Os 8 truques mais comuns usados ​​para hackear senhas

Os 8 truques mais comuns usados ​​para hackear senhas

Quando você ouve 'violação de segurança', o que vem à mente? Um hacker malévolo sentado em frente a telas cobertas por texto digital no estilo Matrix? Ou um adolescente que mora em um porão que não vê a luz do dia há três semanas? Que tal um supercomputador poderoso tentando hackear o mundo inteiro?





Hackear tem a ver com uma coisa: sua senha. Se alguém consegue adivinhar sua senha, não precisa de técnicas sofisticadas de hacking e supercomputadores. Eles apenas farão login, agindo como você. Se sua senha for curta e simples, o jogo acabou.



Existem oito táticas comuns que os hackers usam para hackear sua senha.





1. Hack de dicionário

O primeiro no guia de táticas de hacking de senha comum é o ataque de dicionário. Por que isso é chamado de ataque de dicionário? Porque ele tenta automaticamente cada palavra em um 'dicionário' definido com a senha. O dicionário não é exatamente o que você usou na escola.

Não. Este dicionário é, na verdade, um pequeno arquivo que contém as combinações de senha mais comumente usadas. Isso inclui 123456, qwerty, password, iloveyou e o clássico de todos os tempos, hunter2.



disco rígido externo não mostra o Windows 10

A tabela acima detalha as senhas que mais vazaram em 2016. A tabela abaixo detalha as senhas que mais vazaram em 2020.

Observe as semelhanças entre os dois - e certifique-se de não usar essas opções incrivelmente simples.



Prós: Rápido; normalmente desbloqueará algumas contas terrivelmente protegidas.

Contras: Mesmo as senhas um pouco mais fortes permanecerão seguras.



Fique seguro: Use uma senha forte de uso único para cada conta, em conjunto com um aplicativo de gerenciamento de senha . O gerenciador de senhas permite que você armazene suas outras senhas em um repositório. Então, você pode usar uma única senha ridiculamente forte para cada site.

Relacionado: Gerenciador de senhas do Google: Como começar

2. Força Bruta

Em seguida, o ataque de força bruta, no qual um atacante tenta todas as combinações de personagens possíveis. As senhas tentadas corresponderão às especificações das regras de complexidade, por exemplo, incluindo uma maiúscula, uma minúscula, decimais de Pi, seu pedido de pizza e assim por diante.

Um ataque de força bruta também tentará primeiro as combinações de caracteres alfanuméricos mais comumente usadas. Isso inclui as senhas listadas anteriormente, bem como 1q2w3e4r5t, zxcvbnm e qwertyuiop. Pode levar muito tempo para descobrir uma senha usando esse método, mas isso depende inteiramente da complexidade da senha.

Prós: Teoricamente, ele quebrará qualquer senha tentando todas as combinações.

Contras: Dependendo do tamanho e da dificuldade da senha, pode demorar muito. Adicione algumas variáveis ​​como $, &, {ou], e descobrir a senha se torna extremamente difícil.

Fique seguro: Sempre use uma combinação variável de caracteres e, quando possível, introduza símbolos extras para aumentar a complexidade .

3. Phishing

Isso não é estritamente um 'hack', mas ser vítima de uma tentativa de phishing ou spear-phishing geralmente acaba mal. E-mails gerais de phishing enviados aos bilhões para todos os tipos de usuários da Internet em todo o mundo.

Um e-mail de phishing geralmente funciona assim:

  1. O usuário-alvo recebe um e-mail falsificado que parece ser de uma grande organização ou negócio.
  2. O e-mail falsificado exige atenção imediata, com um link para um site.
  3. Na verdade, esse link se conecta a um portal de login falso, simulado para parecer exatamente o mesmo que o site legítimo.
  4. O usuário alvo desavisado insere suas credenciais de login e é redirecionado ou instruído a tentar novamente.
  5. As credenciais do usuário são roubadas, vendidas ou usadas de forma nefasta (ou ambos).

O volume diário de spam enviado em todo o mundo permanece alto, sendo responsável por mais da metade de todos os e-mails enviados globalmente. Além disso, o volume de anexos maliciosos também é alto, com o Kaspersky anotando mais de 92 milhões de anexos maliciosos de janeiro a junho de 2020. Lembre-se, isso é apenas para Kaspersky, então o número real é muito maior .

Em 2017, a maior isca de phishing era uma fatura falsa. No entanto, em 2020, a pandemia COVID-19 forneceu uma nova ameaça de phishing.

Em abril de 2020, não muito depois de muitos países terem entrado em bloqueio pandêmico, o Google anunciado estava bloqueando mais de 18 milhões de spams maliciosos e e-mails de phishing com o tema COVID-19 por dia. Um grande número desses e-mails usa a marca oficial do governo ou de uma organização de saúde para legitimidade e pega as vítimas desprevenidas.

Prós: O usuário entrega literalmente suas informações de login, incluindo senhas - taxa de acesso relativamente alta, facilmente adaptada para serviços específicos ou pessoas específicas em um ataque de spear-phishing.

Contras: Os e-mails de spam são facilmente filtrados, os domínios de spam colocados na lista negra e grandes provedores como o Google atualizam as proteções constantemente.

Fique seguro: Seja cético em relação aos e-mails e aumente o seu filtro de spam para a configuração mais alta ou, melhor ainda, use uma lista de permissões proativa. Usar um verificador de link para verificar se um link de e-mail for legítimo antes de clicar.

4. Engenharia Social

A engenharia social é essencialmente phishing no mundo real, longe da tela.

Uma parte essencial de qualquer auditoria de segurança é avaliar o que toda a força de trabalho entende. Por exemplo, uma empresa de segurança telefonará para a empresa que está auditando. O 'invasor' diz à pessoa ao telefone que ela é a nova equipe de suporte técnico do escritório e que precisa da senha mais recente para algo específico.

Um indivíduo desavisado pode entregar as chaves sem uma pausa para pensar.

O mais assustador é a frequência com que isso funciona. A engenharia social existe há séculos. Ser dúbio para conseguir entrar em uma área segura é um método comum de ataque e contra o qual só se protege com educação.

Isso ocorre porque o ataque nem sempre solicitará uma senha diretamente. Pode ser um encanador ou eletricista falso pedindo para entrar em um prédio seguro e assim por diante.

Quando alguém diz que foi enganado para revelar sua senha, geralmente é o resultado de engenharia social.

Prós: Engenheiros sociais qualificados podem extrair informações de alto valor de uma variedade de alvos. Ele pode ser implantado contra quase qualquer pessoa, em qualquer lugar. É extremamente furtivo.

Contras: Uma falha de engenharia social pode levantar suspeitas sobre um ataque iminente e incerteza quanto à obtenção das informações corretas.

Fique seguro : Este é complicado. Um ataque de engenharia social bem-sucedido estará completo quando você perceber que algo está errado. A conscientização sobre educação e segurança é uma tática básica de mitigação. Evite postar informações pessoais que possam ser usadas contra você posteriormente.

5. Mesa Arco-íris

Uma tabela de arco-íris geralmente é um ataque de senha offline. Por exemplo, um invasor adquiriu uma lista de nomes de usuário e senhas, mas eles estão criptografados. A senha criptografada está em hash. Isso significa que ela é completamente diferente da senha original.

Por exemplo, sua senha é (espero que não!) Logmein. O hash MD5 conhecido para esta senha é '8f4047e3233b39e4444e1aef240e80aa.'

Palavrões para você e para mim. Mas, em certos casos, o invasor executará uma lista de senhas em texto simples por meio de um algoritmo de hash, comparando os resultados com um arquivo de senha criptografada. Em outros casos, o algoritmo de criptografia é vulnerável e a maioria das senhas já está quebrada, como MD5 (por isso conhecemos o hash específico para 'logmein'.

É aqui que a tabela do arco-íris se destaca. Em vez de ter que processar centenas de milhares de senhas em potencial e combinar seu hash resultante, uma rainbow table é um enorme conjunto de valores de hash específicos de algoritmos pré-computados.

Usar uma tabela de arco-íris diminui drasticamente o tempo que leva para quebrar uma senha com hash - mas não é perfeito. Os hackers podem comprar rainbow tables preenchidas com milhões de combinações potenciais.

Prós: Pode descobrir senhas complexas em um curto espaço de tempo; concede ao hacker muito poder sobre determinados cenários de segurança.

Contras: Requer uma grande quantidade de espaço para armazenar a enorme (às vezes terabytes) tabela de arco-íris. Além disso, os invasores estão limitados aos valores contidos na tabela (caso contrário, eles devem adicionar outra tabela inteira).

carregador conectado, mas não carregando

Fique seguro: Outro complicado. As mesas Rainbow oferecem uma ampla gama de potencial de ataque. Evite sites que usem SHA1 ou MD5 como algoritmo de hash de senha. Evite sites que limitam você a senhas curtas ou restringem os caracteres que você pode usar. Sempre use uma senha complexa.

Relacionado: Como saber se um site armazena senhas como texto simples (e o que fazer)

6. Malware / Keylogger

Outra maneira segura de perder suas credenciais de login é se envolver com malware. O malware está em toda parte, com potencial para causar danos massivos. Se a variante do malware apresentar um keylogger, você poderá encontrar tudo de suas contas comprometidas.

Como alternativa, o malware pode visar especificamente dados privados ou introduzir um cavalo de Troia de acesso remoto para roubar suas credenciais.

Prós: Milhares de variantes de malware, muitas personalizáveis, com vários métodos de entrega fáceis. Uma boa chance de um grande número de alvos sucumbir a pelo menos uma variante. Ele pode passar despercebido, permitindo uma maior coleta de dados privados e credenciais de login.

Contras: Chance de que o malware não funcione ou seja colocado em quarentena antes de acessar os dados; nenhuma garantia de que os dados são úteis.

Fique seguro : Instale e atualize regularmente seu antivírus e antimalware Programas. Considere cuidadosamente suas fontes de download. Não clique em pacotes de instalação contendo bundleware e muito mais. Fique longe de sites nefastos (mais fácil falar do que fazer). Use ferramentas de bloqueio de script para impedir scripts maliciosos.

7. Aranha

Aranha se vincula ao ataque de dicionário. Se um hacker tem como alvo uma instituição ou empresa específica, ele pode tentar uma série de senhas relacionadas ao próprio negócio. O hacker pode ler e agrupar uma série de termos relacionados - ou usar uma aranha de pesquisa para fazer o trabalho por eles.

Você pode ter ouvido o termo 'aranha' antes. Esses spiders de busca são extremamente semelhantes àqueles que rastejam pela internet, indexando conteúdo para mecanismos de busca. A lista de palavras personalizadas é então usada em contas de usuário na esperança de encontrar uma correspondência.

Prós: Pode potencialmente desbloquear contas para indivíduos de alto escalão dentro de uma organização. Relativamente fácil de montar e adiciona uma dimensão extra a um ataque de dicionário.

Contras: Pode acabar sendo infrutífero se a segurança da rede organizacional estiver bem configurada.

Fique seguro: Novamente, use apenas senhas fortes e de uso único compostas por strings aleatórias; nada vinculado à sua persona, negócio, organização e assim por diante.

como funciona uma placa de som

8. Surfar no ombro

A opção final é uma das mais básicas. E se alguém olhar por cima do seu ombro enquanto você digita sua senha?

Surfar no ombro parece um pouco ridículo, mas acontece. Se você estiver trabalhando em um café movimentado no centro da cidade e não estiver prestando atenção ao que está ao seu redor, alguém pode chegar perto o suficiente para anotar sua senha enquanto você digita.

Prós: Abordagem de baixa tecnologia para roubar uma senha.

Contras: Deve identificar o alvo antes de descobrir a senha; poderiam se revelar no processo de roubo.

Fique seguro: Fique atento às pessoas ao seu redor ao digitar sua senha. Cubra seu teclado e oculte suas teclas durante a entrada.

Sempre use uma senha forte, única e de uso único

Então, como você impede que um hacker roube sua senha? A resposta realmente curta é que você não pode realmente estar 100 por cento seguro . As ferramentas que os hackers usam para roubar seus dados estão mudando o tempo todo e existem inúmeros vídeos e tutoriais sobre como adivinhar senhas ou aprender como hackear uma senha.

Uma coisa é certa: usar uma senha forte, única e de uso único nunca fez mal a ninguém.

Compartilhado Compartilhado Tweet O email 5 ferramentas de senha para criar frases-senha fortes e atualizar sua segurança

Crie uma senha forte da qual você possa se lembrar mais tarde. Use esses aplicativos para atualizar sua segurança com novas senhas fortes hoje.

Leia a seguir Tópicos relacionados
  • Segurança
  • Dicas de senha
  • Segurança Online
  • Hacking
  • Dicas de Segurança
Sobre o autor Gavin Phillips(945 artigos publicados)

Gavin é o Editor Júnior do Windows and Technology Explained, um colaborador regular do Podcast Really Useful e um revisor regular do produto. Ele tem um BA (Hons) em Redação Contemporânea com Práticas de Arte Digital pilhadas nas colinas de Devon, bem como mais de uma década de experiência profissional em redação. Ele gosta de grandes quantidades de chá, jogos de tabuleiro e futebol.

Mais de Gavin Phillips

Assine a nossa newsletter

Junte-se ao nosso boletim informativo para dicas de tecnologia, análises, e-books grátis e ofertas exclusivas!

Clique aqui para se inscrever