Inhaltsverzeichnis:
Video: Wie Hacker dein Passwort knacken 2024
Passwort-Knacken ist eine der erfreulichsten Hacks für die Bösen. Es stärkt ihr Erkundungsgefühl und den Wunsch, ein Problem zu lösen. Ein Hacker kann mithilfe von Low-Tech-Methoden Passwörter knacken. Diese Methoden umfassen die Verwendung von Social-Engineering-Techniken, das Surfen in der Schulter und das einfache Erraten von Passwörtern aus Informationen, die er über den Benutzer kennt.
Social Engineering
Die beliebteste Low-Tech-Methode zum Sammeln von Passwörtern ist Social Engineering . Social Engineering nutzt die vertrauensvolle Natur von Menschen, um Informationen zu erlangen, die später böswillig genutzt werden können. Eine gängige Social-Engineering-Technik besteht darin, Leute dazu zu bringen, ihre Passwörter preiszugeben. Es klingt lächerlich, aber es passiert die ganze Zeit.
Techniken
Um ein Passwort durch Social Engineering zu erhalten, fragen Sie einfach danach. Zum Beispiel können Sie einfach einen Benutzer anrufen und ihm mitteilen, dass er einige wichtige E-Mails in der Mail-Warteschlange hat und Sie benötigen sein Passwort, um sich anzumelden und sie freizugeben. Das ist oft, wie Hacker und Rogue Insider versuchen, die Informationen zu bekommen!
Eine häufige Schwachstelle, die ein solches Social Engineering erleichtern kann, ist, wenn die Namen, Telefonnummern und E-Mail-Adressen der Mitarbeiter auf den Unternehmenswebsites veröffentlicht werden. Social-Media-Sites wie LinkedIn, Facebook und Twitter können auch gegen ein Unternehmen verwendet werden, da diese Websites die Namen und Kontaktinformationen von Mitarbeitern offenlegen können.
Gegenmaßnahmen
Benutzerbewusstsein und konsistentes Sicherheitstraining sind großartige Abwehrmaßnahmen gegen Social Engineering. Sicherheits-Tools sind eine gute Ausfallsicherheit, wenn sie auf Host-Ebene, Netzwerk-Perimeter oder in der Cloud solche E-Mails und das Web-Browsing überwachen.
Trainieren Sie Benutzer, um Angriffe zu erkennen und effektiv zu reagieren. Ihre beste Antwort besteht darin, keine Informationen herauszugeben und den entsprechenden Informationssicherheitsmanager in der Organisation darauf aufmerksam zu machen, ob die Anfrage legitim ist und ob eine Antwort erforderlich ist. Oh, und nehmen Sie dieses Personalverzeichnis von Ihrer Website oder entfernen Sie zumindest die Informationen der IT-Mitarbeiter.
Schulter-Surfen
Schulter-Surfen (der Akt, jemandem über die Schulter zu schauen, um zu sehen, was die Person tippt) ist ein effektiver Low-Tech-Passwort-Hack.
Techniken
Um diesen Angriff auszuführen, müssen die Bösen in der Nähe ihrer Opfer sein und nicht offensichtlich aussehen. Sie sammeln einfach das Passwort, indem sie entweder die Tastatur oder den Bildschirm des Benutzers beobachten, wenn sich die Person anmeldet.
Ein Angreifer mit einem guten Auge kann sogar zusehen, ob der Benutzer seinen Schreibtisch zur Erinnerung an das Passwort oder das Passwort selbst betrachtet…Überwachungskameras oder eine Webcam können sogar für solche Angriffe verwendet werden. Coffee Shops und Flugzeuge bieten die idealen Szenarien für das Surfen an der Schulter.
Sie können versuchen, selbst zu surfen. Gehen Sie einfach im Büro herum und führen Sie Stichproben durch. Wechseln Sie zu den Desktops der Benutzer und bitten Sie sie, sich bei ihren Computern, im Netzwerk oder sogar bei ihren E-Mail-Anwendungen anzumelden. Teilen Sie ihnen nur nicht mit, was Sie im Voraus tun, oder sie versuchen zu verbergen, was sie eingeben oder wo sie nach ihrem Passwort suchen. Seien Sie vorsichtig, wenn Sie dies tun und die Privatsphäre anderer respektieren.
Gegenmaßnahmen
Ermutigen Sie die Benutzer, sich ihrer Umgebung bewusst zu sein und ihre Passwörter nicht einzugeben, wenn sie vermuten, dass ihnen jemand über die Schulter schaut. Weisen Sie die Benutzer darauf hin, dass sie, wenn sie vermuten, dass jemand ihnen während der Anmeldung über die Schulter schaut, die Person höflich bitten, wegzuschauen oder, falls erforderlich, ein geeignetes Epitheton schleudern, um dem Täter zu zeigen, dass der Benutzer es ernst meint.
Es ist oft am einfachsten, sich einfach in die Sichtlinie des Schulter-Surfers zu lehnen, um sie daran zu hindern, irgendeine Eingabe und / oder den Computerbildschirm zu sehen. 3M Privacy Filter funktionieren auch gut.
Inference
Inference errät einfach Kennwörter aus Informationen, die Sie über Benutzer wissen - z. B. Geburtsdatum, Lieblingsfernsehshow oder Telefonnummern. Es klingt dumm, aber Kriminelle bestimmen oft die Passwörter ihrer Opfer, indem sie sie einfach erraten!
Die beste Verteidigung gegen einen Inferenz-Angriff besteht darin, Benutzer über das Erstellen von sicheren Kennwörtern aufzuklären, die keine Informationen enthalten, die mit ihnen verknüpft werden können. Abgesehen von bestimmten Kennwortkomplexitätsfiltern ist es oft nicht einfach, diese Vorgehensweise mit technischen Steuerelementen zu erzwingen. Daher benötigen Sie eine solide Sicherheitsrichtlinie und ein laufendes Sicherheitsbewusstsein sowie Schulungen, um die Benutzer an die Bedeutung der sicheren Kennworterstellung zu erinnern.
Schwache Authentifizierung
Externe Angreifer und böswillige Insider können Passwörter erhalten oder einfach vermeiden, indem sie ältere oder ungesicherte Betriebssysteme nutzen, für die keine Passwörter erforderlich sind. Das gilt auch für ein Telefon oder Tablet, das nicht für die Verwendung von Kennwörtern konfiguriert ist.
Umgehen der Authentifizierung
Bei älteren Betriebssystemen, die nach einem Passwort fragen, können Sie die Esc-Taste auf der Tastatur drücken, um direkt hineinzukommen. Okay, es ist heutzutage schwer, Systeme mit Windows 9 x zu finden. Aber das Gleiche gilt für jedes Betriebssystem - alt oder neu - das so konfiguriert ist, dass es den Anmeldebildschirm umgeht.
Nachdem Sie sich angemeldet haben, können Sie weitere Kennwörter finden, die beispielsweise an Einwahl- und VPN-Verbindungen sowie an Bildschirmschonern gespeichert sind. Solche Kennwörter können mit Elcomsofts Proactive System Password Recovery Tool und Cain & Abel sehr leicht geknackt werden. Diese schwachen Systeme können als vertrauenswürdige Maschinen dienen - was bedeutet, dass die Leute davon ausgehen, dass sie sicher sind - und gute Startpads für netzwerkbasierte Passwortangriffe bieten.
Gegenmaßnahmen
Die einzige echte Verteidigung gegen schwache Authentifizierung besteht darin, sicherzustellen, dass Ihre Betriebssysteme beim Booten ein Passwort benötigen.Um diese Sicherheitsanfälligkeit zu beseitigen, aktualisieren Sie mindestens auf Windows 7 oder 8 oder verwenden Sie die neuesten Versionen von Linux oder einer der verschiedenen Varianten von UNIX, einschließlich Mac OS X.
