Comprendre les tècniques de trencament de contrasenyes que fan servir els pirates informàtics per obrir els vostres comptes en línia és una bona manera d'assegurar-vos que no us passi mai.
Sens dubte, sempre haureu de canviar la vostra contrasenya, i de vegades amb més urgència del que penseu, però mitigar el robatori és una bona manera de mantenir-vos al dia de la seguretat del vostre compte. Sempre podeu dirigir-vos a www.haveibeenpwned.com per comprovar si esteu en risc, però simplement pensar que la vostra contrasenya és prou segura per no ser piratejada és una mala mentalitat.
Per tant, per ajudar-vos a entendre com els pirates informàtics obtenen les vostres contrasenyes, segures o no, hem elaborat una llista de les deu principals tècniques de trencament de contrasenyes utilitzades pels pirates informàtics. Certament, alguns dels mètodes següents estan obsolets, però això no vol dir que encara no s'estan utilitzant. Llegiu amb atenció i apreneu què cal mitigar.
Les deu principals tècniques de trencament de contrasenyes utilitzades pels pirates informàtics
1. Atac de diccionari
L'atac del diccionari utilitza un fitxer senzill que conté paraules que es poden trobar en un diccionari, d'aquí el seu nom més aviat senzill. En altres paraules, aquest atac utilitza exactament el tipus de paraules que moltes persones utilitzen com a contrasenya.
L'agrupació intel·ligent de paraules com ara "deixa'm" o "superadministradorguy" no impedirà que la teva contrasenya sigui descoberta d'aquesta manera, bé, no durant més d'uns segons addicionals.
2. Atac de força bruta
De manera similar a l'atac del diccionari, l'atac de força bruta inclou una bonificació addicional per al pirata informàtic. En lloc d'utilitzar simplement paraules, un atac de força bruta els permet detectar paraules que no són del diccionari treballant amb totes les combinacions alfanumèriques possibles des de aaa1 fins a zzz10.
No és ràpid, sempre que la contrasenya tingui més d'un grapat de caràcters, però finalment la descobrirà. Els atacs de força bruta es poden escurçar llançant una potència informàtica addicional, tant pel que fa a la potència de processament, inclòs l'aprofitament de la potència de la GPU de la targeta de vídeo, com als números de màquina, com ara l'ús de models informàtics distribuïts com els miners de bitcoins en línia.
3. Rainbow Table Attack
Les taules de l'arc de Sant Martí no són tan acolorides com el seu nom pot indicar, però, per a un pirata informàtic, la vostra contrasenya podria estar al final. De la manera més senzilla possible, podeu resumir una taula de l'arc de Sant Martí en una llista de hashes precalculats, el valor numèric que s'utilitza per xifrar una contrasenya. Aquesta taula conté els hash de totes les combinacions de contrasenyes possibles per a qualsevol algorisme de hash donat. Les taules de l'arc de Sant Martí són atractives, ja que redueixen el temps necessari per trencar un hash de contrasenya per simplement buscar alguna cosa en una llista.
Tanmateix, les taules de l'arc de Sant Martí són coses enormes i difícils de manejar. Requereixen una gran potència de càlcul per executar-se i una taula esdevé inútil si el hash que està intentant trobar s'ha "salat" mitjançant l'addició de caràcters aleatoris a la seva contrasenya abans de l'algorisme.
Es parla de taules d'arc de Sant Martí salades existents, però aquestes serien tan grans que seran difícils d'utilitzar a la pràctica. És probable que només funcionin amb un conjunt de "caràcters aleatoris" predefinit i cadenes de contrasenyes inferiors a 12 caràcters, ja que la mida de la taula seria prohibitiva fins i tot per als pirates informàtics d'estat.
4. Phishing
Hi ha una manera fàcil de piratejar, demanant a l'usuari la seva contrasenya. Un correu electrònic de pesca condueix al lector desprevingut a una pàgina d'inici de sessió falsificada associada amb qualsevol servei al qual vol accedir el pirata informàtic, generalment demanant a l'usuari que solucioni un problema terrible amb la seva seguretat. Aleshores, aquesta pàgina ignora la seva contrasenya i el pirata informàtic la pot utilitzar per al seu propi propòsit.
Per què molestar-se a esquivar la contrasenya quan l'usuari us la donarà amb molt de gust de totes maneres?
5. Enginyeria Social
L'enginyeria social porta tot el concepte de "preguntar a l'usuari" fora de la safata d'entrada amb què la pesca tendeix a quedar-se i al món real.
Un dels preferits de l'enginyer social és trucar a una oficina fent-se passar per un tècnic de seguretat informàtica i simplement demanar la contrasenya d'accés a la xarxa. Us sorprendrà la freqüència amb què això funciona. Alguns fins i tot tenen les gònades necessàries per posar-se un vestit i una insígnia de nom abans d'entrar a un negoci per fer la mateixa pregunta a la recepcionista cara a cara.
6. Programari maliciós
Un programari maliciós pot instal·lar un keylogger, o raspador de pantalla, que registra tot el que escriviu o fa captures de pantalla durant un procés d'inici de sessió i, a continuació, reenvia una còpia d'aquest fitxer a la central de pirates informàtics.
Alguns programes maliciosos buscaran l'existència d'un fitxer de contrasenya del client del navegador web i el copiaran que, tret que estigui xifrat correctament, contindrà contrasenyes desades fàcilment accessibles de l'historial de navegació de l'usuari.
7. Cracking fora de línia
És fàcil imaginar que les contrasenyes són segures quan els sistemes que protegeixen bloquegen els usuaris després de tres o quatre suposicions errònies, bloquejant les aplicacions d'endevinalles automatitzades. Bé, això seria cert si no fos perquè la majoria de la pirateria de contrasenyes es produeix fora de línia, utilitzant un conjunt de hashes en un fitxer de contrasenyes que s'ha "obtingut" d'un sistema compromès.
Sovint, l'objectiu en qüestió s'ha vist compromès mitjançant un pirateig a un tercer, que després proporciona accés als servidors del sistema i als fitxers hash de contrasenyes d'usuari tan importants. Aleshores, el descodificador de contrasenyes pot trigar el temps que necessiti per intentar trencar el codi sense avisar el sistema objectiu o l'usuari individual.
8. Surf d'espatlla
Una altra forma d'enginyeria social, la navegació a l'espatlla, tal com implica, implica mirar per sobre de les espatlles d'una persona mentre introdueix credencials, contrasenyes, etc. Tot i que el concepte és molt tecnològic, us sorprendrà quantes contrasenyes i informació sensible. es roba d'aquesta manera, així que estigueu atents al vostre entorn quan accediu als comptes bancaris, etc.
Els pirates informàtics més segurs prendran l'aparença d'un missatger de paquets, un tècnic de servei d'aire condicionat o qualsevol altra cosa que els permeti accedir a un edifici d'oficines. Un cop es troben dins, l'"uniforme" del personal de servei ofereix una mena de passada gratuïta per passejar sense obstacles i prendre nota de les contrasenyes introduïdes per membres genuïns del personal. També ofereix una oportunitat excel·lent per veure totes aquelles notes post-it enganxades a la part frontal de les pantalles LCD amb els inicis de sessió gargotats.
9. Aranya
Els pirates informàtics experts s'han adonat que moltes contrasenyes corporatives estan formades per paraules connectades amb el propi negoci. L'estudi de la literatura corporativa, el material de venda de llocs web i fins i tot els llocs web dels competidors i dels clients llistats pot proporcionar la munició per crear una llista de paraules personalitzada per utilitzar-la en un atac de força bruta.
Els pirates informàtics realment intel·ligents han automatitzat el procés i han deixat que una aplicació d'aranya, semblant als rastrejadors web que utilitzen els principals motors de cerca per identificar paraules clau, reculli i col·leccioni les llistes.
10. Endevina
El millor amic dels crackers de contrasenyes, per descomptat, és la predictibilitat de l'usuari. A menys que s'hagi creat una contrasenya realment aleatòria mitjançant un programari dedicat a la tasca, és poc probable que una contrasenya "atzar" generada per l'usuari sigui una cosa semblant.
En canvi, gràcies a l'afecció emocional del nostre cervell a les coses que ens agraden, és probable que aquestes contrasenyes aleatòries es basen en els nostres interessos, aficions, mascotes, família, etc. De fet, les contrasenyes acostumen a basar-se en tot allò que ens agrada xerrar a les xarxes socials i fins i tot incloure en els nostres perfils. És molt probable que els crackers de contrasenyes miren aquesta informació i facin algunes conjectures educades, sovint correctes, quan intenten descifrar una contrasenya a nivell de consumidor sense recórrer a atacs de diccionari o de força bruta.
Altres atacs amb els quals cal tenir cura
Si als pirates informàtics els falta alguna cosa, no és creativitat. Utilitzant una varietat de tècniques i adaptant-se als protocols de seguretat en constant canvi, aquests intrusos continuen tenint èxit.
Per exemple, és probable que qualsevol persona a les xarxes socials hagi vist els divertits qüestionaris i plantilles que us demanen que parleu del vostre primer cotxe, del vostre menjar preferit, de la cançó número u del vostre 14è aniversari. Tot i que aquests jocs semblen inofensius i, sens dubte, són divertits de publicar, en realitat són una plantilla oberta per a preguntes de seguretat i respostes de verificació d'accés al compte.
Quan configureu un compte, potser proveu d'utilitzar respostes que en realitat no us pertanyen, però que recordeu fàcilment. "Quin va ser el teu primer cotxe?" En lloc de respondre amb veritat, posa el cotxe dels teus somnis. En cas contrari, simplement no publiqueu cap resposta de seguretat en línia.
Una altra manera d'accedir-hi és simplement restablir la contrasenya. La millor línia de defensa contra un intrús que restableixi la vostra contrasenya és utilitzar una adreça de correu electrònic que comproveu amb freqüència i mantenir la vostra informació de contacte actualitzada. Si està disponible, activeu sempre l'autenticació de 2 factors. Fins i tot si el pirata informàtic aprèn la teva contrasenya, no podrà accedir al compte sense un codi de verificació únic.
Preguntes freqüents
Per què necessito una contrasenya diferent per a cada lloc?
Segurament ja sabeu que no hauríeu de donar les vostres contrasenyes i que no hauríeu de descarregar cap contingut que no estigueu familiaritzat, però què passa amb els comptes als quals inicieu sessió cada dia? Suposem que utilitzeu la mateixa contrasenya per al vostre compte bancari que per a un compte arbitrari com Grammarly. Si es pirateja Grammarly, l'usuari també té la vostra contrasenya bancària (i possiblement el vostre correu electrònic, per la qual cosa és encara més fàcil accedir a tots els vostres recursos financers).
Què puc fer per protegir els meus comptes?
La millor línia de defensa contra els pirates informàtics és utilitzar 2FA en qualsevol compte que ofereixi la funció, utilitzar contrasenyes úniques per a cada compte i utilitzar una barreja de lletres i símbols. Com s'ha dit anteriorment, hi ha moltes maneres diferents en què els pirates informàtics accedeixen als vostres comptes, de manera que altres coses que heu d'assegurar-vos que feu regularment és mantenir el programari i les aplicacions actualitzats (per als pedaços de seguretat) i evitant les descàrregues que no esteu familiaritzats.
Quina és la manera més segura de conservar les contrasenyes?
Mantenir-se al dia amb diverses contrasenyes estranyes pot ser increïblement difícil. Tot i que és molt millor passar pel procés de restabliment de la contrasenya que no pas comprometre els vostres comptes, requereix molt de temps. Per mantenir les vostres contrasenyes segures, podeu utilitzar un servei com Last Pass o KeePass per desar totes les contrasenyes del vostre compte.
També podeu utilitzar un algorisme únic per conservar les vostres contrasenyes alhora que les fa més fàcils de recordar. Per exemple, PayPal podria ser una cosa com hwpp+c832. Bàsicament, aquesta contrasenya és la primera lletra de cada interrupció a l'URL (//www.paypal.com) amb l'últim número de l'any de naixement de tothom a casa teva (com a exemple). Quan aneu al vostre compte, visualitzeu l'URL que us donarà les primeres lletres d'aquesta contrasenya.
Afegiu símbols perquè la vostra contrasenya sigui encara més difícil de piratejar, però organitzeu-los perquè siguin més fàcils de recordar. Per exemple, el símbol "+" pot ser per a qualsevol compte relacionat amb l'entreteniment mentre que el "!" es pot utilitzar per als comptes financers.