رمزعبورها یکی از راههای مهم برای محافظت از حسابهای آنلاین، آفلاین و دادهها هستند. به تکرار در وبسایت کنشتک خواندهایم که چقدر اهمیت رمزعبور قدرتمند و منحصربفرد بالاست. بعلاوه اینکه فعال بودن ویژگی 2FA به چه میزانی میتواند از حسابها و اطلاعات ما محافظت کند. اما هکرها هم روشها و تکنینکهایی دارند که میتوانند رمزعبورها را کرک کنند، یا پسوردها را کشف کنند. لازم به ذکر است که بیشتر این تکنیکها در برابر احراز هویت چند عامله تسلیم میشوند و در نهایت هکر یا خرابکار به هدف خود نمیرسند. در این مقاله از وبسایت کنشتک ۱۲ روش کرک کردن رمزعبور که توسط هکرها استفاده میشود را مرور میکنیم.
هدف وبسایت کنشتک از این مقاله، افزایش آگاهی کاربران است تا در پی آن محافظت از دادهها و اطلاعات هم بیشتر شود.
روشهای کرک کردن رمزعبور که هکرها از آنها استفاده می کنند؟
۱- فیشینگ
احتمالا یکی از رایجترین و محبوبترین روشهای هک، فیشینگ است. در برخی حملات فیشینگ، مهاجم از ایمیل برای فریب کاربر استفاده میکند تا کاربر از طریق وبسایت جعلی اطلاعات ورود را تحویل مهاجم دهد، یا از طریق دانلود و نصب بدافزار و ابزارهای دیگر روی دستگاه قربانی، مهاجم بتواند به اطلاعات حیاتی مانند رمزعبورها دست پیدا کند. این فرایند معمولا نیاز به مهندسی اجتماعی دارد تا کاربر اعتماد کند.
در این حمله مهاجم سعی میکند اعتماد کاربر را جلب کند، سپس از او درخواست اطلاعات مهم و حیاتی میکند، و درنهایت کاربر آنها را در اختیار مهاجم قرار میدهد. برای مثال خرابکار با کاربر تماس میگیرد و خود را پشتیبانی فنی سرویس بخصوصی معرفی میکند، یا با پوشیدن لباس مخصوص شرکتی، خود را از کارمندان آن شرکت معرفی میکند و غیره.
۳- بدافزار
کیلاگرها، نرمافزارهای سرقت صفحه نمایش، و تعدادی دیگر از نرمافزارهای اینچنینی که آنها را به اسم بدافزار میشناسیم. این بدافزارها بگونهای توسعه پیدا کردهاند که اطلاعات شخصی و محرمانه کاربران دیگر را به سرقت برند. انواع کیلاگرها که یا دکمههای کیبرد را ثبت میکنند و یا از صفحه نمایش اسکرین میگیرند، همه آنها یک هدف دارند: رساندن اطلاعات کاربران به خرابکارها.
۴- حمله brute-force
حمله بروت فورس به روشهای مختلفی که در آن سعی میکنند پسورد را حدس بزنند گفته میشود. بیشتر این حملات با استفاده از ابزارها و خودکار صورت می گیرد.
۵- حمله Dictionary
این حمله هم نوعی از حمله بروت فورس است. در این حمله خرابکار لیستی از رمزعبورهای احتمالی کاربر را جمعآوری میکند و با استفاده از ابزاری بصورت خودکار یکی یکی آنها تست میشود تا یکی از آنها پسورد صحیح باشد (ممکن است پسورد صحیح بین لیست نباشد) و دسترسی به حساب صورت بگیرد.
۶- حمله Mask
این حمله هم نوعی از حمله بروتفورس است. فرض کنید رمزعبوری که قرار است کشف شود « Mask101 » است. ۷ حرف دارد که هر حرف میتواند یکی از حروف بزرگ (۲۶ حرف) یکی از حروف کوچک (۲۶ حرف)، نشانهها (۳۳ حرف) یا یک عدد باشد (۱۰ حرف) یعنی 7^95 ترکیب خواهیم داشت. در حمله ماسک هکرها یک دانش اولیه از رمزعبور دارند، مانند اینکه حرف اول عدد است، پس برای حرف اول تنها ۱۰ احتمال وجود دارد.
زمان کرک کردن در حمله ماسک نسبت به حمله دیکشنری کمتر خواهد بود.
۷- حمله جدول Rainbow
رمزعبورها معمولا بصورت هش شده در پایگاه داده یا سیستمها ذخیره میشوند. بهمین دلیل خرابکار معمولا پسوردها و معادل هش آنها را ذخیره و به اشتراک میگذارند. بیشتر این پسوردها از حملههای قبلی است.
جدول Rainbow یک قدم فراتر رفته است، بر اساس الگوریتم هش یک رمزعبور، تمام احتمالهای متن ساده آن رمزعبور رمزنگاری شده را بدست میآورد.
۸- تحلیلگرهای شبکه
این ابزارها به هکر کمک میکنند که دادههایی که در شبکه منتقل میشوند را ببینید و اگر بین آنها رمزعبوری به شکل plain text باشد، آن را براحتی بدست بیاورند. این حمله نیاز به بدافزار یا دسترسی فیزیکی به سوییچ شبکه مورد نظر را دارد. از طرفی نیازی به پیدا کردن آسیبپذیری یا ضعف در شبکه ندارد. تنها راه محافظت در برابر این حمله، انتقال ترافیک اینترنت کل دستگاهای شبکه از یک VPN مطمئن است.
۹- حمله Spidering
این حمله هم شباهت زیادی به مهندسی اجتماعی دارد. هکر با استفاده از اطلاعاتی که از کاربر بدست میآورد لیستی از رمزعبورها را برای حمله بروت فورس آماده میکند.
۱۰- Offline cracking
نکته مهمی که باید به آن دقت شود این است که تمام هک ها نیاز به اینترنت ندارند. آفلاین کرکینگ فرایند رمزگشایی رمزعبور بوسیله لیستی از هشهای رعبورها است. این هشها احتمالا از دادههای منتشر شده جمعآوری شدهاند.
۱۱- پاییدن از بغل
شاید فکر کنید این که کسی از بغل موبایل یا لپتاپ شما را میپاید شبیه فیلمهای هالیودی باشد، اما اینطور نیست. هکرها حتی در سال ۲۰۲۰ هم از این روش استفاده میکنند.
۱۲- حدس زدن
یک راه دیگر کرک کردن رمزعبور هم حدس زدن است. بیشتر کاربران با وجود انواع نرمافزارهای مدیریت پسورد، همچنان علاقه دارند از علاقهمندیها، تاریخ تولد، شماره شناسایی، نام حیوان خانگی و غیره بعنوان رمزعبور استفاده کنند. بنابراین حدس رمزعبور ایندسته کاربران کار سختی نیست و نیاز به ابزار هم ندارد.
منبع: https://www.itpro.co.uk/security/34616/the-top-password-cracking-techniques-used-by-hackers
[…] آسیب پذیر است. آسیبپذیر از این جهت که قابل سرقت و حدس زدن میباشد. هر چه تکنولوژی توسعه پیدا کند، احتمال حدس زدن […]
[…] که از طریق این نوع کیبوردهای وایرلس وارد کنید، مانند رمزعبور ایمیل یا اطلاعات کارت بانکیتان و یا هر اطلاعات حساس و […]
[…] حمله بروت فرس […]