การทำความเข้าใจเทคนิคการถอดรหัสรหัสผ่านที่แฮ็กเกอร์ใช้ในการเปิดบัญชีออนไลน์ของคุณให้กว้างขึ้นเป็นวิธีที่ดีเพื่อให้แน่ใจว่าจะไม่เกิดขึ้นกับคุณ
คุณจะต้องเปลี่ยนรหัสผ่านเสมอ และบางครั้งก็เร่งด่วนกว่าที่คุณคิด แต่การบรรเทาการโจรกรรมเป็นวิธีที่ยอดเยี่ยมในการควบคุมความปลอดภัยของบัญชีของคุณ คุณสามารถไปที่ www.haveibeenpwned.com ได้ตลอดเวลาเพื่อตรวจสอบว่าคุณมีความเสี่ยงหรือไม่ แต่เพียงแค่คิดว่ารหัสผ่านของคุณปลอดภัยพอที่จะไม่ถูกแฮ็กก็เป็นความคิดที่ไม่ดี
ดังนั้น เพื่อช่วยให้คุณเข้าใจว่าแฮ็กเกอร์ได้รับรหัสผ่านของคุณอย่างไร - ปลอดภัยหรืออย่างอื่น - เราได้รวบรวมรายชื่อเทคนิคการถอดรหัสรหัสผ่านสิบอันดับแรกที่แฮ็กเกอร์ใช้ วิธีการด้านล่างบางวิธีล้าสมัยอย่างแน่นอน แต่นั่นไม่ได้หมายความว่ายังไม่ได้ใช้งาน อ่านอย่างระมัดระวังและเรียนรู้สิ่งที่ควรบรรเทา
เทคนิคการถอดรหัสรหัสผ่านสิบอันดับแรกที่ใช้โดยแฮกเกอร์
1. พจนานุกรมโจมตี
การโจมตีด้วยพจนานุกรมใช้ไฟล์อย่างง่ายที่มีคำที่สามารถพบได้ในพจนานุกรม จึงเป็นชื่อที่ค่อนข้างตรงไปตรงมา กล่าวอีกนัยหนึ่ง การโจมตีนี้ใช้คำประเภทเดียวกับที่หลายคนใช้เป็นรหัสผ่าน
การจัดกลุ่มคำอย่างชาญฉลาด เช่น “letmein” หรือ “superadministratorguy” จะไม่ป้องกันรหัสผ่านของคุณจากการถูกถอดรหัสด้วยวิธีนี้ – และไม่ควรเกินไม่กี่วินาที
2. การโจมตีด้วยพลังเดรัจฉาน
คล้ายกับการโจมตีพจนานุกรม การโจมตีด้วยกำลังเดรัจฉานมาพร้อมกับโบนัสเพิ่มเติมสำหรับแฮ็กเกอร์ แทนที่จะใช้คำเพียงอย่างเดียว การโจมตีด้วยกำลังเดรัจฉานช่วยให้พวกเขาสามารถตรวจจับคำที่ไม่ใช่พจนานุกรมโดยการทำงานผ่านชุดค่าผสมของตัวอักษรและตัวเลขที่เป็นไปได้ทั้งหมดตั้งแต่ aaa1 ถึง zzz10
มันไม่เร็วนักหากรหัสผ่านของคุณมีความยาวเกินไม่กี่ตัวอักษร แต่ในที่สุดมันก็จะเปิดเผยรหัสผ่านของคุณ การโจมตีด้วยกำลังดุร้ายสามารถย่อให้สั้นลงได้ด้วยการเพิ่มแรงม้าในการประมวลผล ทั้งในแง่ของพลังการประมวลผล – รวมถึงการควบคุมพลังของ GPU การ์ดวิดีโอของคุณ – และหมายเลขเครื่อง เช่น การใช้แบบจำลองการคำนวณแบบกระจาย เช่น การขุด Bitcoin ออนไลน์
3. โจมตีโต๊ะสายรุ้ง
โต๊ะเรนโบว์ไม่ได้มีสีสันเหมือนชื่อของมัน แต่สำหรับแฮ็กเกอร์ รหัสผ่านของคุณอาจอยู่ท้ายตาราง ในวิธีที่ตรงไปตรงมาที่สุด คุณสามารถต้มตารางสีรุ้งลงในรายการแฮชที่คำนวณไว้ล่วงหน้า ซึ่งเป็นค่าตัวเลขที่ใช้เมื่อเข้ารหัสรหัสผ่าน ตารางนี้มีแฮชของชุดรหัสผ่านที่เป็นไปได้ทั้งหมดสำหรับอัลกอริธึมการแฮชที่กำหนด โต๊ะเรนโบว์มีความน่าสนใจเนื่องจากช่วยลดเวลาที่ใช้ในการถอดรหัสแฮชของรหัสผ่านเพียงแค่ค้นหาบางอย่างในรายการ
อย่างไรก็ตาม โต๊ะสีรุ้งนั้นใหญ่โตและเทอะทะ พวกเขาต้องการพลังการประมวลผลที่จริงจังในการทำงาน และตารางจะไร้ประโยชน์หากแฮชที่พยายามค้นหานั้น "ถูกทำให้เค็ม" โดยการเพิ่มอักขระสุ่มลงในรหัสผ่านก่อนการแฮชอัลกอริธึม
มีการพูดถึงโต๊ะเรนโบว์เกลืออยู่ แต่สิ่งเหล่านี้จะใหญ่มากจนยากต่อการใช้งานจริง พวกเขาจะใช้งานได้เฉพาะกับชุด "อักขระสุ่ม" ที่กำหนดไว้ล่วงหน้าและสตริงรหัสผ่านที่ต่ำกว่า 12 อักขระ เนื่องจากขนาดของตารางจะเป็นอุปสรรคต่อแฮ็กเกอร์ระดับรัฐ
4. ฟิชชิ่ง
มีวิธีง่ายๆ ในการแฮ็ค ขอรหัสผ่านจากผู้ใช้ อีเมลฟิชชิ่งนำผู้อ่านที่ไม่สงสัยไปยังหน้าเข้าสู่ระบบปลอมซึ่งเชื่อมโยงกับบริการใดก็ตามที่แฮ็กเกอร์ต้องการเข้าถึง โดยปกติแล้วจะขอให้ผู้ใช้แก้ไขปัญหาด้านความปลอดภัยที่ร้ายแรง จากนั้นหน้านั้นก็ใช้รหัสผ่านแบบคร่าวๆ และแฮ็กเกอร์ก็สามารถใช้งานได้ตามวัตถุประสงค์ของตนเอง
จะไปยุ่งกับปัญหาในการถอดรหัสรหัสผ่านทำไมในเมื่อผู้ใช้จะให้รหัสผ่านกับคุณอย่างมีความสุขล่ะ?
5. วิศวกรรมสังคม
วิศวกรรมสังคมใช้แนวคิด "ถามผู้ใช้" ทั้งหมดนอกกล่องจดหมายที่ฟิชชิงมักจะติดอยู่และเข้าสู่โลกแห่งความเป็นจริง
สิ่งที่ชอบของวิศวกรโซเชียลคือการโทรหาสำนักงานที่ปลอมตัวเป็นเจ้าหน้าที่รักษาความปลอดภัยด้านไอทีและขอรหัสผ่านการเข้าถึงเครือข่าย คุณจะทึ่งกับความถี่ในการทำงาน บางคนถึงกับมีอวัยวะสืบพันธุ์ที่จำเป็นในการสวมสูทและป้ายชื่อก่อนที่จะเดินเข้าไปในธุรกิจเพื่อถามคำถามเดียวกันกับพนักงานต้อนรับแบบเห็นหน้ากัน
6. มัลแวร์
มัลแวร์สามารถติดตั้งคีย์ล็อกเกอร์หรือเครื่องขูดหน้าจอได้ ซึ่งจะบันทึกทุกสิ่งที่คุณพิมพ์หรือจับภาพหน้าจอระหว่างกระบวนการเข้าสู่ระบบ แล้วส่งต่อสำเนาของไฟล์นี้ไปยังศูนย์กลางของแฮ็กเกอร์
มัลแวร์บางตัวจะมองหาไฟล์รหัสผ่านไคลเอ็นต์ของเว็บเบราว์เซอร์และคัดลอกไฟล์นี้ ซึ่งจะมีรหัสผ่านที่บันทึกไว้ซึ่งเข้าถึงได้ง่ายจากประวัติการเข้าชมของผู้ใช้ เว้นแต่จะเข้ารหัสอย่างถูกต้อง
7. แคร็กออฟไลน์
เป็นเรื่องง่ายที่จะจินตนาการว่ารหัสผ่านจะปลอดภัยเมื่อระบบที่ป้องกันผู้ใช้ล็อกเอาต์หลังจากเดาผิดสามหรือสี่ครั้ง ซึ่งจะบล็อกแอปพลิเคชันการเดาอัตโนมัติ นั่นคงจะจริงถ้าไม่ใช่เพราะความจริงที่ว่าการแฮ็กรหัสผ่านส่วนใหญ่เกิดขึ้นแบบออฟไลน์ โดยใช้ชุดแฮชในไฟล์รหัสผ่านที่ 'ได้รับ' จากระบบที่ถูกบุกรุก
บ่อยครั้งที่เป้าหมายที่เป็นปัญหาถูกบุกรุกผ่านการแฮ็กในบุคคลที่สาม ซึ่งทำให้สามารถเข้าถึงเซิร์ฟเวอร์ของระบบและไฟล์แฮชรหัสผ่านของผู้ใช้ที่สำคัญทั้งหมดเหล่านั้น ตัวถอดรหัสรหัสผ่านสามารถใช้เวลานานเท่าที่พวกเขาต้องการและพยายามถอดรหัสรหัสโดยไม่แจ้งเตือนระบบเป้าหมายหรือผู้ใช้แต่ละราย
8. ท่องไหล่
อีกรูปแบบหนึ่งของวิศวกรรมสังคม การท่องไหล่ เช่นเดียวกับที่มันบอกเป็นนัยคือการแอบดูไหล่ของบุคคลในขณะที่พวกเขากำลังป้อนข้อมูลประจำตัว รหัสผ่าน ฯลฯ แม้ว่าแนวคิดนี้จะเป็นเทคโนโลยีที่ต่ำมาก คุณจะแปลกใจว่ารหัสผ่านและข้อมูลที่สำคัญมีกี่รหัส ถูกขโมยด้วยวิธีนี้ ดังนั้นให้ระวังสภาพแวดล้อมของคุณเมื่อเข้าถึงบัญชีธนาคาร ฯลฯ ในระหว่างการเดินทาง
แฮ็กเกอร์ที่มีความมั่นใจมากที่สุดจะปลอมตัวเป็นผู้ให้บริการจัดส่งพัสดุ ช่างบริการเครื่องปรับอากาศ หรือสิ่งอื่นใดที่ทำให้พวกเขาเข้าถึงอาคารสำนักงานได้ เมื่อพวกเขาเข้ามาแล้ว "เครื่องแบบ" ของเจ้าหน้าที่บริการจะให้บัตรผ่านฟรีเพื่อเดินไปรอบๆ โดยไม่มีสิ่งกีดขวาง และจดรหัสผ่านที่พนักงานของแท้ป้อนไว้ นอกจากนี้ยังให้โอกาสที่ดีในการจับตาโน้ตโพสต์อิททั้งหมดที่ติดอยู่ที่ด้านหน้าของหน้าจอ LCD โดยมีการเข้าสู่ระบบที่ขีดเขียนไว้
9. แมงมุม
แฮ็กเกอร์ผู้รอบรู้ได้ตระหนักว่ารหัสผ่านขององค์กรจำนวนมากประกอบด้วยคำที่เชื่อมโยงกับตัวธุรกิจเอง การศึกษาเอกสารของบริษัท เอกสารการขายเว็บไซต์ และแม้แต่เว็บไซต์ของคู่แข่งและลูกค้าในรายการสามารถจัดหากระสุนเพื่อสร้างรายการคำศัพท์ที่กำหนดเองเพื่อใช้ในการโจมตีแบบเดรัจฉาน
แฮ็กเกอร์ที่รอบรู้จริงๆ ได้ทำให้กระบวนการเป็นไปโดยอัตโนมัติและปล่อยให้แอปพลิเคชัน spidering คล้ายกับโปรแกรมรวบรวมข้อมูลเว็บที่ใช้โดยเครื่องมือค้นหาชั้นนำเพื่อระบุคำหลัก รวบรวมและเปรียบเทียบรายการสำหรับพวกเขา
10. เดา
แน่นอนว่าเพื่อนที่ดีที่สุดของโปรแกรมถอดรหัสรหัสผ่านคือความสามารถในการคาดเดาของผู้ใช้ เว้นแต่ว่าจะมีการสร้างรหัสผ่านแบบสุ่มอย่างแท้จริงโดยใช้ซอฟต์แวร์เฉพาะสำหรับงาน รหัสผ่าน 'สุ่ม' ที่ผู้ใช้สร้างขึ้นนั้นไม่น่าจะมีอะไรเกิดขึ้น
แต่ต้องขอบคุณความผูกพันทางอารมณ์ของสมองกับสิ่งที่เราชอบ โอกาสที่รหัสผ่านแบบสุ่มเหล่านั้นจะขึ้นอยู่กับความสนใจ งานอดิเรก สัตว์เลี้ยง ครอบครัว และอื่นๆ ของเรา อันที่จริง รหัสผ่านมักจะอ้างอิงจากทุกสิ่งที่เราชอบคุยบนโซเชียลเน็ตเวิร์กและรวมถึงในโปรไฟล์ของเราด้วย ตัวถอดรหัสรหัสผ่านมักจะดูข้อมูลนี้และคาดเดาข้อมูลบางส่วนซึ่งมักจะถูกต้องเมื่อพยายามถอดรหัสรหัสผ่านระดับผู้บริโภคโดยไม่ต้องใช้พจนานุกรมหรือการโจมตีแบบเดรัจฉาน
การโจมตีอื่นๆ ที่ควรระวัง
หากแฮ็กเกอร์ขาดอะไรไป แสดงว่าไม่ใช่ความคิดสร้างสรรค์ การใช้เทคนิคที่หลากหลายและการปรับให้เข้ากับโปรโตคอลความปลอดภัยที่เปลี่ยนแปลงตลอดเวลา ผู้บุกรุกเหล่านี้ยังคงประสบความสำเร็จต่อไป
ตัวอย่างเช่น ใครก็ตามบนโซเชียลมีเดียมักจะเห็นแบบทดสอบและเทมเพลตสนุกๆ ที่ขอให้คุณพูดถึงรถคันแรกของคุณ อาหารจานโปรดของคุณ เพลงอันดับหนึ่งในวันเกิดอายุ 14 ปีของคุณ แม้ว่าเกมเหล่านี้ดูเหมือนไม่มีอันตรายและสนุกกับการโพสต์ แต่จริงๆ แล้วเกมเหล่านี้เป็นเทมเพลตแบบเปิดสำหรับคำถามเพื่อความปลอดภัยและคำตอบในการยืนยันการเข้าถึงบัญชี
เมื่อตั้งค่าบัญชี อาจลองใช้คำตอบที่ไม่เกี่ยวข้องกับคุณจริงๆ แต่ให้จำได้ง่าย “รถคันแรกของคุณคืออะไร” แทนที่จะตอบตามความจริง ให้เอารถในฝันแทน มิฉะนั้น อย่าโพสต์คำตอบด้านความปลอดภัยทางออนไลน์
อีกวิธีในการเข้าถึงคือการรีเซ็ตรหัสผ่านของคุณ แนวป้องกันที่ดีที่สุดจากผู้บุกรุกที่รีเซ็ตรหัสผ่านของคุณคือการใช้ที่อยู่อีเมลที่คุณตรวจสอบบ่อยๆ และอัปเดตข้อมูลติดต่อของคุณอยู่เสมอ หากมี ให้เปิดใช้งานการตรวจสอบสิทธิ์แบบ 2 ปัจจัยเสมอ แม้ว่าแฮ็กเกอร์จะทราบรหัสผ่านของคุณ แต่ก็ไม่สามารถเข้าถึงบัญชีได้หากไม่มีรหัสยืนยันที่ไม่ซ้ำกัน
คำถามที่พบบ่อย
เหตุใดฉันจึงต้องใช้รหัสผ่านที่แตกต่างกันสำหรับทุกไซต์
คุณอาจรู้ว่าคุณไม่ควรให้รหัสผ่านและไม่ควรดาวน์โหลดเนื้อหาใดๆ ที่คุณไม่คุ้นเคย แต่บัญชีที่คุณลงชื่อเข้าใช้ทุกวันล่ะ สมมติว่าคุณใช้รหัสผ่านเดียวกันกับบัญชีธนาคารที่คุณใช้สำหรับบัญชีใดก็ได้ เช่น Grammarly หาก Grammarly ถูกแฮ็ก ผู้ใช้ก็จะมีรหัสผ่านธนาคารของคุณด้วย (และอีเมลของคุณอาจช่วยให้เข้าถึงทรัพยากรทางการเงินทั้งหมดของคุณได้ง่ายขึ้น)
ฉันจะทำอะไรได้บ้างเพื่อปกป้องบัญชีของฉัน
การใช้ 2FA ในบัญชีใดๆ ก็ตามที่มีคุณลักษณะนี้ การใช้รหัสผ่านเฉพาะสำหรับแต่ละบัญชี และการใช้ตัวอักษรและสัญลักษณ์ผสมกันเป็นแนวป้องกันที่ดีที่สุดสำหรับแฮกเกอร์ ตามที่ระบุไว้ก่อนหน้านี้ มีหลายวิธีที่แฮ็กเกอร์เข้าถึงบัญชีของคุณ ดังนั้นสิ่งอื่น ๆ ที่คุณต้องทำเพื่อให้แน่ใจว่าคุณกำลังทำอยู่เป็นประจำคือการทำให้ซอฟต์แวร์และแอปของคุณทันสมัยอยู่เสมอ (สำหรับแพตช์ความปลอดภัย) และ หลีกเลี่ยงการดาวน์โหลดใดๆ ที่คุณไม่คุ้นเคย
วิธีที่ปลอดภัยที่สุดในการเก็บรหัสผ่านคืออะไร?
การรักษารหัสผ่านแปลก ๆ ที่ไม่ซ้ำหลาย ๆ อันอาจเป็นเรื่องยากอย่างไม่น่าเชื่อ แม้ว่าการดำเนินการตามกระบวนการรีเซ็ตรหัสผ่านจะดียิ่งกว่าการทำให้บัญชีของคุณถูกบุกรุก แต่ก็ใช้เวลานาน เพื่อรักษารหัสผ่านของคุณให้ปลอดภัย คุณสามารถใช้บริการเช่น Last Pass หรือ KeePass เพื่อบันทึกรหัสผ่านบัญชีของคุณทั้งหมด
คุณยังสามารถใช้อัลกอริธึมเฉพาะเพื่อเก็บรหัสผ่านของคุณในขณะที่ทำให้จำรหัสผ่านได้ง่ายขึ้น ตัวอย่างเช่น PayPal อาจเป็นเช่น hwpp+c832 โดยพื้นฐานแล้ว รหัสผ่านนี้เป็นอักษรตัวแรกของแต่ละตัวแบ่งใน URL (//www.paypal.com) โดยมีตัวเลขสุดท้ายในปีเกิดของทุกคนในบ้านของคุณ (ตัวอย่าง) เมื่อคุณเข้าสู่บัญชี ให้ดู URL ซึ่งจะให้ตัวอักษรสองสามตัวแรกของรหัสผ่านนี้แก่คุณ
เพิ่มสัญลักษณ์เพื่อทำให้รหัสผ่านของคุณยากยิ่งขึ้นในการแฮ็ค แต่จัดระเบียบเพื่อให้จำง่ายขึ้น ตัวอย่างเช่น สัญลักษณ์ “+” สามารถใช้สำหรับบัญชีใดๆ ที่เกี่ยวข้องกับความบันเทิง ในขณะที่ “!” สามารถใช้สำหรับบัญชีการเงิน
