต่อกับพอร์ทัลล็อกอินปลอมจริง ๆ ซึ่งจำลองให้ปรากฏเหมือนกับไซต์ที่ถูกต้องทุกประการ
  4. ผู้ใช้เป้าหมายที่ไม่สงสัยป้อนข้อมูลรับรองการเข้าสู่ระบบและถูกเปลี่ยนเส้นทางหรือบอกให้ลองอีกครั้ง
  5. ข้อมูลประจำตัวของผู้ใช้ถูกขโมย ขาย หรือใช้อย่างไม่เหมาะสม (หรือทั้งสองอย่าง)

ปริมาณสแปมรายวันที่ส่งไปทั่วโลกยังคงสูง โดยคิดเป็นกว่าครึ่งหนึ่งของอีเมลทั้งหมดที่ส่งไปทั่วโลก นอกจากนี้ Kaspersky . มีไฟล์แนบที่ประสงค์ร้ายมีปริมาณมากด้วย สังเกต ไฟล์แนบที่เป็นอันตรายมากกว่า 92 ล้านไฟล์ตั้งแต่มกราคมถึงมิถุนายน 2563 จำไว้ว่านี่เป็นเพียงสำหรับ Kaspersky ดังนั้น จำนวนจริงจะสูงกว่ามาก .

ย้อนกลับไปในปี 2017 เหยื่อฟิชชิ่งที่ใหญ่ที่สุดคือใบแจ้งหนี้ปลอม อย่างไรก็ตาม ในปี 2020 การระบาดใหญ่ของ COVID-19 ได้ก่อให้เกิดภัยคุกคามฟิชชิ่งใหม่

ในเดือนเมษายน 2020 ไม่นานหลังจากที่หลายประเทศเข้าสู่การล็อกดาวน์เพื่อโรคระบาดใหญ่ Google ประกาศ มีการบล็อกอีเมลสแปมและฟิชชิ่งที่เป็นอันตรายในธีม COVID-19 มากกว่า 18 ล้านฉบับต่อวัน อีเมลเหล่านี้จำนวนมากใช้การสร้างแบรนด์ของรัฐบาลหรือองค์กรด้านสุขภาพเพื่อความชอบธรรมและจับเหยื่อที่ไม่ระวัง

ข้อดี: ผู้ใช้มอบข้อมูลการเข้าสู่ระบบของตนอย่างแท้จริง ซึ่งรวมถึงรหัสผ่าน ซึ่งเป็นอัตราการเข้าชมที่ค่อนข้างสูง ปรับแต่งให้เข้ากับบริการเฉพาะหรือบุคคลเฉพาะอย่างง่ายดายในการโจมตีแบบสเปียร์ฟิชชิ่ง

จุดด้อย: อีเมลขยะสามารถกรองได้ง่าย โดเมนสแปมถูกขึ้นบัญชีดำ และผู้ให้บริการรายใหญ่อย่าง Google อัปเดตการป้องกันอย่างต่อเนื่อง

อยู่อย่างปลอดภัย: เลิกสงสัยอีเมลและเพิ่มตัวกรองสแปมของคุณเป็นการตั้งค่าสูงสุดหรือใช้รายการที่อนุญาตในเชิงรุก ใช้ ตัวตรวจสอบลิงก์เพื่อยืนยัน หากลิงก์อีเมลถูกต้องก่อนคลิก

4. วิศวกรรมสังคม

วิศวกรรมสังคมคือฟิชชิ่งในโลกแห่งความเป็นจริง โดยพื้นฐานแล้วอยู่ห่างจากหน้าจอ

ส่วนสำคัญของการตรวจสอบความปลอดภัยคือการประเมินสิ่งที่พนักงานทั้งหมดเข้าใจ ตัวอย่างเช่น บริษัทรักษาความปลอดภัยจะโทรหาธุรกิจที่พวกเขากำลังตรวจสอบ 'ผู้โจมตี' บอกกับบุคคลทางโทรศัพท์ว่าพวกเขาคือทีมสนับสนุนด้านเทคนิคของสำนักงานใหม่ และพวกเขาต้องการรหัสผ่านล่าสุดสำหรับบางสิ่งที่เฉพาะเจาะจง

บุคคลที่ไม่สงสัยอาจมอบกุญแจโดยไม่หยุดครุ่นคิด

สิ่งที่น่ากลัวคือความถี่ในการทำงาน วิศวกรรมสังคมมีมานานหลายศตวรรษ การลอบเข้าใช้พื้นที่ปลอดภัยเป็นวิธีการโจมตีทั่วไป และเป็นวิธีป้องกันด้วยการศึกษาเท่านั้น

เนื่องจากการโจมตีจะไม่ขอรหัสผ่านโดยตรงเสมอไป อาจเป็นช่างประปาหรือช่างไฟฟ้าปลอมที่ขอเข้าไปในอาคารที่ปลอดภัย เป็นต้น

เมื่อมีคนบอกว่าพวกเขาถูกหลอกให้เปิดเผยรหัสผ่าน มักจะเป็นผลมาจากวิศวกรรมสังคม

ข้อดี: วิศวกรสังคมที่มีทักษะสามารถดึงข้อมูลมูลค่าสูงจากเป้าหมายต่างๆ ได้ สามารถใช้ได้กับเกือบทุกคน ทุกที่ มันลอบเร้นมาก

จุดด้อย: ความล้มเหลวของวิศวกรรมสังคมทำให้เกิดความสงสัยเกี่ยวกับการโจมตีที่จะเกิดขึ้น และความไม่แน่นอนในการจัดหาข้อมูลที่ถูกต้อง

อยู่อย่างปลอดภัย : นี่เป็นเรื่องยุ่งยาก การโจมตีทางวิศวกรรมสังคมที่ประสบความสำเร็จจะเสร็จสมบูรณ์เมื่อคุณรู้ว่ามีอะไรผิดปกติ การศึกษาและการตระหนักรู้ด้านความปลอดภัยเป็นกลยุทธ์หลักในการบรรเทาผลกระทบ หลีกเลี่ยงการโพสต์ข้อมูลส่วนบุคคลที่อาจนำไปใช้กับคุณในภายหลัง

5. โต๊ะสายรุ้ง

ตารางสายรุ้งมักจะเป็นการโจมตีด้วยรหัสผ่านแบบออฟไลน์ ตัวอย่างเช่น ผู้โจมตีได้รับรายชื่อผู้ใช้และรหัสผ่าน แต่มีการเข้ารหัสไว้ รหัสผ่านที่เข้ารหัสจะถูกแฮช ซึ่งหมายความว่ามันดูแตกต่างไปจากรหัสผ่านเดิมอย่างสิ้นเชิง

ตัวอย่างเช่น รหัสผ่านของคุณคือ (หวังว่าจะไม่ใช่!) logmein แฮช MD5 ที่รู้จักสำหรับรหัสผ่านนี้คือ '8f4047e3233b39e4444e1aef240e80aa'

ไร้สาระสำหรับคุณและฉัน แต่ในบางกรณี ผู้โจมตีจะเรียกใช้รายการรหัสผ่านข้อความธรรมดาผ่านอัลกอริธึมการแฮช โดยเปรียบเทียบผลลัพธ์กับไฟล์รหัสผ่านที่เข้ารหัส ในกรณีอื่นๆ อัลกอริธึมการเข้ารหัสมีช่องโหว่ และรหัสผ่านส่วนใหญ่ถูกถอดรหัสแล้ว เช่น MD5 (ด้วยเหตุนี้ เราจึงทราบแฮชเฉพาะสำหรับ 'logmein'

นี่คือที่ที่โต๊ะสีรุ้งมาเป็นของตัวเอง แทนที่จะต้องประมวลผลรหัสผ่านที่เป็นไปได้หลายแสนรายการและจับคู่แฮชผลลัพธ์ ตารางเรนโบว์คือชุดค่าแฮชเฉพาะอัลกอริธึมที่คำนวณล่วงหน้าจำนวนมาก

การใช้โต๊ะเรนโบว์ช่วยลดเวลาที่ใช้ในการถอดรหัสรหัสผ่านที่แฮชลงอย่างมาก แต่ก็ไม่สมบูรณ์แบบ แฮกเกอร์สามารถซื้อโต๊ะสีรุ้งที่เติมไว้ล่วงหน้าซึ่งมีชุดค่าผสมที่เป็นไปได้นับล้านรายการ

ข้อดี: สามารถค้นหารหัสผ่านที่ซับซ้อนได้ในระยะเวลาอันสั้น ให้อำนาจแก่แฮ็กเกอร์อย่างมากในสถานการณ์ความปลอดภัยบางอย่าง

จุดด้อย: ต้องใช้พื้นที่จำนวนมากในการจัดเก็บโต๊ะสีรุ้งขนาดมหึมา (บางครั้งเทราไบต์) นอกจากนี้ ผู้โจมตีจะถูกจำกัดตามค่าที่มีอยู่ในตาราง (ไม่เช่นนั้น พวกเขาจะต้องเพิ่มอีกทั้งตาราง)

วิธีออกจากกลุ่มในเฟสบุ๊ค

อยู่อย่างปลอดภัย: อีกอย่างที่ยุ่งยาก โต๊ะเรนโบว์มีศักยภาพในการโจมตีที่หลากหลาย หลีกเลี่ยงไซต์ใดๆ ที่ใช้ SHA1 หรือ MD5 เป็นอัลกอริธึมการแฮชรหัสผ่าน หลีกเลี่ยงไซต์ใดๆ ที่จำกัดให้คุณใช้รหัสผ่านสั้นๆ หรือจำกัดอักขระที่คุณสามารถใช้ได้ ใช้รหัสผ่านที่ซับซ้อนเสมอ

ที่เกี่ยวข้อง: จะบอกได้อย่างไรว่าไซต์เก็บรหัสผ่านเป็นข้อความธรรมดา (และต้องทำอย่างไร)

6. มัลแวร์/คีย์ล็อกเกอร์

อีกวิธีหนึ่งที่จะสูญเสียข้อมูลรับรองการเข้าสู่ระบบของคุณคือการทำผิดกฎของมัลแวร์ มัลแวร์มีอยู่ทุกหนทุกแห่ง และอาจสร้างความเสียหายอย่างใหญ่หลวงได้ หากตัวแปรมัลแวร์มีคีย์ล็อกเกอร์ คุณจะพบ ทั้งหมด บัญชีของคุณถูกบุกรุก

อีกทางหนึ่ง มัลแวร์สามารถกำหนดเป้าหมายข้อมูลส่วนตัวโดยเฉพาะหรือแนะนำโทรจันการเข้าถึงระยะไกลเพื่อขโมยข้อมูลประจำตัวของคุณ

ข้อดี: มัลแวร์หลายพันแบบ ปรับแต่งได้มากมาย พร้อมวิธีการจัดส่งที่ง่ายดายหลายวิธี มีโอกาสที่ดีที่เป้าหมายจำนวนมากจะยอมจำนนต่อตัวแปรอย่างน้อยหนึ่งรูปแบบ มันสามารถไปตรวจไม่พบ อนุญาตให้เก็บเกี่ยวข้อมูลส่วนตัวและข้อมูลรับรองการเข้าสู่ระบบเพิ่มเติม

จุดด้อย: โอกาสที่มัลแวร์จะไม่ทำงานหรือถูกกักกันก่อนเข้าถึงข้อมูล ไม่รับประกันว่าข้อมูลจะเป็นประโยชน์

อยู่อย่างปลอดภัย : ติดตั้งและอัปเดตโปรแกรมป้องกันไวรัสและมัลแวร์เป็นประจำ ซอฟต์แวร์. พิจารณาแหล่งดาวน์โหลดของคุณอย่างรอบคอบ อย่าคลิกผ่านแพ็คเกจการติดตั้งที่มี Bundleware และอื่นๆ หลีกเลี่ยงไซต์ที่ชั่วร้าย (พูดง่ายกว่าทำ) ใช้เครื่องมือบล็อกสคริปต์เพื่อหยุดสคริปต์ที่เป็นอันตราย

7. แมงมุม

Spidering ผูกเข้ากับการโจมตีพจนานุกรม หากแฮ็กเกอร์กำหนดเป้าหมายไปที่สถาบันหรือธุรกิจเฉพาะ พวกเขาอาจลองใช้รหัสผ่านที่เกี่ยวข้องกับตัวธุรกิจเอง แฮ็กเกอร์สามารถอ่านและเปรียบเทียบชุดของคำที่เกี่ยวข้อง—หรือใช้สไปเดอร์การค้นหาเพื่อทำงานให้กับพวกเขา

คุณอาจเคยได้ยินคำว่า 'แมงมุม' มาก่อน สไปเดอร์การค้นหาเหล่านี้มีความคล้ายคลึงอย่างมากกับสไปเดอร์ที่รวบรวมข้อมูลผ่านอินเทอร์เน็ตซึ่งสร้างดัชนีเนื้อหาสำหรับเครื่องมือค้นหา จากนั้นรายการคำที่กำหนดเองจะใช้กับบัญชีผู้ใช้โดยหวังว่าจะพบคำที่ตรงกัน

ข้อดี: สามารถปลดล็อกบัญชีสำหรับบุคคลที่มีตำแหน่งสูงภายในองค์กรได้ ง่ายต่อการประกอบและเพิ่มมิติพิเศษให้กับการโจมตีพจนานุกรม

จุดด้อย: อาจจบลงอย่างไร้ผลหากมีการกำหนดค่าความปลอดภัยเครือข่ายขององค์กรไว้อย่างดี

อยู่อย่างปลอดภัย: อีกครั้ง ใช้เฉพาะรหัสผ่านที่รัดกุมและใช้ครั้งเดียวซึ่งประกอบด้วยสตริงแบบสุ่ม ไม่มีอะไรเชื่อมโยงกับบุคลิก ธุรกิจ องค์กร และอื่นๆ ของคุณ

วิธีชาร์จแล็ปท็อปกับแล็ปท็อปเครื่องอื่น

8. ท่องไหล่

ตัวเลือกสุดท้ายเป็นหนึ่งในตัวเลือกพื้นฐานที่สุด จะเกิดอะไรขึ้นถ้ามีคนมองข้ามไหล่ของคุณในขณะที่คุณกำลังพิมพ์รหัสผ่านอยู่

การท่องไหล่อาจฟังดูไร้สาระ แต่ก็เกิดขึ้นได้ หากคุณกำลังทำงานในร้านกาแฟใจกลางเมืองที่พลุกพล่านและไม่สนใจสิ่งรอบข้าง อาจมีใครบางคนเข้ามาใกล้พอที่จะจดรหัสผ่านของคุณในขณะที่คุณพิมพ์

ข้อดี: แนวทางเทคโนโลยีต่ำในการขโมยรหัสผ่าน

จุดด้อย: ต้องระบุเป้าหมายก่อนที่จะหารหัสผ่าน สามารถเปิดเผยตัวเองในกระบวนการของการขโมย

อยู่อย่างปลอดภัย: คอยสังเกตคนรอบข้างเมื่อพิมพ์รหัสผ่าน ปิดแป้นพิมพ์และปิดบังคีย์ระหว่างป้อนข้อมูล

ใช้รหัสผ่านที่รัดกุม ไม่ซ้ำใคร ใช้ครั้งเดียวเสมอ

ดังนั้นคุณจะหยุดแฮ็กเกอร์ที่ขโมยรหัสผ่านของคุณได้อย่างไร คำตอบสั้นๆ ก็คือ คุณไม่สามารถปลอดภัยได้ 100 เปอร์เซ็นต์อย่างแท้จริง . เครื่องมือที่แฮ็กเกอร์ใช้เพื่อขโมยข้อมูลของคุณมีการเปลี่ยนแปลงตลอดเวลา และมีวิดีโอและบทช่วยสอนมากมายเกี่ยวกับการเดารหัสผ่านหรือการเรียนรู้วิธีแฮ็ครหัสผ่าน

สิ่งหนึ่งที่แน่นอนคือ การใช้รหัสผ่านแบบใช้ครั้งเดียวที่รัดกุม ไม่ซ้ำใคร ไม่เคยทำร้ายใคร

แบ่งปัน แบ่งปัน ทวีต อีเมล 5 เครื่องมือรหัสผ่านเพื่อสร้างข้อความรหัสผ่านที่รัดกุมและอัปเดตความปลอดภัยของคุณ

สร้างรหัสผ่านที่คาดเดายากซึ่งคุณสามารถจำได้ในภายหลัง ใช้แอปเหล่านี้เพื่ออัปเกรดความปลอดภัยของคุณด้วยรหัสผ่านที่รัดกุมใหม่วันนี้

อ่านต่อไป หัวข้อที่เกี่ยวข้อง
  • ความปลอดภัย
  • เคล็ดลับรหัสผ่าน
  • ความปลอดภัยออนไลน์
  • การแฮ็ก
  • เคล็ดลับความปลอดภัย
เกี่ยวกับผู้เขียน Gavin Phillips(เผยแพร่บทความ 945 ฉบับ)

Gavin เป็นบรรณาธิการรุ่นเยาว์สำหรับ Windows และเทคโนโลยีอธิบาย เป็นผู้มีส่วนร่วมประจำใน Podcast ที่มีประโยชน์จริงๆ และเป็นผู้ตรวจสอบผลิตภัณฑ์ประจำ เขามีศิลปศาสตรบัณฑิต (เกียรตินิยม) การเขียนร่วมสมัยพร้อมแนวทางปฏิบัติด้านศิลปะดิจิทัลที่ถูกปล้นจากเนินเขาของ Devon รวมถึงประสบการณ์การเขียนระดับมืออาชีพกว่าทศวรรษ เขาชอบดื่มชา บอร์ดเกม และฟุตบอลเป็นจำนวนมาก

เพิ่มเติมจาก Gavin Phillips

สมัครรับจดหมายข่าวของเรา

เข้าร่วมจดหมายข่าวของเราสำหรับเคล็ดลับทางเทคนิค บทวิจารณ์ eBook ฟรี และดีลพิเศษ!

คลิกที่นี่เพื่อสมัครสมาชิก