Bilgisayar korsanlarının çevrimiçi hesaplarınızı tamamen açmak için kullandıkları parola kırma tekniklerini anlamak, bunun size asla olmamasını sağlamanın harika bir yoludur.
Parolanızı kesinlikle her zaman ve bazen düşündüğünüzden daha acil bir şekilde değiştirmeniz gerekecektir, ancak hırsızlığa karşı önlem almak, hesap güvenliğinizin üstünde kalmanın harika bir yoludur. Risk altında olup olmadığınızı kontrol etmek için her zaman www.haveibeenpwned.com adresine gidebilirsiniz, ancak parolanızın ele geçirilmeyecek kadar güvenli olduğunu düşünmek, sahip olunması gereken kötü bir zihniyettir.
Bu nedenle, bilgisayar korsanlarının şifrelerinizi nasıl güvenli veya başka şekilde ele geçirdiğini anlamanıza yardımcı olmak için bilgisayar korsanları tarafından kullanılan ilk on şifre kırma tekniğinin bir listesini hazırladık. Aşağıdaki yöntemlerden bazıları kesinlikle modası geçmiş, ancak bu hala kullanılmadıkları anlamına gelmiyor. Dikkatlice okuyun ve nelere karşı önlem alacağınızı öğrenin.
Hackerlar Tarafından Kullanılan İlk On Şifre Kırma Tekniği
1. Sözlük Saldırısı
Sözlük saldırısı, sözlükte bulunabilen sözcükleri içeren basit bir dosya kullanır, bu nedenle adı oldukça anlaşılır. Başka bir deyişle, bu saldırı tam olarak birçok kişinin şifresi olarak kullandığı türden kelimeleri kullanır.
“letmein” veya “superadministratorguy” gibi kelimeleri akıllıca bir arada gruplamak, şifrenizin bu şekilde kırılmasını engellemez - yani, birkaç saniyeden fazla değil.
2. Kaba Kuvvet Saldırısı
Sözlük saldırısına benzer şekilde, kaba kuvvet saldırısı, bilgisayar korsanı için ek bir bonus ile birlikte gelir. Basitçe sözcükler kullanmak yerine, kaba kuvvet saldırısı, aaa1'den zzz10'a kadar tüm olası alfasayısal kombinasyonlar üzerinde çalışarak sözlük dışı sözcükleri algılamalarını sağlar.
Parolanızın bir avuç karakterden uzun olması koşuluyla hızlı değildir, ancak sonunda parolanızı ortaya çıkaracaktır. Kaba kuvvet saldırıları, hem işlem gücü (video kartı GPU'nuzun gücünden yararlanmak dahil) hem de çevrimiçi bitcoin madencileri gibi dağıtılmış bilgi işlem modellerini kullanmak gibi makine numaraları açısından ek bilgi işlem beygir gücü atılarak kısaltılabilir.
3. Gökkuşağı Masa Saldırısı
Gökkuşağı tabloları adlarının ima ettiği kadar renkli değildir, ancak bir bilgisayar korsanı için parolanız tablonun sonunda olabilir. Mümkün olan en basit şekilde, bir gökkuşağı tablosunu önceden hesaplanmış karmalar listesine dönüştürebilirsiniz - bir parolayı şifrelerken kullanılan sayısal değer. Bu tablo, verilen herhangi bir karma algoritma için olası tüm parola kombinasyonlarının karmalarını içerir. Rainbow tabloları çekicidir çünkü bir parola karmasını kırmak için gereken süreyi sadece bir listede bir şey aramakla azaltır.
Ancak, gökkuşağı masaları çok büyük, hantal şeylerdir. Çalıştırmak için ciddi bir bilgi işlem gücü gerektirirler ve bulmaya çalıştığı karma, algoritmayı karmadan önce parolasına rastgele karakterler eklenerek "tuzlanırsa" bir tablo işe yaramaz hale gelir.
Mevcut tuzlu gökkuşağı tablolarından söz edilir, ancak bunlar pratikte kullanımı zor olacak kadar büyük olacaktır. Tablonun boyutu eyalet düzeyindeki bilgisayar korsanları için bile engelleyici olacağından, muhtemelen yalnızca önceden tanımlanmış bir "rastgele karakter" seti ve 12 karakterin altındaki parola dizeleriyle çalışacaklardır.
4. Kimlik avı
Hacklemenin kolay bir yolu var, kullanıcıdan şifresini isteyin. Bir kimlik avı e-postası, şüphelenmeyen okuyucuyu, bilgisayar korsanının erişmek istediği hizmet ne olursa olsun, genellikle kullanıcıdan güvenlikleriyle ilgili korkunç bir sorunu düzeltmesini isteyerek ilişkili, sahte bir oturum açma sayfasına yönlendirir. Bu sayfa daha sonra parolalarını gözden geçirir ve bilgisayar korsanı bunu kendi amaçları için kullanabilir.
Kullanıcı her halükarda size seve seve verecekken, şifreyi kırma zahmetine neden giresiniz ki?
5. Sosyal Mühendislik
Sosyal mühendislik, tüm "kullanıcıya sor" kavramını, kimlik avının gerçek dünyaya bağlı kalma eğiliminde olduğu gelen kutusunun dışına çıkarır.
Sosyal mühendisin favorisi, BT güvenlik teknisyeni kılığında bir ofisi aramak ve sadece ağ erişim şifresini istemektir. Bunun ne sıklıkla işe yaradığına şaşıracaksınız. Hatta bazıları, bir işe girmeden önce aynı soruyu resepsiyon görevlisine yüz yüze sormak için bir takım elbise ve yaka kartı takmak için gerekli gonadlara sahiptir.
6. Kötü amaçlı yazılım
Bir keylogger veya ekran kazıyıcı, bir oturum açma işlemi sırasında yazdığınız her şeyi kaydeden veya ekran görüntülerini alan ve ardından bu dosyanın bir kopyasını bilgisayar korsanı merkezine ileten kötü amaçlı yazılım tarafından yüklenebilir.
Bazı kötü amaçlı yazılımlar, bir web tarayıcı istemcisi parola dosyasının varlığını arayacak ve uygun şekilde şifrelenmedikçe, kullanıcının tarama geçmişinden kolayca erişilebilen kaydedilmiş parolaları içerecek şekilde bunu kopyalayacaktır.
7. Çevrimdışı Kırma
Korudukları sistemler, üç veya dört yanlış tahminden sonra kullanıcıları kilitleyerek otomatik tahmin uygulamalarını engellediğinde, şifrelerin güvenli olduğunu hayal etmek kolaydır. Pekala, çoğu parola hacklemesinin, güvenliği ihlal edilmiş bir sistemden 'elde edilmiş' bir parola dosyasındaki bir dizi karma kullanılarak çevrimdışı olarak gerçekleştirildiği gerçeği olmasaydı, bu doğru olurdu.
Genellikle söz konusu hedef, üçüncü bir şahsa yapılan bir saldırı yoluyla ele geçirilmiştir ve bu, daha sonra sistem sunucularına ve bu çok önemli kullanıcı parolası karma dosyalarına erişim sağlar. Parola kırıcı, hedef sistemi veya bireysel kullanıcıyı uyarmadan kodu denemesi ve çözmesi gerektiği kadar sürebilir.
8. Omuz Sörfü
Sosyal mühendisliğin başka bir biçimi olan omuz sörfü, tam da ima ettiği gibi, bir kişinin kimlik bilgilerini, şifreleri vb. girerken omzunun üzerinden bakmayı gerektirir. Konsept çok düşük teknolojili olsa da, kaç tane şifre ve hassas bilgi girildiğini görünce şaşıracaksınız. bu şekilde çalınır, bu nedenle hareket halindeyken banka hesaplarına vb. erişirken çevrenizden haberdar olun.
Bilgisayar korsanlarının en kendinden emin olanı, bir paket kuryesi, klima servis teknisyeni veya bir ofis binasına erişmelerini sağlayan herhangi bir şey kılığına girer. İçeri girdiklerinde, servis personeli “üniforma”, engellenmeden dolaşmak ve gerçek personel üyeleri tarafından girilen şifreleri not etmek için bir tür ücretsiz geçiş sağlar. Ayrıca, LCD ekranların önüne yapıştırılmış tüm bu post-it notları, üzerlerine karalanmış oturum açma bilgileriyle birlikte göz küresi yapmak için mükemmel bir fırsat sağlar.
9. Örümcek
Bilgili bilgisayar korsanları, birçok kurumsal parolanın işletmenin kendisiyle bağlantılı kelimelerden oluştuğunu fark ettiler. Kurumsal literatürü, web sitesi satış materyallerini ve hatta rakiplerin ve listelenen müşterilerin web sitelerini incelemek, kaba kuvvet saldırısında kullanmak üzere özel bir kelime listesi oluşturmak için mühimmat sağlayabilir.
Gerçekten bilgili bilgisayar korsanları, süreci otomatikleştirdi ve önde gelen arama motorlarının anahtar kelimeleri belirlemek, onlar için listeleri toplamak ve toplamak için kullandığı web tarayıcılarına benzer bir örümcek uygulamasına izin verdi.
10. Tahmin et
Şifre kırıcıların en iyi arkadaşı elbette kullanıcının öngörülebilirliğidir. Göreve özel yazılım kullanılarak gerçekten rastgele bir parola oluşturulmadıkça, kullanıcı tarafından oluşturulan bir "rastgele" parolanın bu türden bir parola olması pek olası değildir.
Bunun yerine, beynimizin sevdiğimiz şeylere duygusal bağlılığı sayesinde, bu rastgele şifrelerin ilgi alanlarımıza, hobilerimize, evcil hayvanlarımıza, ailemize vb. dayalı olma ihtimali vardır. Aslında, şifreler sosyal ağlarda sohbet etmeyi sevdiğimiz ve hatta profillerimize dahil ettiğimiz her şeye dayanma eğilimindedir. Parola kırıcıların bu bilgilere bakmaları ve sözlük veya kaba kuvvet saldırılarına başvurmadan tüketici düzeyindeki bir parolayı kırmaya çalışırken birkaç – genellikle doğru – eğitimli tahminde bulunma olasılıkları çok yüksektir.
Dikkat Edilmesi Gereken Diğer Saldırılar
Bilgisayar korsanlarının bir eksiği varsa, bu yaratıcılık değildir. Çeşitli teknikler kullanan ve sürekli değişen güvenlik protokollerine uyum sağlayan bu müdahaleciler başarılı olmaya devam ediyor.
Örneğin, Sosyal Medyadaki herkes, ilk arabanız, en sevdiğiniz yemek, 14. yaş gününüzde bir numaralı şarkı hakkında konuşmanızı isteyen eğlenceli testler ve şablonlar görmüş olabilir. Bu oyunlar zararsız gibi görünse ve yayınlaması kesinlikle eğlenceli olsa da, aslında güvenlik soruları ve hesap erişimi doğrulama yanıtları için açık bir şablondur.
Bir hesap oluştururken, belki de aslında size ait olmayan, ancak kolayca hatırlayabileceğiniz yanıtları kullanmayı deneyin. "İlk araban neydi?" Doğru cevap vermek yerine hayalinizdeki arabayı koyun. Aksi takdirde, çevrimiçi olarak herhangi bir güvenlik yanıtı göndermeyin.
Erişim elde etmenin başka bir yolu da şifrenizi sıfırlamaktır. Araya giren birinin parolanızı sıfırlamasına karşı en iyi savunma hattı, sık sık kontrol ettiğiniz bir e-posta adresi kullanmak ve iletişim bilgilerinizi güncel tutmaktır. Varsa, her zaman 2 faktörlü kimlik doğrulamayı etkinleştirin. Bilgisayar korsanı şifrenizi öğrense bile, benzersiz bir doğrulama kodu olmadan hesaba erişemez.
Sıkça Sorulan Sorular
Neden her site için farklı bir şifreye ihtiyacım var?
Muhtemelen şifrelerinizi vermemeniz ve aşina olmadığınız hiçbir içeriği indirmemeniz gerektiğini biliyorsunuzdur, peki ya her gün giriş yaptığınız hesaplar? Banka hesabınız için Grammarly gibi rastgele bir hesap için kullandığınız parolanın aynısını kullandığınızı varsayalım. Grammarly saldırıya uğrarsa, kullanıcı bankacılık şifrenizi de (ve muhtemelen e-posta adresinizi alır ve tüm finansal kaynaklarınıza erişmeyi daha da kolaylaştırır).
Hesaplarımı korumak için ne yapabilirim?
Bu özelliği sunan herhangi bir hesapta 2FA kullanmak, her hesap için benzersiz şifreler kullanmak ve harf ve sembollerin bir karışımını kullanmak, bilgisayar korsanlarına karşı en iyi savunma hattıdır. Daha önce belirtildiği gibi, bilgisayar korsanlarının hesaplarınıza erişmesinin birçok farklı yolu vardır, bu nedenle düzenli olarak yaptığınızdan emin olmanız gereken diğer şeyler, yazılımlarınızı ve uygulamalarınızı güncel tutmaktır (güvenlik yamaları için) ve aşina olmadığınız herhangi bir indirmeden kaçınmak.
Şifreleri saklamanın en güvenli yolu nedir?
Birkaç benzersiz garip şifreye ayak uydurmak inanılmaz derecede zor olabilir. Parola sıfırlama işleminden geçmek, hesaplarınızın güvenliğini ihlal etmekten çok daha iyi olsa da, zaman alıcıdır. Parolalarınızı güvende tutmak için, tüm hesap parolalarınızı kaydetmek için Last Pass veya KeePass gibi bir hizmet kullanabilirsiniz.
Parolalarınızı hatırlamayı kolaylaştırırken aynı zamanda saklamak için benzersiz bir algoritma da kullanabilirsiniz. Örneğin PayPal, hwpp+c832 gibi bir şey olabilir. Esasen, bu şifre, evinizdeki herkesin doğum yılındaki son rakamla birlikte URL'deki (//www.paypal.com) her aranın ilk harfidir (sadece bir örnek olarak). Hesabınıza giriş yaptığınızda, size bu şifrenin ilk birkaç harfini verecek olan URL'yi görüntüleyin.
Parolanızı ele geçirmeyi daha da zorlaştırmak için simgeler ekleyin, ancak bunları daha kolay hatırlanacak şekilde düzenleyin. Örneğin, “+” sembolü eğlence ile ilgili herhangi bir hesap için olabilirken “!” finansal hesaplar için kullanılabilir.
