Bilgisayar Korsanları Tarafından Kullanılan İlk On Şifre Kırma Tekniği

Bilgisayar korsanlarının çevrimiçi hesaplarınızı tamamen açmak için kullandıkları şifre kırma tekniklerini anlamak, bunun asla başınıza gelmemesini sağlamanın harika bir yoludur.

Kesinlikle her zaman ve bazen düşündüğünüzden daha acil bir şekilde şifrenizi değiştirmeniz gerekecektir, ancak hırsızlığa karşı önlem almak, hesap güvenliğinizi zirvede tutmanın harika bir yoludur. Risk altında olup olmadığınızı kontrol etmek için her zaman www.haveibeenpwned.com'a gidebilirsiniz  , ancak şifrenizin ele geçirilmeyecek kadar güvenli olduğunu düşünmek kötü bir zihniyettir.

Bu nedenle, bilgisayar korsanlarının parolalarınızı güvenli veya başka yollarla nasıl elde ettiğini anlamanıza yardımcı olmak için bilgisayar korsanları tarafından kullanılan en iyi on parola kırma tekniğini bir araya getirdik. Aşağıdaki yöntemlerden bazıları kesinlikle güncelliğini yitirmiştir, ancak bu onların hala kullanılmadıkları anlamına gelmez. Dikkatlice okuyun ve neye karşı önlem alacağınızı öğrenin.

Bilgisayar Korsanları Tarafından Kullanılan İlk On Şifre Kırma Tekniği

1. Kimlik Avı

Hacklemenin kolay bir yolu var, kullanıcıdan şifresini isteyin. Bir kimlik avı e-postası, şüphelenmeyen okuyucuyu, genellikle kullanıcıdan güvenlikleriyle ilgili korkunç bir sorunu düzeltmesini isteyerek, bilgisayar korsanının erişmek istediği hizmetle ilişkili sahte bir oturum açma sayfasına yönlendirir. Bu sayfa daha sonra şifrelerini gözden geçirir ve bilgisayar korsanı gidip kendi amaçları için kullanabilir.

Kullanıcı şifreyi size zaten seve seve verecekken neden şifreyi kırma zahmetine girelim?

2. Sosyal Mühendislik

Sosyal mühendislik, tüm "kullanıcıya sor" konseptini, kimlik avının bağlı kalma eğiliminde olduğu gelen kutusunun dışına ve gerçek dünyaya taşır.

Toplum mühendisinin favorisi, BT güvenlik teknisyeni kılığında bir ofisi aramak ve basitçe ağ erişim şifresini istemektir. Bunun ne sıklıkla işe yaradığına şaşıracaksınız. Hatta bazıları bir işletmeye girmeden önce bir takım elbise giyip yaka kartı takmak ve resepsiyon görevlisine aynı soruyu yüz yüze sormak için gerekli gonadlara sahiptir.

Pek çok işletmenin ya iyi bir güvenlik sistemine sahip olmadığı ya da insanların, tek tip ya da acıklı bir hikaye yüzünden hassas konumlara erişmelerine izin vermek gibi, olmaması gerektiği halde çok arkadaş canlısı ve güvenilir oldukları defalarca gösterildi.

3. Kötü amaçlı yazılım

Kötü amaçlı yazılım, bir oturum açma işlemi sırasında yazdığınız her şeyi kaydeden veya ekran görüntüleri alan ve ardından bu dosyanın bir kopyasını bilgisayar korsanı merkezine ileten bir ekran kazıyıcı olarak da bilinen keylogger gibi birçok biçimde gelir.

Bazı kötü amaçlı yazılımlar, bir web tarayıcısı istemci parola dosyasının varlığını arar ve onu kopyalar; bu dosya, uygun şekilde şifrelenmediği takdirde, kullanıcının tarama geçmişinden kolayca erişilebilen kayıtlı parolaları içerir.

4. Sözlük Saldırısı

Sözlük saldırısı, bir sözlükte bulunabilen sözcükleri içeren basit bir dosya kullanır, bu nedenle oldukça basit bir addır. Başka bir deyişle, bu saldırı tam olarak birçok kişinin parola olarak kullandığı türden sözcükleri kullanır.

"letmein" veya "superadministratorguy" gibi sözcükleri akıllıca bir arada gruplandırmak, parolanızın bu şekilde kırılmasını engellemeyecektir - pekala, fazladan birkaç saniyeden fazla değil.

5. Gökkuşağı Masa Saldırısı

Gökkuşağı tabloları, adlarının ima ettiği kadar renkli değildir, ancak bir bilgisayar korsanı için parolanız tablonun sonunda olabilir. Mümkün olan en basit şekilde, bir gökkuşağı tablosunu, bir şifreyi şifrelerken kullanılan sayısal değer olan önceden hesaplanmış karmaların bir listesine dönüştürebilirsiniz. Bu tablo, herhangi bir karma algoritma için olası tüm parola kombinasyonlarının karmalarını içerir. Gökkuşağı tabloları, yalnızca bir listede bir şeye bakmak için bir parola karmasını kırmak için gereken süreyi azalttığı için çekicidir.

Ancak, gökkuşağı masaları çok büyük, hantal şeylerdir. Çalıştırmak için ciddi bilgi işlem gücü gerektirirler ve bir tablo, bulmaya çalıştığı karma, algoritmayı karmalamadan önce parolasına rastgele karakterler eklenerek "tuzlanırsa" işe yaramaz hale gelir.

Mevcut tuzlu gökkuşağı masalarından söz ediliyor, ancak bunlar pratikte kullanılması zor olacak kadar büyük olacak. Aksi takdirde tablonun boyutu eyalet düzeyindeki bilgisayar korsanları için bile engelleyici olacağından, muhtemelen yalnızca önceden tanımlanmış bir "rastgele karakter" kümesi ve 12 karakterin altındaki parola dizeleriyle çalışırlardı.

6. Örümcek

Bilgili bilgisayar korsanları, birçok kurumsal parolanın işin kendisiyle bağlantılı sözcüklerden oluştuğunu fark ettiler. Kurumsal literatürü, web sitesi satış materyallerini ve hatta rakiplerin ve listelenen müşterilerin web sitelerini incelemek, bir kaba kuvvet saldırısında kullanılacak özel bir kelime listesi oluşturmak için cephane sağlayabilir.

Gerçekten bilgili bilgisayar korsanları, süreci otomatikleştirdi ve önde gelen arama motorları tarafından anahtar kelimeleri belirlemek ve ardından onlar için listeleri toplamak ve düzenlemek için kullanılan web tarayıcılarına benzer bir örümcek aplikasyonuna izin verdi.

7. Çevrimdışı Kırma

Parolaların, korudukları sistemler üç veya dört yanlış tahminden sonra kullanıcıları kilitleyerek otomatik tahmin uygulamalarını engellediğinde güvenli olduğunu hayal etmek kolaydır. Pekala, çoğu parola korsanlığının güvenliği ihlal edilmiş bir sistemden 'elde edilmiş' bir parola dosyasındaki bir dizi karma kullanılarak çevrimdışı olarak gerçekleştirildiği gerçeği olmasaydı bu doğru olurdu.

Genellikle, söz konusu hedefin güvenliği, daha sonra sistem sunucularına ve çok önemli kullanıcı parola karma dosyalarına erişim sağlayan üçüncü bir tarafa yapılan bir saldırı yoluyla ele geçirilmiştir. Parola kırıcı, hedef sistemi veya bireysel kullanıcıyı uyarmadan kodu denemesi ve kırması gerektiği kadar sürebilir.

8. Kaba Kuvvet Saldırısı

Sözlük saldırısına benzer şekilde, kaba kuvvet saldırısı bilgisayar korsanı için ek bir bonus ile birlikte gelir. Kaba kuvvet saldırısı, yalnızca sözcükleri kullanmak yerine, aaa1'den zzz10'a kadar olası tüm alfanümerik kombinasyonlar üzerinde çalışarak sözlük dışı sözcükleri tespit etmelerini sağlar.

Parolanız birkaç karakterden uzun olduğu sürece bu hızlı değildir, ancak eninde sonunda parolanızı ortaya çıkaracaktır. Kaba kuvvet saldırıları, hem işlem gücü (video kartı GPU'nuzun gücünü kullanmak dahil) hem de çevrimiçi bitcoin madencileri gibi dağıtılmış bilgi işlem modellerini kullanmak gibi makine numaraları açısından ek bilgi işlem beygir gücü atılarak kısaltılabilir.

9. Omuz Sörfü

Başka bir toplum mühendisliği biçimi olan omuz sörfü, tam da ima ettiği gibi, bir kişinin kimlik bilgilerini, parolaları vb. girerken omuzlarının üzerinden gözetlemeyi gerektirir. bu şekilde çalındığından, hareket halindeyken banka hesaplarına vb. erişirken çevrenizden haberdar olun.

En güvenli bilgisayar korsanları, bir paket kuryesi, klima servis teknisyeni veya bir ofis binasına erişmelerini sağlayan herhangi bir şey kılığına girecek. İçeri girdikten sonra, servis personelinin "üniforması", engellenmeden dolaşmak ve gerçek personel tarafından girilen şifreleri not etmek için bir tür serbest geçiş sağlar. Ayrıca, LCD ekranların önüne yapıştırılan ve üzerlerine oturum açma bilgilerinin karalandığı tüm o post-it notlarına göz atmak için mükemmel bir fırsat sağlar.

10. Tahmin et

Şifre kırıcıların en iyi arkadaşı, elbette, kullanıcının öngörülebilirliğidir. Göreve adanmış yazılım kullanılarak gerçekten rasgele bir parola oluşturulmadıkça, kullanıcı tarafından oluşturulan 'rastgele' bir parolanın bu tür bir şey olması pek olası değildir.

Bunun yerine, beynimizin sevdiğimiz şeylere duygusal bağlılığı sayesinde, bu rastgele şifrelerin ilgi alanlarımıza, hobilerimize, evcil hayvanlarımıza, ailemize vb. Aslında, şifreler genellikle sosyal ağlarda hakkında sohbet etmeyi ve hatta profillerimize dahil etmeyi sevdiğimiz her şeyi temel alır. Parola kırıcıların, sözlük veya kaba kuvvet saldırılarına başvurmadan tüketici düzeyinde bir parolayı kırmaya çalışırken bu bilgilere bakması ve birkaç - genellikle doğru - eğitimli tahminler yapması çok olasıdır.

Dikkat Edilmesi Gereken Diğer Saldırılar

Bilgisayar korsanlarının bir eksiği varsa, bu yaratıcılık değildir. Çeşitli teknikler kullanan ve sürekli değişen güvenlik protokollerine uyum sağlayan bu aracılar başarılı olmaya devam ediyor.

Örneğin, Sosyal Medyadaki herhangi biri muhtemelen ilk arabanız, en sevdiğiniz yemek ve 14. yaş gününüzde bir numaralı şarkı hakkında konuşmanızı isteyen eğlenceli testler ve şablonlar görmüştür. Bu oyunlar zararsız görünse ve yayınlaması kesinlikle eğlenceli olsa da, aslında güvenlik soruları ve hesap erişimi doğrulama yanıtları için açık bir şablondur.

Bir hesap oluştururken, belki de aslında sizinle ilgili olmayan ancak kolayca hatırlayabileceğiniz yanıtlar kullanmayı deneyin. "İlk araban neydi?" Doğru cevap vermek yerine hayalinizdeki arabayı koyun. Aksi takdirde, çevrimiçi olarak herhangi bir güvenlik yanıtı yayınlamayın.

Erişim elde etmenin başka bir yolu da parolanızı sıfırlamaktır. Bir davetsiz misafirin parolanızı sıfırlamasına karşı en iyi savunma hattı, sık sık kontrol ettiğiniz bir e-posta adresi kullanmak ve iletişim bilgilerinizi güncel tutmaktır. Varsa, her zaman 2 faktörlü kimlik doğrulamayı etkinleştirin. Bilgisayar korsanı şifrenizi öğrense bile, benzersiz bir doğrulama kodu olmadan hesaba erişemez.

Kendinizi Hackerlardan Korumak İçin En İyi Uygulamalar

• Tüm hesaplarınız için güçlü ve benzersiz parolalar kullanın, parola yöneticileri mevcuttur.
• E-postalardaki bağlantılara tıklamayın veya dosyaları keyfi olarak indirmeyin, en iyisi hiç yapmamak ama aktivasyon e-postaları bunu engelliyor.
• Güvenlik güncellemelerini düzenli aralıklarla kontrol edin ve uygulayın. Çoğu iş bilgisayarı buna izin vermeyebilir, sistem yöneticisi bu işlerle ilgilenir.
• Yeni bir bilgisayar veya sürücü kullanırken şifreleme kullanmayı düşünün. Üzerinde veri bulunan bir HDD/SSD'yi şifreleyebilirsiniz, ancak fazladan bilgi nedeniyle saatler veya günler sürebilir.
• En az ayrıcalık kavramını kullanın; bu, yalnızca gerekli olana erişim vermek anlamına gelir. Temel olarak, sizin veya arkadaşlarınızın ve ailenizin gündelik bilgisayar kullanımı için yönetici olmayan kullanıcı hesapları oluşturun.

Sıkça Sorulan Sorular

Neden her site için farklı bir şifreye ihtiyacım var?

Muhtemelen şifrelerinizi vermemeniz ve aşina olmadığınız herhangi bir içeriği indirmemeniz gerektiğini biliyorsunuzdur, peki ya her gün giriş yaptığınız hesaplar? Banka hesabınız için Grammarly gibi rastgele bir hesap için kullandığınız parolanın aynısını kullandığınızı varsayalım. Grammarly saldırıya uğrarsa, kullanıcı bankacılık şifrenizi de alır (ve muhtemelen e-postanız, tüm finansal kaynaklarınıza erişmenizi daha da kolaylaştırır).

Hesaplarımı korumak için ne yapabilirim?

Bu özelliği sunan tüm hesaplarda 2FA kullanmak, her hesap için benzersiz şifreler kullanmak ve harf ve sembollerin bir karışımını kullanmak bilgisayar korsanlarına karşı en iyi savunma hattıdır. Daha önce belirtildiği gibi, bilgisayar korsanlarının hesaplarınıza erişmesinin birçok farklı yolu vardır, bu nedenle düzenli olarak yaptığınızdan emin olmanız gereken diğer şeyler, yazılım ve uygulamalarınızı güncel tutmaktır (güvenlik yamaları için) ve aşina olmadığınız indirmelerden kaçınmak.

Parolaları saklamanın en güvenli yolu nedir?

Birkaç benzersiz garip şifreye ayak uydurmak inanılmaz derecede zor olabilir. Hesaplarınızın ele geçirilmesindense parola sıfırlama işleminden geçmek çok daha iyi olsa da, zaman alıcıdır. Parolalarınızı güvende tutmak için tüm hesap parolalarınızı kaydetmek üzere Last Pass veya KeePass gibi bir hizmet kullanabilirsiniz.

Parolalarınızı akılda tutmayı kolaylaştırırken aynı zamanda benzersiz bir algoritma da kullanabilirsiniz. Örneğin PayPal, hwpp+c832 gibi bir şey olabilir. Esasen bu şifre URL'deki (https://www.paypal.com) her aranın ilk harfi ile evinizdeki herkesin doğum yılındaki son rakamıdır (örnek olarak). Hesabınıza giriş yaptığınızda, size bu şifrenin ilk birkaç harfini verecek olan URL'yi görüntüleyin.

Parolanızın ele geçirilmesini daha da zorlaştırmak için semboller ekleyin, ancak bunları hatırlaması daha kolay olacak şekilde düzenleyin. Örneğin, “+” simgesi eğlence ile ilgili herhangi bir hesap için olabilirken, “!” finansal hesaplar için kullanılabilir.

Çevrimiçi Güvenlik Uygulaması

İletişimin tüm dünyada bir anda gerçekleşebildiği küresel bir çağda, herkesin iyi niyetli olmadığını hatırlamak önemlidir. Parolalarınızı ve sosyal medya bilgi sızıntısı farkındalığını etkin bir şekilde yöneterek ve güncelleyerek çevrimiçi ortamda kendinizi koruyun. Paylaşmak önemlidir, ancak siber suçlular için kolay bir hedef haline gelme uğruna kişisel bilgiler değildir.