مقالات
۰

برخی از متداول‌ترین و موثرترین روش‌ها برای شکستن پسورد

روش های متداول و رایج برای شکستن پسورد

روش های متداول و رایج برای شکستن پسورد

پسوردها معمولا به راحتی شکسته می‌شوند و اغلب دوباره استفاده می‌شوند. امروزه در دوره رمزنگاری و بیومتریک، پسوردها روشی قدیمی برای محافظت از یک حساب کاربری می‌باشند. متاسفانه، این سهولت استفاده از پسوردها به این معنی است که پسوردها هنوز روش اصلی برای تایید اعتبار کاربر است. بنابراین، ضروری است تا همه ما، از روش‌هایی که هکرها استفاده می‌کنند تا به این کد مخفی ما دسترسی پیدا کنند، آگاهی داشته باشیم. فارغ از همه این‌ها، هرچقدر هم که تلاش کنید تا رمزعبور هوشمندانه‌ای انتخاب کنید، هکرها راهی برای تضعیف آن پیدا خواهندکرد.

لازم به ذکر است که بیشتر این تکنیک‌های هک کردن، در برابر احراز هویت‌های چندمرحله‌ای قوی، بی‌فایده هستند.

۱۲ روش استفاده شده برای شکستن پسورد توسط هکرها

  • فیشینگ Phishing

فیشینگ، یکی از راه های شکستن پسورد

فیشینگ، یکی از راه های شکستن پسورد

شاید بتوان گفت که امروزه فیشینگ، رایج‌ترین روش استفاده شده برای هک می‌باشد. فیشینگ، درواقع اقدام صورت گرفته برای سرقت اطلاعات کاربر از طریق مخفی کردن محتوای مخرب در قالب یک ارتباط قابل‌اعتماد است. اگر چه این اصطلاح به طورکلی به ایمیل اختصاص داده شده‌است. و برای توصیف سایر رسانه‌ها، اصطلاحات دیگری وجود دارد. مانند smishing(SMS phishing) که به فیشینگ انجام شده از طریق پیام کوتاه گفته می‌شود. فیشینگ می‌تواند در هر نوع ارتباط الترونیکی رخ دهد.

روش معمول به این صورت است که کاربر فریب داده شود تا روی یک لینک تعبیه‌شده کلیک کرده و یا یک فایل پیوست را دانلود کند. با این کار، به جای اینکه کاربر به یک منبع مفید هدایت شود، یک فایل مخرب در سیستم کاربر دانلود و اجرا می‌شود. آنچه در ادامه اتفاق می‌افتد، کاملا به نحوه عملکرد بدافزار بستگی دارد. برخی، ممکن است فایل‌ها را رمزگذاری کرده و از دسترسی کاربر به دستگاه جلوگیری کند. درحالی‌که برخی دیگر، ممکن است کاملا پنهان بمانند تا به عنوان backdoor برای سایر بدافزارها عمل کنند.

از آنجا که علم رایانه‌ای در طول سال‌ها افزایش یافته‌است و کاربران نیز با تهدیدات آنلاین آشنایی پیدا کرده‌اند، تکنیک‌های فیشینگ نیز مجبور به پیچیده‌شدن هستند. فیشینگ‌های امروزی، معمولا شامل نوعی مهندسی اجتماعی هستند. به این صورت که به نظر می‌رسد پیام از یک شرکت قانونی و غالبا مشهور ارسال شده‌است، که از طریق این پیام به کاربران خود اطلاع می‌دهد که باید نوعی اقدام را انجام دهند. شبکه‌هایی که غالبا برای این منظور استفاده می‌شوند، Amazon، Netflix و Facebook هستند. چرا که احتمال دارد قربانی حداقل در یکی از این شبکات، حساب کاربری داشته باشد.

  • مهندسی اجتماعی Social engineering

مهندسی اجتماعی یکی از روش های شکستن پسورد است

مهندسی اجتماعی یکی از روش های شکستن پسورد است

مهندسی اجتماعی به فرایندی گفته می‌شود که در آن تلاش می‌شود تا کاربر، هکر را به عنوان یک عامل قانونی باور کند. یک شیوه معمول به این صورت است که هکرها با قربانی تماس برقرار می‌کنند و خود را به عنوان پشتیبان فنی معرفی می‌کنند و مواردی مانند پسوردهای دسترسی به شبکه را برای ارائه خدمات، درخواست می‌کنند. البته انجام این کار، به صورت شخصی و با استفاده از فرم و مدارک ساختگی نیز می‌تواند به همان اندازه موثر باشد ولی این روش، امروزه کمتر دیده شده‌است.

حملات موفق مهندسی اجتماعی، می‌تواند بسیار سودآور باشد. همانطور که مدیرعامل یک شرکت انرژی مستقر در انگلیس، پس از اینکه هکرها توانستند از طریق یک ابزار هوش مصنوعی، صدای دستیار او را تقلید کنند، ۲۰۱,۰۰۰ پوند به هکرها پرداخت کرد.

  • بدافزار Maleware

بدافزار، روش هکرها برای شکستن پسورد

pppبدافزار، روش هکرها برای شکستن پسورد

Keylogger ها، screen scraper ها و تعداد دیگری از ابزارهای مخرب، همگی زیر چتر بدافزارها قرار دارند و اساسا طراحی شده‌اند تا اطلاعات شخصی را به سرقت ببرند. درکنار نرم‌افزارهای بسیار مخربی که تلاش می‌کنند تا دسترسی کاربر به کل سیستم را مسدود کنند، خانواده‌هایی از بدافزارهای بسیار تخصصی نیز وجود دارند که به طور خاص، رمزهای عبور را مورد هدف قرار می‌دهند.

Keylogger ها و موارد دیگر، ابتدا فعالیت کاربر را ثبت می‌کنند، که این کار را از طریق keystroke و یا screenshot انجام می‌دهند. سپس تمام این اطلاعات را در اختیار هکر قرار می‌دهند. حتی برخی از بدافزارها، از طریق سیستم کاربر، به صورت فعالانه، تلاش می‌کنند تا به دیکشنری پسوردها و یا اطلاعات مرتبط با مرورگرهای وب دسترسی پیدا کنند.

اگرچه امروزه، بسیاری از حملات شامل تلاش برای فریب دادن کاربر برای انتقال اطلاعات حساس آن‌ها است، ولی تکنیک‌های بسیاری وجود دارد که به هکرها امکان می‌دهد تا کمی تهاجمی‌تر عمل کنند. در ادامه، چند نمونه از برخی تکنیک‌هایی که به طور فعالانه برای شکار پسورد استفاده می‌شوند، آورده شده‌است. تکنیک‌هایی که در نتیجه رشد نرم‌افزارهای اتوماسیون، پیشرفت کرده و موثر شده‌اند.

  • Brute force attack

Brute force attack، یکی از روش های شکستن پسورد

Brute force attack، یکی از روش های شکستن پسورد

حملات Brute force به تعدادی از روش‌های مختلف هک کردن گفته می‌شود که همگی شامل حدس زدن رمزعبور به منظور دستیابی به سیستم می‌شود.
یک مثال ساده از brute force attack این است که هکر به راحتی رمزعبور شخص را بر اساس سرنخ‌های مرتبط حدس بزند. با این حال، دربعضی موارد پیچیده‌تر نیز می‌شوند. به عنوان مثال، بازیافت اعتبارنامه به این واقعیت متکی است که بسیاری از افراد، از گذرواژه‌های خود مجدد استفاده می‌کنند. برخی از آن‌ها، با نقض اطلاعات قبلی، مشخص می‌شوند. حملات brute force معکوس، به این صورت است که هکرها پسوردهای رایج بیشتر استفاده‌شده را به دست می‌آورند و سپس تلاش می‌کنند تا نام کاربری مختص هرکدام را بیابند. اکثر حملات brute force، نوعی پردازش خودکار را به کار میگیرند و اجازه میدهند مقدار زیادی رمزعبور به سیستم وارد شود.

  • Dictionary attack

dictionary attack، یکی از روش های شکستن پسورد

dictionary attack، یکی از روش های شکستن پسورد

حمله دیکشنری، نمونه پیچیده‌تری از حمله brute force است. در این حمله، لیستی از پسوردهای بیشتر استفاده‌شده و عبارات معمول به سیستم کامپیوتری وارد می‌شود تا زمانی که یکی از آن‌ها درست باشد. اکثر دیکشنری‌ها از اعتبارنامه‌های به دست آمده از هک‌های قبلی ساخته می‌شوند، چرا که آن‌ها شامل ترکیبی از رایج‌ترین پسوردها و عبارات استفاده‌شده می‌باشند. این تکنیک از این واقعیت بهره می‌برد که بسیاری از افراد از عبارات به یادماندنی که معمولا کل کلمات به یکدیگر چسبیده‌اند، به عنوان رمزعبور استفاده می‌کنند.

  • Mask attack

Mask attack، یکی از روش های شکستن پسورد است.

Mask attack، یکی از روش های شکستن پسورد است.

درحالی‌که حملات دیکشنری از لیست کلمات و عبارت ترکیبی ممکن استفاده می‌کنند، حملات mask از دامنه مشخص‌تری استفاده می‌کنند و اغلب حدس‌ها را بر اساس شخصیت‌ها یا اعداد، که معمولا در دانش موجود هستند، اصلاح می‌کنند.
به عنوان مثال، اگر هکر بداند که پسوردی با عدد شروع می‌شود، می‌تواند mask را طوری تنطیم کند تا فقط پسوردهایی از همان نوع که با عدد شروع می‌شوند را امتحان کند. طول رمزعبور، ترتیب کاراکترها، اینکه آیا کاراکتر خاصی در آن گنجانده شده‌است یا اینکه یک کاراکتر به تنهایی چند بار تکرار می‌شود، همه ضوابط و معیارهایی هستند که برای تنظیم mask، می‌تواند استفاده شود.

هدف در این حمله، کاهش زمان شکستن پسورد و حذف هرگونه پردازش غیرضروری است.

بدافزار، فیشینگ و مهندسی اجتماعی، اصطلاحات رایجی در اخبار دنیای امنیت سایبری است و بیشتر مردم در معرض چنین حملاتی قرار می‌گیرند. با این حال، تعدادی از این تکنیک‌ها، به ندرت در گزارشات مطرح می‌شوند، یا به این دلیل که از آن‌ها در پشت صحنه استفاده می‌شود و یا به این دلیل که آن‌ها فقط در ارتباط با انواع قابل شناسایی‌تر حملات، وجود دارند. در ادامه تعدادی از این تکنیک‌ها به صورت خلاصه آورده شده‌است.

  • Rainbow table attack

Rainbow table attack، یکی از روش های شکستن پسورد

Rainbow table attack، یکی از روش های شکستن پسورد

هر زمان که یک پسورد در سیستم ذخیره می‌شود، معمولا با استفاده از hash و یا یک نام مستعار رمزنگاری، رمزگذاری می‌شود. درنتیجه، مشخص کردن رمزعبور اصلی بدون داشتن hash مربوطه، امکان‌پذیر نخواهدبود. به منظور دورزدن این مسئله، هکرها دفترچه راهنمایی را نگه‌داری و به اشتراک می‌گذارند که در آن پسوردها و هش‌های مربوط به آن‌ها که اغلب از هک‌های قبلی به دست آمده‌اند را ثبت می‌کنند که باعث می‌شود زمان لازم برای ورود به سیستم کاهش یابد(در حملات brute force استفاده می‌شود).

Rainbow tables یک قدم فراتر می‌رود و به جای اینکه فقط یک پسورد و هش آن را ارائه دهد، لیست از پیش‌کامپایل‌شده‌ای از تمام نسخه‌های متنی ساده از پسوردهای رمزگذاری‌شده بر اساس الگوریتم هش را ذخیره می‌کند. سپس هکرها قادر هستند که این لیست را با هر پسورد رمزگذاری‌شده‌ای که در سیستم یک شرکت کشف می‌کنند، مقایسه کنند.

بیشتر محاسبات قبل از وقوع حمله انجام می‌شود و درمقایسه با دیگر متدهای حمله، کمک می‌کند تا حمله بسیار سریع‌تر و آسان‌تر صورت بگیرد. نکته منفی که در این رابطه برای مجرمان سایبری وجود دارد این است که حجم ترکیبات احتمالی که rainbow tables می‌توانند داشته باشند، بسیار بزرگ است و اغلب اندازه آن‌ها صدها گیگابایت می‌شود.

  • Network analysers

Network analysers، روش استفاده شده برای شکستن پسورد

Network analysers، روش استفاده شده برای شکستن پسورد

Network analyser، ابزاری است که به هکرها امکان می‌دهد بسته‌های اطلاعات که از طریق شبکه ارسال می‌شوند را نظارت و ردیابی کنند و پسوردهای ساده متنی موجود در آن‌ها را برمی‌دارند. چنین حمله‌ای، نیاز به استفاده از بدافزار یا دسترسی فیزیکی به سوییچ شبکه دارد، اما می‌تواند بسیار کارآمد باشد. این امر به بهره‌برداری از آسیب‌پذیری سیستم یا اشکال موجود در شبکه متکی نیست و به همین دلیل در اکثر شبکه‌های داخلی قابل استفاده‌است. همچنین رایج است که فاز اول حمله با استفاده از Network analyser ها صورت بگیرد و سپس به دنبال آن، حملات brute force صورت بگیرد.

البته، مشاغل می‌توانند از همین ابزارها برای اسکن شبکه‌های خود، که مخصوصا می‌تواند برای اجرای عیب‌یابی مفید باشد، استفاده کنند. با استفاده از network analyser، ادمین می‌تواند اطلاعاتی که به صورت متن ساده متنقل شده‌است را ردیابی کند و برای جلوگیری از این امر، سیاست‌هایی را اتخاذ کند.

تنها راه جلوگیری از این حمله، ایمن ساختن ترافیک از طریق مسیریابی آن به کمک VPN یا موارد مشابه می‌باشد.

  • Spidering

Spidering، روش استفاده شده برای شکستن پسورد

Spidering، روش استفاده شده برای شکستن پسورد

تکنیک‌های به کاررفته در Spidering، بسیار شبیه به فیشینگ و مهندسی اجتماعی است. به طور کلی، این مورد نیاز به کار بیشتری از طرف هکر دارد، اما به طور قابل‌توجهی، احتمال موفقیت را افزایش می‌دهد. Spidering به فرایندی گفته می‌شود که در آن هکر هدف خود را شناخته و دررابطه با آن اطلاعات به دست می‌آورد. به عناون مثال، بسیاری از سازمان‌ها، خدمات داخلی خود را با پسوردهایی که به نوعی به تجارت آن‌ها مربوط می‌شود تا به خاطر سپردن آن برای کارمندان آسان‌تر باشد، انجام می‌دهند.

اگر هکری بداند که هدف‌اش برای شرکت خاصی کار می‌کند، ممکن است برای درک بیشتر آن‌ها، تلاش کند تا به شبکه‌های Wi-Fi داخلی و یا کتاب‌های راهنمای کارمندان دسترسی پیدا کند. همچنین، ممکن است محصولات تولیدشده توسط هدف را مورد بررسی قراردهند تا لیستی از کلمات ترکیبی احتمالی ایجاد کنند، که بعدا در حمله brute force مورداستفاده قرار گیرد. مانند بسیاری از ورودی‌های این لیست، این فرآیند معمولا توسطاتوماسیونپایه‌ریزی می‌شود.

تا اینجا برخی از پیچیده‌ترین تکنیک‌های دردسترس هکرها که شامل network analysis و توزیع و مدیریت بدافزارها را بررسی کردیم. با این وجود، تعداد انگشت‌شماری از تکنیک‌ها وجود دارد که از نظر ماهیت چنان خام هستند که به سختی می‌توان آن‌ها را رهگیری کرد و نگرانی هکرها از بابت شناسایی شدن را از بین می‌برد.

  • Offline cracking

offline cracking، روش استفاده شده توسط هکرها برای شکستن پسورد

offline cracking، روش استفاده شده توسط هکرها برای شکستن پسورد

نکته‌ای که باید به آن توجه داشته باشید این است که تمام هک‌ها از طریق اتصالات اینترنت صورت نمی‌گیرد. درحقیقت، بیشتر کارها به صورت آفلاین انجام می‌شود. به خصوص که اکثر سیستم‌ها، قبل از قفل شدن حساب کاربری، تعداد حدس‌های مجاز را محدود می‌کنند.

هک آفلاین، معمولا به فرآیندی گفته می‌شود که در آن رمزهای‌عبور با استفاده از لیستی از هش‌هایی که از هک‌های قبلی به دست آمده‌است، رمزگشایی می‌شوند. درصورت عدم وجود تهدید شناسایی و یا محدودیت فرم پسورد، هکرها می‌توانند زمان کافی برای اینکار صرف کنند. مطمئناً این کار فقط در صورت شروع موفقیت‌آمیز حمله اولیه، خواه اینکه هکر با استفاده از تزریق یک حمله به SQL یا حمله به یک سرور محافظت‌نشده، امتیازات بالایی کسب کرده و به یک پایگاه داده دسترسی پیدا کند، انجام می‌شود.

  • Shoulder surfing

Shoulder surfing، روش بی‌شرمانه برای شکستن پسود

Shoulder surfing، روش بی‌شرمانه برای شکستن پسود

شاید فکر کنید این ایده که فردی برای دیدن پسورد شما، از بالای شانه‌های شما نگاه کند، محصولی از هالیوود باشد، اما در سال ۲۰۲۰ این یک تهدید واقعی است. نمونه‌های گستاخانه این مورد این است که هکرها در لباس‌های مبدل خود را پنهان می‌کنند و برای دسترسی داشتن به سایت‌های شرکت، به معنای واقعی کلمه از بالای شانه کارمندان نگاه می‌کنند تا پسوردها و اسناد حساس آن‌ها را به دست بیاورند. شاید مشاغل کوچک‌تر بیشتر درمعرض این خطر باشند، چرا که آنها نمی‌توانند همانند سازمان‌های بزرگ از سایت‌های خود محافظت کنند.

کارشناسان امنیتی، اخیرا نسبت به وجود آسیب‌پذیری در فرآیند احرازهویت استفاده توسط whatsapp هشدار داده‌اند. کاربرانی که می‌خواهند از whatsapp در دستگاه جدیدی استفاده کنند، ابتدا باید کد منحصربه‌فردی که از طریق پیام متنی برای آن‌ها ارسال می‌شود را وارد کنند. که می‌تواند برای بازگرداندن حساب کاربری و تاریخچه چت‌ها با استفاده از بکاپ، استفاده شود. سپس، چنین مشخص شد که اگر یک هکر بتواند به شماره تلفن کاربر دسترسی پیدا کند، می‌توانند اپلیکیشن را روی یک دستگاه جدید دانلود کرده و برای کد جدید، درخواست دهند. که اگر به قصد جاسوسی این کار را انجام دهند، می‌توانند به اطلاعات کاربر دسترسی پیدا کنند.

  • حدس زدن

برای شکستن پسورد همواره میتوان از روش حدس زدن استفاده کرد.

برای شکستن پسورد همواره میتوان از روش حدس زدن استفاده کرد.

اگر تمام راه‌هایی که گفتیم، با شکست روبه‌رو شود، هکر می‌تواند رمز ورود شما را حدس بزند. درحالی‌که پسورد منیجرهای بسیاری وجود دارند که رشته‌هایی را تولید می‌کنند که حدس زدن آن‌ها غیرممکن است، بسیاری از کاربران هنوز از عبارات به‌یادماندنی استفاده می‌کنند. بیشتر این پسوردها غالبا براساس سرگرمی‌ها، حیوانات خانگی و یا خانواده است که اغلب آن‌ها در همان صفحه پروفایلی که دارای پسورد است، قرار دارند.

بهترین راه جلوگیری از دسترسی مجرمان به پسوردهای شخصی، استفاده از پسورد منیجرها است که بسیاری از آن‌ها به صورت رایگان دردسترس هستند.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

این فیلد را پر کنید
این فیلد را پر کنید
لطفاً یک نشانی ایمیل معتبر بنویسید.
شما برای ادامه باید با شرایط موافقت کنید

فهرست
درخواست پشتیبانی

درخواست کمک