パスワードをハッキングするために使用される8つの最も一般的なトリック

パスワードをハッキングするために使用される8つの最も一般的なトリック

「セキュリティ違反」と聞いたとき、何が思い浮かびますか?マトリックススタイルのデジタルテキストで覆われた画面の前に座っている悪意のあるハッカー?それとも、3週間も日光が当たっていない地下室に住む10代の若者ですか?全世界をハッキングしようとする強力なスーパーコンピューターはどうですか?





ハッキングとは、パスワードです。誰かがあなたのパスワードを推測できるのであれば、彼らは凝ったハッキン​​グ技術やスーパーコンピューターを必要としません。彼らはただログインし、あなたのように振る舞います。パスワードが短くて単純な場合、ゲームオーバーです。



ハッカーがパスワードをハッキングするために使用する一般的な戦術は8つあります。





1.辞書ハック

一般的なパスワードハッキング戦術ガイドの最初は、辞書攻撃です。なぜ辞書攻撃と呼ばれるのですか?定義された「辞書」内のすべての単語をパスワードに対して自動的に試行するためです。辞書は厳密には学校で使用したものではありません。

いいえ。この辞書は、実際には最も一般的に使用されるパスワードの組み合わせも含む小さなファイルです。これには、123456、qwerty、password、iloveyou、およびこれまでにないクラシックなhunter2が含まれます。



netflix字幕をオフにする方法

上の表は、2016年に最もリークされたパスワードの詳細を示しています。次の表は、2020年に最もリークされたパスワードの詳細を示しています。

2つの類似点に注意してください。また、これらの非常に単純なオプションを使用しないようにしてください。



長所: 速い;通常、いくつかのひどく保護されたアカウントのロックを解除します。

短所: 少し強力なパスワードでも安全なままです。



おげんきで: アカウントごとに強力な使い捨てパスワードを使用し、 パスワード管理アプリ 。パスワードマネージャーを使用すると、他のパスワードをリポジトリに保存できます。次に、すべてのサイトに1つの途方もなく強力なパスワードを使用できます。

関連している: Googleパスワードマネージャー:開始方法

2.ブルートフォース

次は、ブルートフォース攻撃です。これにより、攻撃者は考えられるすべての文字の組み合わせを試します。試行されたパスワードは、複雑さのルールの仕様と一致します。大文字1つ、小文字1つ、円周率の小数、ピザの注文などが含まれます。

ブルートフォース攻撃では、最も一般的に使用される英数字の組み合わせも最初に試行されます。これらには、前述のパスワードのほか、1q2w3e4r5t、zxcvbnm、およびqwertyuiopが含まれます。この方法を使用してパスワードを把握するには非常に長い時間がかかる場合がありますが、それはパスワードの複雑さに完全に依存します。

長所: 理論的には、すべての組み合わせを試すことでパスワードを解読します。

短所: パスワードの長さと難易度によっては、非常に長い時間がかかる場合があります。 $、&、{、または]のようないくつかの変数を投入すると、パスワードを理解するのが非常に困難になります。

おげんきで: 常に文字の可変の組み合わせを使用し、可能な場合は、 複雑さを増すために追加の記号を導入する

3.フィッシング

これは厳密には「ハッキング」ではありませんが、フィッシングやスピアフィッシングの試みの餌食になると、通常はひどく終わります。一般的なフィッシングメールは、世界中のあらゆる種類のインターネットユーザーに数十億から送信されます。

フィッシングメールは通常、次のように機能します。

  1. ターゲットユーザーは、主要な組織または企業からのものであると称するなりすましメールを受信します。
  2. なりすましメールは、Webサイトへのリンクを特徴としており、早急な対応が必要です。
  3. このリンクは実際には偽のログインポータルに接続し、正規のサイトとまったく同じように見えるようにモックアップされています。
  4. 疑いを持たないターゲットユーザーは、ログインクレデンシャルを入力し、リダイレクトされるか、再試行するように指示されます。
  5. ユーザーの資格情報が盗まれたり、販売されたり、悪用されたりします(またはその両方)。

世界中で送信される1日のスパム量は依然として多く、世界中で送信されるすべての電子メールの半分以上を占めています。さらに、Kasperskyを使用すると、悪意のある添付ファイルの量も多くなります。 注目 2020年1月から6月までの間に9,200万を超える悪意のある添付ファイル。これはKaspersky専用であることを忘れないでください。 実数ははるかに高いです

2017年、最大のフィッシングルアーは偽の請求書でした。しかし、2020年には、COVID-19パンデミックが新たなフィッシングの脅威をもたらしました。

2020年4月、多くの国がパンデミックの封鎖に入って間もなく、Google 発表 1日あたり1800万を超えるCOVID-19をテーマにした悪意のあるスパムとフィッシングメールをブロックしていました。これらの電子メールの膨大な数は、正当性のために政府または保健機関の公式ブランドを使用しており、被害者を不意を突かせる。

長所: ユーザーは文字通り、パスワードを含むログイン情報を渡します。これは比較的高いヒット率であり、特定のサービスやスピアフィッシング攻撃の特定の人々に合わせて簡単に調整できます。

短所: スパムメールは簡単にフィルタリングされ、スパムドメインはブラックリストに登録され、Googleなどの主要プロバイダーは常に保護を更新しています。

おげんきで: 電子メールに懐疑的であり、スパムフィルターを最高の設定に上げるか、さらに良いことに、プロアクティブなホワイトリストを使用します。使用する 確認するためのリンクチェッカー クリックする前に電子メールリンクが正当であるかどうか。

4.ソーシャルエンジニアリング

ソーシャルエンジニアリングは、画面から離れた現実の世界では本質的にフィッシングです。

セキュリティ監査の中核となる部分は、従業員全体が理解していることを測定することです。たとえば、セキュリティ会社は監査対象のビジネスに電話をかけます。 「攻撃者」は、電話でその人に新しいオフィスの技術サポートチームであり、特定の何かのために最新のパスワードが必要であることを伝えます。

疑いを持たない個人は、考えを一時停止することなくキーを渡すことができます。

怖いのは、これがどれくらいの頻度で機能するかです。ソーシャルエンジニアリングは何世紀にもわたって存在してきました。安全なエリアに侵入するために重複することは、一般的な攻撃方法であり、教育によってのみ防御されます。

これは、攻撃が常にパスワードを直接要求するとは限らないためです。安全な建物への入場を要求する偽の配管工や電気技師などである可能性があります。

だまされてパスワードを明かしたと誰かが言うとき、それはしばしばソーシャルエンジニアリングの結果です。

長所: 熟練したソーシャルエンジニアは、さまざまなターゲットから価値の高い情報を抽出できます。ほぼ誰に対してでも、どこでも展開できます。それは非常にステルスです。

短所: ソーシャルエンジニアリングの失敗は、差し迫った攻撃についての疑いや、正しい情報が調達されているかどうかについての不確実性を引き起こす可能性があります。

おげんきで :これはトリッキーなものです。ソーシャルエンジニアリング攻撃の成功は、何かが間違っていることに気付くまでに完了します。教育とセキュリティの認識は、中核的な緩和戦術です。後であなたに対して使用される可能性のある個人情報を投稿することは避けてください。

5.レインボーテーブル

レインボーテーブルは通常、オフラインのパスワード攻撃です。たとえば、攻撃者はユーザー名とパスワードのリストを取得しましたが、それらは暗号化されています。暗号化されたパスワードはハッシュされます。これは、元のパスワードとは完全に異なって見えることを意味します。

たとえば、パスワードは(できればそうではありませんが)logmeinです。このパスワードの既知のMD5ハッシュは「8f4047e3233b39e4444e1aef240e80aa」です。

あなたと私にぎこちない。しかし、場合によっては、攻撃者はハッシュアルゴリズムを介してプレーンテキストのパスワードのリストを実行し、結果を暗号化されたパスワードファイルと比較します。その他の場合、暗号化アルゴリズムは脆弱であり、MD5のように、ほとんどのパスワードはすでに解読されています(したがって、「logmein」の特定のハッシュがわかっているのはなぜですか。

これは、レインボーテーブルが独自に登場する場所です。レインボーテーブルは、数十万の潜在的なパスワードを処理して結果のハッシュを照合する代わりに、事前に計算されたアルゴリズム固有のハッシュ値の膨大なセットです。

レインボーテーブルを使用すると、ハッシュ化されたパスワードを解読するのにかかる時間が大幅に短縮されますが、完全ではありません。ハッカーは、何百万もの潜在的な組み合わせが入力された、事前に入力されたレインボーテーブルを購入できます。

長所: 複雑なパスワードを短時間で把握できます。特定のセキュリティシナリオに対してハッカーに多くの権限を付与します。

短所: 巨大な(時にはテラバイトの)レインボーテーブルを格納するには、膨大なスペースが必要です。また、攻撃者はテーブルに含まれる値に制限されます(そうでない場合は、別のテーブル全体を追加する必要があります)。

どこで無料で漫画を読むことができますか

おげんきで: もう一つのトリッキーなもの。レインボーテーブルは、幅広い攻撃の可能性を提供します。パスワードハッシュアルゴリズムとしてSHA1またはMD5を使用するサイトは避けてください。短いパスワードに制限したり、使用できる文字を制限したりするサイトは避けてください。常に複雑なパスワードを使用してください。

関連:サイトがパスワードをプレーンテキストとして保存しているかどうかを確認する方法(および対処方法)

6.マルウェア/キーロガー

ログインクレデンシャルを失うもう1つの確実な方法は、マルウェアに感染することです。マルウェアはいたるところにあり、大きな損害を与える可能性があります。マルウェアの亜種がキーロガーを備えている場合は、 全て アカウントの一部が侵害されました。

あるいは、マルウェアは特に個人データを標的にしたり、リモートアクセス型トロイの木馬を導入して資格情報を盗んだりする可能性があります。

長所: 何千ものマルウェアの亜種、多くはカスタマイズ可能で、いくつかの簡単な配信方法があります。多数のターゲットが少なくとも1つのバリアントに屈する可能性があります。検出されない可能性があり、プライベートデータとログイン資格情報をさらに収集できます。

短所: マルウェアが機能しないか、データにアクセスする前に隔離される可能性。データが有用であるという保証はありません。

おげんきでウイルス対策およびマルウェア対策をインストールして定期的に更新する ソフトウェア。ダウンロードソースを慎重に検討してください。バンドルウェアなどを含むインストールパッケージをクリックしないでください。悪意のあるサイトを避けてください(言うのは簡単です)。スクリプトブロックツールを使用して、悪意のあるスクリプトを停止します。

7.スパイダリング

スパイダーは辞書攻撃に結びつきます。ハッカーが特定の機関や企業を標的にしている場合、その企業自体に関連する一連のパスワードを試す可能性があります。ハッカーは、一連の関連用語を読み取って照合したり、検索スパイダーを使用してそれらの用語を処理したりすることができます。

「スパイダー」という言葉を聞いたことがあるかもしれません。これらの検索スパイダーは、インターネットをクロールして検索エンジンのコンテンツにインデックスを付けるものと非常によく似ています。カスタム単語リストは、一致するものを見つけることを期待して、ユーザーアカウントに対して使用されます。

長所: 組織内の上位の個人のアカウントのロックを解除できる可能性があります。比較的簡単に組み合わせることができ、辞書攻撃に新たな次元を追加します。

短所: 組織のネットワークセキュリティが適切に構成されていると、無駄になる可能性があります。

おげんきで: 繰り返しますが、ランダムな文字列で構成される強力な使い捨てパスワードのみを使用してください。あなたのペルソナ、ビジネス、組織などにリンクするものは何もありません。

電話でランダムにポップアップする広告

8.ショルダーサーフィン

最後のオプションは、最も基本的なものの1つです。パスワードを入力しているときに誰かがあなたの肩越しに見ているとどうなりますか?

ショルダーサーフィンは少しばかげているように聞こえますが、それは起こります。にぎやかなダウンタウンのカフェで働いていて、周囲に注意を払っていない場合、誰かがあなたが入力するときにあなたのパスワードをメモするのに十分近づく可能性があります。

長所: パスワードを盗むためのローテクアプローチ。

短所: パスワードを理解する前に、ターゲットを特定する必要があります。盗む過程で自分自身を明らかにする可能性があります。

おげんきで: パスワードを入力するときは、周囲の人に注意してください。入力中はキーボードを覆い、キーを隠してください。

常に強力で一意の使い捨てパスワードを使用する

では、ハッカーがパスワードを盗むのをどのように阻止しますか?本当に短い答えはそれです あなたは本当に100パーセント安全になることはできません 。ハッカーがデータを盗むために使用するツールは常に変化しており、パスワードの推測やパスワードのハッキング方法の学習に関するビデオやチュートリアルは無数にあります。

1つ確かなことは、強力で一意の使い捨てパスワードを使用しても、誰も傷つけないということです。

共有 共有 つぶやき Eメール 強力なパスフレーズを作成してセキュリティを更新するための5つのパスワードツール

後で覚えられる強力なパスワードを作成します。これらのアプリを使用して、新しい強力なパスワードでセキュリティを今すぐアップグレードしてください。

次を読む 関連トピック
  • 安全
  • パスワードのヒント
  • オンラインセキュリティ
  • ハッキング
  • セキュリティのヒント
著者について ギャビンフィリップス(945件の記事が公開されました)

Gavinは、Windows and Technology Explainedのジュニアエディターであり、Really Useful Podcastの定期的な寄稿者であり、定期的な製品レビュー担当者です。彼は、デボンの丘から略奪されたデジタルアートプラクティスを備えたBA(Hons)現代ライティングと、10年以上のプロのライティング経験を持っています。彼はお茶、ボードゲーム、サッカーをたくさん楽しんでいます。

ギャビンフィリップスからもっと

ニュースレターを購読する

ニュースレターに参加して、技術的なヒント、レビュー、無料の電子書籍、限定セールを入手してください。

購読するにはここをクリックしてください