Birinin şifresini bulmak ister misiniz? Yaşam seçimlerinizi gözden geçirin. Bunun yerine şifrenizi bilgisayar korsanlarından nasıl koruyacağınızı öğrenin.
"Güvenlik ihlali" duyduğunuzda aklınıza ne geliyor? Matrix tarzı dijital metinle kaplı ekranların önünde oturan kötü niyetli bir bilgisayar korsanı mı? Ya da üç haftadır gün ışığı görmemiş bodrum katında oturan bir genç mi? Tüm dünyayı hacklemeye çalışan güçlü bir süper bilgisayara ne dersiniz?
Hacking tek bir şeyle ilgilidir: şifreniz. Birisi şifrenizi tahmin edebiliyorsa, süslü bilgisayar korsanlığı tekniklerine ve süper bilgisayarlara ihtiyacı yoktur. Sadece giriş yapacaklar, sizin gibi davranacaklar. Şifreniz kısa ve basitse oyun biter.
Bilgisayar korsanlarının şifrenizi kırmak için kullandığı sekiz yaygın taktik vardır.
1. Sözlük Hack
Ortak şifre kırma taktikleri kılavuzunda ilk sırada sözlük saldırısı var. Neden sözlük saldırısı deniyor? Çünkü tanımlı bir "sözlük"teki her kelimeyi şifreye karşı otomatik olarak dener. Sözlük kesinlikle okulda kullandığın sözlük değil.
Hayır. Bu sözlük aslında en sık kullanılan parola kombinasyonlarını içeren küçük bir dosyadır. Buna 123456, qwerty, password, iloveyou ve tüm zamanların klasiği olan Hunter2 dahildir.
Yukarıdaki tablo 2016 yılında en çok sızdırılan şifreleri detaylandırmaktadır. Aşağıdaki tablo 2020 yılında en çok sızdırılan şifreleri detaylandırmaktadır.
İkisi arasındaki benzerlikleri not edin ve bu inanılmaz derecede basit seçenekleri kullanmadığınızdan emin olun.
Artıları: Hızlı; genellikle kötü korunan bazı hesapların kilidini açar.
Eksileri: Biraz daha güçlü parolalar bile güvende kalacaktır.
Güvende kalın: Bir parola yönetimi uygulamasıyla bağlantılı olarak her hesap için güçlü bir tek kullanımlık parola kullanın . Parola yöneticisi, diğer parolalarınızı bir havuzda saklamanıza izin verir. Ardından, her site için tek, gülünç derecede güçlü bir şifre kullanabilirsiniz.
2. Kaba Kuvvet
Sırada, bir saldırganın olası her karakter kombinasyonunu denediği kaba kuvvet saldırısı var. Denenen parolalar, örneğin bir büyük harf, bir küçük harf, Pi'nin ondalık sayıları, pizza siparişiniz vb. dahil olmak üzere karmaşıklık kurallarının belirtimleriyle eşleşecektir.
Bir kaba kuvvet saldırısı ayrıca en yaygın kullanılan alfanümerik karakter kombinasyonlarını da deneyecektir. Bunlar, daha önce listelenen şifrelerin yanı sıra 1q2w3e4r5t, zxcvbnm ve qwertyuiop'u içerir. Bu yöntemi kullanarak bir parola bulmak çok uzun zaman alabilir, ancak bu tamamen parola karmaşıklığına bağlıdır.
Artıları: Teorik olarak, her kombinasyonu deneyerek herhangi bir şifreyi kıracaktır.
Eksileri: Parola uzunluğuna ve zorluğuna bağlı olarak çok uzun zaman alabilir. $, &, { veya ] gibi birkaç değişken girin ve parolayı bulmak son derece zor hale gelir.
Güvende kalın: Her zaman değişken bir karakter kombinasyonu kullanın ve mümkünse karmaşıklığı artırmak için ekstra semboller ekleyin .
3. Kimlik avı
Bu kesinlikle bir "saldırı" değildir, ancak bir phishing veya mızrak phishing girişiminin tuzağına düşmek genellikle kötü bir şekilde sonuçlanır. Genel kimlik avı e-postaları, milyarlarca dünya çapındaki her türden internet kullanıcısına gönderilir ve kesinlikle birinin şifresini bulmanın en popüler yollarından biridir.
Bir kimlik avı e-postası genellikle şu şekilde çalışır:
Hedef kullanıcı, büyük bir kuruluştan veya işletmeden geldiği iddia edilen sahte bir e-posta alır.
Sahte e-posta, bir web sitesine bağlantı içeren anında ilgilenilmesini gerektirir.
Bu bağlantı, gerçek siteyle tam olarak aynı görünecek şekilde sahte bir giriş portalına bağlanır.
Şüphelenmeyen hedef kullanıcı, oturum açma kimlik bilgilerini girer ve yeniden yönlendirilir veya yeniden denemesi söylenir.
Kullanıcı kimlik bilgileri çalınır, satılır veya haince kullanılır (veya her ikisi).
Dünya çapında gönderilen günlük spam hacmi yüksek olmaya devam ediyor ve küresel olarak gönderilen tüm e-postaların yarısından fazlasını oluşturuyor. Ayrıca, Kaspersky 2021'de 148 milyondan fazla kötü amaçlı eki engellediği için kötü amaçlı eklerin hacmi de yüksektir . Ayrıca Kaspersky'nin Kimlik Avı Önleme sistemi ek 253 milyon kimlik avı bağlantısını engelledi. Unutmayın, bu sadece Kaspersky için, yani gerçek sayı çok daha yüksek .
2017'de en büyük kimlik avı cazibesi sahte bir faturaydı. Ancak 2020'de COVID-19 salgını yeni bir kimlik avı tehdidi sağladı . Nisan 2020'de, pek çok ülkenin pandemi kilitlenmesine girmesinden kısa bir süre sonra Google , günde 18 milyondan fazla COVID-19 temalı kötü niyetli spam ve kimlik avı e-postasını engellediğini duyurdu . Bu e-postaların büyük bir kısmı, meşruiyet için resmi hükümet veya sağlık kuruluşu markalarını kullanır ve kurbanları hazırlıksız yakalar.
Artıları: Kullanıcı, parolalar da dahil olmak üzere oturum açma bilgilerini kelimenin tam anlamıyla teslim eder; nispeten yüksek isabet oranı, belirli hizmetlere veya hedef odaklı kimlik avı saldırısında belirli kişilere kolayca uyarlanır .
Eksileri: İstenmeyen e-postalar kolayca filtrelenir, istenmeyen e-posta alanları kara listeye alınır ve Google gibi büyük sağlayıcılar sürekli olarak korumaları günceller.
Güvende kalın: E-postalara karşı şüpheci olun ve spam filtrenizi en yüksek ayarına yükseltin veya daha da iyisi proaktif bir beyaz liste kullanın. Tıklamadan önce bir e-posta bağlantısının meşru olup olmadığını belirlemek için bir bağlantı denetleyicisi kullanın .
4. Sosyal Mühendislik
Sosyal mühendislik, esasen gerçek dünyada, ekrandan uzakta kimlik avıdır.
Herhangi bir güvenlik denetiminin temel bir parçası, tüm iş gücünün ne anladığını ölçmektir. Örneğin, bir güvenlik şirketi denetlediği işletmeyi telefonla arayacaktır. "Saldırgan", telefondaki kişiye yeni ofis teknik destek ekibi olduklarını ve belirli bir şey için en son şifreye ihtiyaçları olduğunu söyler.
Şüphelenmeyen bir kişi, anahtarları düşünmek için duraklamadan teslim edebilir.
Korkunç olan şey, bunun ne sıklıkta çalıştığıdır. Sosyal mühendislik yüzyıllardır var olmuştur. Güvenli bir alana girmek için ikiyüzlü olmak yaygın bir saldırı yöntemidir ve ancak eğitimle korunabilir. Bunun nedeni, saldırının her zaman doğrudan parola istememesidir. Güvenli bir binaya girmek isteyen sahte bir tesisatçı veya elektrikçi vb. olabilir. Birisi kandırılarak şifresini ifşa ettiğini söylediğinde, bu genellikle sosyal mühendisliğin sonucudur.
Artıları: Nitelikli sosyal mühendisler, bir dizi hedeften yüksek değerli bilgiler çıkarabilir. Neredeyse herkese, her yere karşı konuşlandırılabilir. Son derece gizli.
Eksileri: Bir sosyal mühendislik hatası, yaklaşmakta olan bir saldırı hakkında şüpheler ve doğru bilgilerin temin edilip edilmediği konusunda belirsizliğe yol açabilir.
Güvende kalın : Bu zor bir şey. Başarılı bir sosyal mühendislik saldırısı, bir şeylerin yanlış olduğunu fark ettiğinizde tamamlanmış olacaktır. Eğitim ve güvenlik bilinci, temel bir azaltma taktiğidir. Daha sonra size karşı kullanılabilecek kişisel bilgileri paylaşmaktan kaçının.
5. Gökkuşağı Tablosu
Gökkuşağı tablosu genellikle çevrimdışı bir parola saldırısıdır. Örneğin, bir saldırgan bir kullanıcı adları ve parolalar listesi edinmiştir, ancak bunlar şifrelenmiştir. Şifrelenmiş parola hashlenir . Bu, orijinal şifreden tamamen farklı göründüğü anlamına gelir.
Örneğin, şifreniz (umarım değildir!) logmein'dir. Bu parola için bilinen MD5 karması "8f4047e3233b39e4444e1aef240e80aa" şeklindedir.
Size ve bana anlamsız geliyor. Ancak bazı durumlarda, saldırgan bir karma algoritma aracılığıyla düz metin parolaların bir listesini çalıştırarak sonuçları şifreli bir parola dosyasıyla karşılaştırır. Diğer durumlarda, şifreleme algoritması savunmasızdır ve çoğu parola MD5 gibi zaten kırılmıştır (dolayısıyla "logmein" için belirli karmayı biliyoruz).
Gökkuşağı masasının kendine geldiği yer burasıdır. Bir gökkuşağı tablosu, yüz binlerce potansiyel parolayı işlemek ve elde edilen karmaları eşleştirmek yerine, önceden hesaplanmış, algoritmaya özgü çok sayıda karma değer kümesidir. Gökkuşağı tablosu kullanmak, karma bir parolayı kırmak için gereken süreyi büyük ölçüde azaltır - ancak bu mükemmel değildir. Bilgisayar korsanları, milyonlarca potansiyel kombinasyonla doldurulmuş önceden doldurulmuş gökkuşağı tabloları satın alabilir.
Artıları: Karmaşık şifreleri kısa sürede çözebilir; bilgisayar korsanına belirli güvenlik senaryoları üzerinde çok fazla güç verir.
Eksileri: Muazzam (bazen terabaytlarca) gökkuşağı tablosunu depolamak için çok büyük miktarda alan gerektirir. Ayrıca, saldırganlar tabloda bulunan değerlerle sınırlıdır (aksi takdirde, tablonun tamamını eklemeleri gerekir).
Güvende kalın: Başka bir zor olanı. Gökkuşağı masaları çok çeşitli saldırı potansiyeli sunar. Parola karma algoritması olarak SHA1 veya MD5 kullanan sitelerden kaçının. Sizi kısa parolalarla sınırlayan veya kullanabileceğiniz karakterleri kısıtlayan sitelerden kaçının. Daima karmaşık bir şifre kullanın.
6. Kötü Amaçlı Yazılım/Keylogger
Oturum açma kimlik bilgilerinizi kaybetmenin bir başka kesin yolu da kötü amaçlı yazılımların tuzağına düşmek. Kötü amaçlı yazılım her yerdedir ve büyük hasar verme potansiyeli vardır. Kötü amaçlı yazılım türevi bir keylogger içeriyorsa, tüm hesaplarınızın güvenliğinin ihlal edildiğini görebilirsiniz.
Alternatif olarak, kötü amaçlı yazılım özel olarak özel verileri hedefleyebilir veya kimlik bilgilerinizi çalmak için uzaktan erişim Truva atı sunabilir.
Artıları: Birçok kolay teslimat yöntemiyle, çoğu özelleştirilebilir binlerce kötü amaçlı yazılım türü. Çok sayıda hedefin en az bir varyanta yenik düşmesi iyi bir şans. Özel verilerin ve oturum açma kimlik bilgilerinin daha fazla toplanmasına izin vererek algılanmayabilir.
Eksileri: Kötü amaçlı yazılımın çalışmama veya verilere erişmeden önce karantinaya alınma olasılığı; verilerin yararlı olduğunun garantisi yoktur.
Güvende kalın : Virüsten koruma ve kötü amaçlı yazılımdan koruma yazılımınızı yükleyin ve düzenli olarak güncelleyin. İndirme kaynaklarınızı dikkatlice değerlendirin. Paket yazılım ve daha fazlasını içeren kurulum paketlerini tıklamayın. Kötü niyetli sitelerden uzak durun (söylemesi yapmaktan daha kolay). Kötü amaçlı komut dosyalarını durdurmak için komut dosyası engelleme araçlarını kullanın.
7. Örümcek
Sözlük saldırısına örümcek bağları. Bir bilgisayar korsanı belirli bir kurumu veya işletmeyi hedeflerse, işletmenin kendisiyle ilgili bir dizi parola deneyebilir. Bilgisayar korsanı, bir dizi ilgili terimi okuyabilir ve sıralayabilir ya da işi onlar için yapmak için bir arama örümceği kullanabilir.
"Örümcek" terimini daha önce duymuş olabilirsiniz. Bu arama örümcekleri, internette gezinerek arama motorları için içerik dizine ekleyenlere son derece benzer. Özel kelime listesi daha sonra bir eşleşme bulma umuduyla kullanıcı hesaplarına karşı kullanılır.
Artıları: Bir kuruluştaki yüksek rütbeli kişiler için potansiyel olarak hesapların kilidini açabilir. Bir araya getirilmesi nispeten kolaydır ve sözlük saldırısına fazladan bir boyut ekler.
Eksileri: Kurumsal ağ güvenliği iyi yapılandırılmışsa sonuçsuz kalabilir.
Güvende kalın: Yine, yalnızca rastgele dizelerden oluşan güçlü, tek kullanımlık parolalar kullanın; kişiliğiniz, işiniz, organizasyonunuz vb. ile bağlantılı hiçbir şey.
8. Omuz Sörfü
Son seçenek en temel olanlardan biridir. Ya siz şifrenizi yazarken biri omzunuzun üzerinden bakarsa?
Omuz sörfü kulağa biraz saçma geliyor ama oluyor. Şehir merkezindeki yoğun bir kafede çalışıyorsanız ve çevrenize dikkat etmiyorsanız, biri siz yazarken şifrenizi not edecek kadar yaklaşabilir.
Artıları: Parola çalmak için düşük teknolojili yaklaşım.
Eksileri: Parolayı bulmadan önce hedefi tanımlamalıdır; hırsızlık sürecinde kendilerini açığa vurabilir.
Güvende kalın: Parolanızı yazarken etrafınızdakilere dikkat edin. Klavyenizi örtün ve giriş sırasında tuşlarınızı gizleyin.
Daima Güçlü, Benzersiz, Tek Kullanımlık Bir Parola Kullanın
Peki, bir bilgisayar korsanının şifrenizi çalmasını nasıl engellersiniz? Gerçekten kısa cevap, gerçekten yüzde 100 güvende olamazsınız . Bilgisayar korsanlarının verilerinizi çalmak için kullandıkları araçlar sürekli değişiyor ve şifreleri tahmin etmeye veya bir şifreyi nasıl hackleyeceğinizi öğrenmeye dair sayısız video ve eğitim var.
Kesin olan bir şey var: Güçlü, benzersiz, tek kullanımlık bir parola kullanmak asla kimseye zarar vermez.
