Comprendre les tècniques de trencament de contrasenyes que fan servir els pirates informàtics per obrir els vostres comptes en línia és una bona manera d’assegurar-vos que mai no us passi.
com esborrar un compte enllaçat
Sens dubte, sempre haureu de canviar la vostra contrasenya i, de vegades, amb més urgència del que creieu, però mitigar el robatori és una bona manera de mantenir-vos al dia amb la seguretat del vostre compte. Sempre es pot dirigir cap a www.haveibeenpwned.com comprovar si teniu risc, però simplement pensar que la vostra contrasenya és prou segura per no ser piratejada és una mala mentalitat.
Per tant, per ajudar-vos a entendre de quina manera els pirates informàtics obtenen les vostres contrasenyes (segures o no), hem elaborat una llista de les deu tècniques principals de trencament de contrasenyes que fan servir els pirates informàtics. Alguns dels mètodes següents són certament obsolets, però això no vol dir que encara no s’utilitzin. Llegiu atentament i apreneu contra què cal mitigar.
Les deu millors tècniques de trencament de contrasenyes que fan servir els pirates informàtics
1. Dictionary Attack
L’atac de diccionari utilitza un fitxer senzill que conté paraules que es poden trobar en un diccionari, d’aquí el seu nom bastant senzill. En altres paraules, aquest atac utilitza exactament el tipus de paraules que molta gent utilitza com a contrasenya.
Agrupar de manera intel·ligent paraules com letmein o superadministratorguy no impedirà que la vostra contrasenya es trenqui d’aquesta manera, bé, no més de pocs segons més.
2. Atac de força bruta
De manera similar a l'atac del diccionari, l'atac de força bruta inclou un avantatge addicional per al pirata informàtic. En lloc d'utilitzar simplement paraules, un atac de força bruta els permet detectar paraules que no són de diccionari mitjançant el treball de totes les combinacions alfanumèriques possibles des de aaa1 fins a zzz10.
No és ràpid, sempre que la vostra contrasenya tingui més d’un grapat de caràcters, però finalment la descobrirà. Els atacs de força bruta es poden escurçar mitjançant la producció de cavalls de potència addicionals, tant en termes de potència de processament (inclòs l’aprofitament de la potència de la GPU de la vostra targeta de vídeo) com de números de màquines, com ara l’ús de models informàtics distribuïts com els miners de bitcoins en línia.
3. Rainbow Table Attack
Les taules arc de Sant Martí no són tan colorides com el seu nom pot implicar, però, per a un pirata informàtic, la vostra contrasenya podria estar al final. De la manera més senzilla possible, podeu reduir una taula arc de Sant Martí en una llista de hashs precomputats, el valor numèric que s’utilitza en xifrar una contrasenya. Aquesta taula conté hashes de totes les combinacions possibles de contrasenya per a qualsevol algorisme de resum. Les taules arc de Sant Martí són atractives, ja que redueixen el temps necessari per trencar un hash de contrasenya simplement buscant alguna cosa en una llista.
Tot i això, les taules arc de Sant Martí són coses enormes i difícils de manejar. Necessiten una potència informàtica important per executar-se i una taula es torna inútil si el hash que intenta trobar ha estat reduït per l'addició de caràcters aleatoris a la seva contrasenya abans de calcular l'algoritme.
Es parla d’existents taules salades de l’arc de Sant Martí, però serien tan grans que serien difícils d’utilitzar a la pràctica. Probablement només funcionarien amb un joc de caràcters aleatori predefinit i cadenes de contrasenya inferiors a 12 caràcters, ja que la mida de la taula seria prohibitiva fins i tot per als pirates informàtics de nivell estatal.
4. Phishing
Hi ha una manera fàcil de piratejar, demanar a l’usuari la seva contrasenya. Un missatge de correu electrònic de pesca porta el lector insospitat a una pàgina d'inici de sessió falsificada associada a qualsevol servei al qual vulgui accedir el pirata informàtic, normalment sol·licitant a l'usuari que solucioni algun terrible problema amb la seva seguretat. A continuació, aquesta pàgina descarta la seva contrasenya i l’hacker pot utilitzar-la per al seu propòsit.
Per què us heu de molestar a trencar la contrasenya quan l'usuari us la donarà feliçment?
5. Enginyeria social
L'enginyeria social fa que el concepte d'usuari complet es faci fora de la safata d'entrada que el phishing tendeix a quedar-se amb el món real.
Un dels favorits de l’enginyer social és trucar a una oficina fent-se passar per un tècnic de seguretat informàtica i simplement demanar la contrasenya d’accés a la xarxa. Us sorprendrà la freqüència amb què això funciona. Alguns fins i tot tenen les gònades necessàries per posar-se un vestit i una insígnia abans d’entrar en un negoci per fer-li la mateixa pregunta cara a cara a la recepcionista.
6. Programari maliciós
Es pot instal·lar un keylogger o un rascador de pantalla mitjançant programari maliciós que registra tot el que escriviu o que fa captures de pantalla durant un procés d’inici de sessió i, a continuació, reenvia una còpia d’aquest fitxer al centre de pirates informàtics.
Alguns programes maliciosos buscaran l’existència d’un fitxer de contrasenya de client del navegador web i en copiaran, que, tret que estigui xifrat correctament, contindrà contrasenyes desades de l’historial de navegació de l’usuari de fàcil accés.
7. Cracking fora de línia
És fàcil imaginar que les contrasenyes són segures quan els sistemes que protegeixen bloquegen els usuaris després de tres o quatre suposicions equivocades, bloquejant les aplicacions d’endevinalles automàtiques. Bé, això seria cert si no fos perquè la majoria de pirateria de contrasenya es realitza fora de línia, mitjançant un conjunt de hash en un fitxer de contrasenya que s’ha obtingut d’un sistema compromès.
Sovint, l'objectiu en qüestió s'ha vist compromès mitjançant un pirateig en un tercer, que proporciona accés als servidors del sistema i als fitxers de hash de contrasenya de l'usuari tan importants. El cracker de contrasenyes pot trigar el temps que calgui provar de trencar el codi sense avisar el sistema de destinació ni l’usuari individual.
8. Surf a l’espatlla
Una altra forma d’enginyeria social, la navegació a l’espatlla, tal com implica, passa per damunt de les espatlles d’una persona mentre introdueix credencials, contrasenyes, etc. Tot i que el concepte és de tecnologia molt baixa, us sorprendria de la quantitat de contrasenyes i informació sensible. es roba d’aquesta manera, per tant, sigueu conscients del vostre entorn quan accediu a comptes bancaris, etc.
Els pirates informàtics més segurs adoptaran l’aparició d’un missatgeria de paqueteria, d’un tècnic de servei d’aire condicionat o de qualsevol altra cosa que els permeti accedir a un edifici d’oficines. Un cop hi són, l’uniforme del personal de servei proporciona una mena de passada gratuïta per passejar sense obstacles i prendre nota de les contrasenyes que han estat introduïdes per membres genuïns del personal. També proporciona una excel·lent oportunitat per observar totes aquelles notes post-it enganxades a la part frontal de les pantalles LCD amb els inicis de sessió escrits.
9. Aranya
Els pirates informàtics intel·ligents s’han adonat que moltes contrasenyes corporatives estan formades per paraules connectades al propi negoci. Estudiar literatura corporativa, material de venda de llocs web i fins i tot els llocs web de competidors i clients que figuren a la llista poden proporcionar municions per crear una llista de paraules personalitzada per utilitzar en un atac de força bruta.
Els pirates informàtics realment intel·ligents han automatitzat el procés i han permès que una aplicació d’aranya sigui similar als rastrejadors web que utilitzen els principals motors de cerca per identificar paraules clau, recollir i classificar les llistes corresponents.
10. Endevina
El millor amic dels crackers de contrasenyes, és clar, és la previsibilitat de l’usuari. Tret que s’hagi creat una contrasenya realment aleatòria mitjançant un programari dedicat a la tasca, és poc probable que una contrasenya ‘aleatòria’ generada per l’usuari sigui una cosa així.
En canvi, gràcies a l’afecció emocional del nostre cervell a les coses que ens agraden, és probable que aquestes contrasenyes a l’atzar es basin en els nostres interessos, aficions, mascotes, família, etc. De fet, les contrasenyes solen basar-se en totes les coses que ens agrada xatejar a les xarxes socials i fins i tot incloure-les als nostres perfils. És molt probable que els crackers de contrasenyes analitzin aquesta informació i facin algunes suposicions (sovint correctes) amb coneixements en intentar trencar una contrasenya a nivell de consumidor sense recórrer a diccionaris o atacs de força bruta.
Altres atacs als quals cal anar amb compte
Si als pirates informàtics els falta alguna cosa, no és creativitat. Utilitzant una varietat de tècniques i adaptant-se als protocols de seguretat en constant canvi, aquests interferents continuen tenint èxit.
Per exemple, qualsevol persona a les xarxes socials probablement hagi vist divertits concursos i plantilles que us demanen que parleu del vostre primer cotxe, del vostre menjar preferit, de la cançó número u del vostre 14è aniversari. Tot i que aquests jocs semblen inofensius i segur que són divertits de publicar, en realitat són una plantilla oberta per a preguntes de seguretat i respostes de verificació d’accés al compte.
Quan configureu un compte, potser intenteu utilitzar respostes que realment no us pertanyen, però que recordeu fàcilment. Quin va ser el teu primer cotxe? En lloc de respondre amb veracitat, posa el cotxe dels teus somnis. En cas contrari, no publiqueu cap resposta de seguretat en línia.
Una altra manera d’accedir-hi és simplement restablir la contrasenya. La millor línia de defensa contra un interoperador que restableixi la vostra contrasenya és utilitzar una adreça de correu electrònic que comproveu amb freqüència i mantenir actualitzada la vostra informació de contacte. Si està disponible, activeu sempre l'autenticació de dos factors. Fins i tot si el pirata informàtic aprèn la vostra contrasenya, no pot accedir al compte sense un codi de verificació únic.
Preguntes freqüents
Per què necessito una contrasenya diferent per a cada lloc?
Probablement sabeu que no heu de donar les vostres contrasenyes i que no heu de baixar cap contingut que no conegueu, però, i els comptes als quals inicieu la sessió cada dia? Suposem que utilitzeu la mateixa contrasenya per al vostre compte bancari que utilitzeu per a un compte arbitrari com Grammarly. Si Grammarly està piratejat, l'usuari també té la vostra contrasenya bancària (i possiblement el vostre correu electrònic, cosa que facilita l'accés a tots els vostres recursos financers).
Què puc fer per protegir els meus comptes?
Utilitzar 2FA en qualsevol compte que ofereixi aquesta funció, utilitzar contrasenyes úniques per a cada compte i utilitzar una barreja de lletres i símbols és la millor línia de defensa contra els pirates informàtics. Com es va esmentar anteriorment, hi ha moltes maneres diferents d’accedir als pirates informàtics als vostres comptes, de manera que altres coses que heu d’assegurar-vos que feu amb regularitat és mantenir el programari i les aplicacions actualitzats (per a pedaços de seguretat) i evitant qualsevol descàrrega que no conegueu.
Quina és la manera més segura de conservar les contrasenyes?
Mantenir-se al dia amb diverses contrasenyes estranyes pot ser increïblement difícil. Tot i que és molt millor passar pel procés de restabliment de la contrasenya que comprometre els vostres comptes, requereix molt de temps. Per mantenir les vostres contrasenyes segures, podeu utilitzar un servei com Last Pass o KeePass per desar totes les contrasenyes del vostre compte.
També podeu utilitzar un algorisme únic per conservar les vostres contrasenyes i facilitar-les de recordar. Per exemple, PayPal podria ser una cosa així com hwpp + c832. Bàsicament, aquesta contrasenya és la primera lletra de cada interrupció de l'URL (https://www.paypal.com) amb l'últim número de l'any de naixement de tothom a casa vostra (com a exemple). Quan accediu al vostre compte, consulteu l'URL que us proporcionarà les primeres lletres d'aquesta contrasenya.
Afegiu símbols perquè la vostra contrasenya sigui encara més difícil de piratejar, però organitzeu-los perquè siguin més fàcils de recordar. Per exemple, el símbol + pot ser per a qualsevol compte relacionat amb entreteniment mentre que el! es pot utilitzar per a comptes financers.
