Ani pri veľkých spoločnostiach a známych weboch nemáte istotu
Pri vytváraní hesla si myslíme, že nám pri používaní webov veľkých spoločností nič nehrozí. Známe a spoľahlivé spoločnosti, ako sú eBay, LinkedIn a naposledy Facebook, však boli už všetky hacknuté.
Podľa generálneho riaditeľa poisťovne Hiscox v roku 2016 stála počítačová kriminalita svetovú ekonomiku viac ako 450 miliárd dolárov. Hackeri ukradli viac ako dve miliardy záznamov! Prečo je pre hackerov také ľahké získať prístup k účtom a získať bezpečné heslá?
Prečo je pre hackerov ľahké hackovať
V prvom rade používame naše heslá opakovane. Viac ako 60 percent populácie používa rovnaké heslo na viacerých weboch. A keďže pre 39 percent ľudí je ťažké pamätať si všetky svoje heslá, uľahčili sme hackerom situáciu, keďže si heslá uchovávame roky alebo dokonca desaťročia.
Ľudia sú tiež neuveriteľne predvídateľní. Máme tendenciu používať heslá, ktoré sú v určitej forme prispôsobené našim životom, pretože sa ľahšie zapamätajú. Kvôli našej kapacite vizuálnej pamäte je ľahšie zapamätať si obrázky a informácie, ktoré už poznáme a majú pre nás nejaký význam. Preto často vytvárame ľahko zapamätateľné a predvídateľné heslá na základe vecí, ako sú členovia rodiny, domáce zvieratá alebo narodeniny.
Prečítajte si aj: Aké technológie budú formovať svet v roku 2030?
Priemerný používateľ má tiež asi 26 účtov chránených heslom, ale k týmto účtom má iba päť rôznych hesiel. To nás robí citlivejšími na hackerské útoky, najmä na útoky hrubou silou. Keďže viac ako 85 percent Američanov si svoje online heslá len jednoducho pamätá, je takmer nemožné pre nich vytvoriť a zapamätať si až 26 hesiel. S množstvom hesiel je dôležité nainštalovať program na správu hesiel. Šokujúce minimum – len 12 percent Američanov má jeden z nich nainštalovaný.
Štandardným pravidlom bolo meniť heslá každých 90 dní. V posledných rokoch však túto metódu definovala ako neúčinnú profesorka Lorrie Cranor. Zistila, že keď sú ľudia nútení pravidelne meniť svoje heslá, vyvíjajú naň menej duševného úsilia. Je to ďalší spôsob, ako hackeri môžu využiť nedostatok úsilia alebo motivácie ľudí zmeniť alebo diverzifikovať svoje heslá.
Ako dlho trvá zistenie hesla počítačovými zločincami
Ak máte také jednoduché heslo, ako je „heslo“ alebo „abcdefg“, hackerovi by to údajne trvalo iba 0,29 milisekundy. Čo je ešte viac prekvapujúce? Heslo 123456789 je počas mrknutia oka prelomené až 431-krát. Zložitejšie heslá sa hackujú pomalšie. Ale technika ide dopredu a to, čo hackerom trvalo tri roky, bolo teraz menej ako dva mesiace.
Hackeri najskôr idú za najjednoduchšími a najbežnejšími najhoršími heslami a potom prejdú k heslám s najmenším počtom znakov. Zatiaľ čo heslo so siedmimi znakmi môže trvať iba 0,29 milisekundy, jedno s 12 znakmi môže trvať až dve storočia. Čím dlhšie sú heslá, tým dlhšie bude trvať, kým hackeri získajú správnu kombináciu.
Ako počítačoví zločinci hackujú heslá
Ako teda hackeri skutočne robia svoju špinavú prácu? Po prvé, je dôležité pochopiť, že toto je ich práca. Najmodernejší a najúspešnejší hackeri tomu každodenne venujú svoj čas a úsilie. Najbežnejšie spôsoby, akými majú hackeri prístup k vašim účtom, sú:
- útoky na keylogger
- útoky hrubou silou
- slovníkové útoky
- phishingové útoky
Útoky na keylogger
Keylogger je typ sledovacej technológie, ktorá sa používa na zaznamenávanie a sledovanie každého stlačenia klávesov zadaného na klávesnici konkrétneho zariadenia. Počítačoví zločinci používajú keyloggery ako spywarový nástroj na zapečatenie osobných údajov, prihlasovacích údajov a citlivých podnikových údajov.
Ako sa chrániť:
Použite bránu firewall, aby ste zabránili keyloggeru v prenose informácií tretej strane. Môžete si tiež nainštalovať správcu hesiel, ktorý automaticky doplní vaše heslá a zabráni keyloggerom v prístupe k vašim povereniam. Uistite sa tiež, že váš softvér je neustále aktualizovaný, pretože keyloggery môžu využívať slabé miesta softvéru, aby sa mohli sami vložiť do systému.
Útoky hrubou silou
Používame heslá, ktoré sú jednoduché, relevantné a možno ich uhádnuť v rámci niekoľkých pokusov. Pri použití metódy hrubou silou hackeri používajú softvér, ktorý opakovane skúša niekoľko kombinácií hesiel. Je to spoľahlivý spôsob, ako ukradnúť vaše informácie, pretože veľa používateľov používa heslá rovnako jednoduché ako „abcd“. Medzi najbežnejšie programy na odcudzenie hesla patria Brutus, Wfuzz a RainbowCrack.
Ako sa chrániť:
Existuje mnoho spôsobov, ako zabrániť útokom hrubou silou. Najskôr môžete implementovať zásady blokovania účtu, takže po niekoľkých neúspešných pokusoch o prihlásenie sa účet uzamkne, kým ho správca neodomkne. Môžete tiež implementovať progresívne oneskorenia, ktoré uzamknú používateľské účty na stanovené časové obdobie po neúspešných pokusoch, čím sa zvýši čas uzamknutia po každom neúspešnom pokuse.
Ďalším riešením je použitie testu výzva-reakcia, aby sa zabránilo automatickému odoslaniu na prihlasovaciu stránku. Systémy ako reCAPTCHA môžu vyžadovať slovo alebo matematický problém, aby sa ubezpečili, že osoba zadáva prihlasovacie údaje, a nie hackerský systém.
Slovníkové útoky
V roku 2012 bolo na server LinkedIn nabúraných viac ako 6 miliónov hesiel z dôvodu slovného útoku. Útoky fungujú na základe systematického zadávania každého slova zo slovníka ako hesla. Zdá sa, že slovníkové útoky sú úspešné, pretože ľudia majú tendenciu zvoliť si krátke bežné heslá.
Ako sa chrániť:
Vyberte heslo, ktoré má najmenej 8 znakov. Vyhnite sa slovám v slovníku alebo obvyklým predvídateľným variantom slov. Pomocou klávesov SSH sa pripojte k vzdialenému serveru a uložte si heslo. Mali by ste tiež povoliť pripojenia SSH iba pre určitých hostiteľov alebo adresy IP, aby ste vedeli, aké počítače sa pripájajú k vášmu serveru.
Útoky typu phishing
Útoky typu phishing zahŕňajú hackerov, ktorí používajú falošné e-maily a webové stránky, aby ukradli vaše poverenia. Najčastejšie sa jedná o e-maily, ktoré sa maskujú ako legitímne spoločnosti a požadujú stiahnutie súboru alebo kliknutie na odkaz. Útoky typu phishing môžu najčastejšie zahŕňať maskovanie hackerov ako vášho bankového poskytovateľa, čo môže byť obzvlášť škodlivé.
O phisingu a ransomveri sme písali aj v tomto článku
Ako sa chrániť
Dávajte pozor na e-maily, ktoré pochádzajú od neznámych odosielateľov, nie sú personalizované, žiadajú vás o potvrdenie osobných alebo finančných informácií, alebo vás vyzývajú, aby ste konali rýchlo a vyhrážali sa informáciami. Neklikajte na odkazy, sťahujte súbory ani neotvárajte prílohy od neznámych odosielateľov. Nikdy neposielajte osobné ani finančné informácie e-mailom ani tým, ktorým dôverujete, pretože váš e-mail môže byť stále porušený.
Zdroj: www.pandasecurity.com