Lozinke su među najčešćim metama hakerskih napada jer omogućavaju pristup vrijednim i osjetljivim podacima. Ovo je pregled osam najčešćih metoda koje hakeri koriste kako bi hakirali vašu lozinku, kao i načine kako se možete zaštititi.

Rječničko hakiranje

Ovo je najjednostavniji napad kojim se hakeri mogu poslužiti. Naziv je dobio po tome što programi koje hakeri napišu automatski isprobavaju sve riječi iz ‘rječnika’ sve dok ne pogode lozinku. ‘Rječnik’ nije nužno onaj kakav bi koristili u školi ili fakultetu, već je u pitanju baza podataka s riječima najčešće korištenim pri izradi lozinki i njihovim kombinacijama. U to, recimo, spadaju lozinke kao što su 123456, qwerty, password, iloveyou, and all-time classic, hunter2 i tome slično.

Koristeći ovaj pristup hakeri mogu vrlo brzo otkriti loše osmišljene lozinke i upasti u slabo zaštićene korisničke račune. Ali, zaustavit će ih već nešto bolja lozinka.

Kako se zaštititi? Koristite snažne lozinke, drukčiju za svaki korisnički račun. Ako vam je komplicirano sve to pamtiti, koristite aplikaciju za upravljanje lozinkama.

Gruba sila

Napad grubom silom je svaki napad tijekom kojeg napadač koristi svaku postojeću kombinaciju slova, brojeva i drugih znakova. Većina će prvo probati najčešće korištene alfanumeričke kombinacije. Iako, teoretski gledano, ovaj pristup može probiti bilo koju lozinku, to može potrajati. Što je lozinka složenija, to će više vremena trebati.

Kako se zaštititi? Koristite lozinke s kombinacijom znakova. Kad god je moguće ubacite i posebne znakove kao što su #, $,%…

Phishing

Phishing podrazumijeva slanje e-maila žrtvi, u kojem se napadač lažno predstavlja kao trgovina, banka ili druga institucija. Obično od žrtve traže žurnu akciju koja obuhvaća klikanje na poveznicu priloženu u poruci. Ali, ta poveznica u stvari vodi na lažno web odredište. Iako izgleda kao pravo, na njemu su hakeri priredili zamku kojom će pokupiti korisnička imena, lozinke i druge osjetljive podatke.

Iako mediji često upozoravaju na njih, hakerski napadi phishingom ne posustaju. U tvrtci za računalnu sigurnost Kaspersky zabilježili su 92 milijuna e-mailova sa zlonamjernim privitkom od siječnja do lipnja ove godine. Stvarni broj je vjerojatno više puta veći. Google je u travnju ove godine objavio kako dnevno blokiraju više od 18 milijuna phishing e-mailova i zlonamjernog spama vezanog uz COVID-19.

Impact poduzetništvo

Olakšavaju život pacijentima: Hrvatske tvrtke napravile čuda od tehnike, prvi prototipi već se testiraju

Employee Wellbeing

Od pripravnika do lidera: ‘Ovdje se ne bojimo pitati, tražiti pomoć i rasti’

Kako se zaštititi? Budite oprezni (pa i sumnjičavi) kad primite neočekivanu e-poštu. Postavite filtere za spam na najveću moguću razinu. Ako ste u mogućnosti, upogonite bijelu listu odobrenih pošiljatelja. Provjerite je li poveznica u e-mailu legitimna prije no što ju kliknete.

Socijalni inženjering

Socijalni inženjering je u stvari phishing primijenjen u stvarnom svijetu. Hakeri računaju na vašu lakovjernost i dobrohotnost kako bi iz vas izvukli osjetljive podatke poput lozinki, PIN-ova i tome slično. Prisutan je stoljećima i puno češće upali nego što ljudi obično misle jer napadači često ne idu izravno za onim što traže, već se toga pokušavaju dokopati zaobilaznim putem.

Kako se zaštititi? Obrazovanje, svijest o potrebi zaštite i budnost vaša su prva (i jedina) crta obrane. Nemojte dijeliti osjetljive podatke preko telefona, niti ljudima koje ne poznajete.

Dugina tablica

Ovo je također obično napad kojege izvodi offline. Recimo kako je napadač došao u posjed popisa korisničkih imena i lozinki, ali je taj popis enkriptiran, a enkriptirana lozinka je pod hash zaštitom, što znači kako izgleda potpuno drukčije od izvorne lozinke.

Primjerice, za lozinku logmein poznati MD5 hash je 8f4047e3233b39e4444e1aef240e80aa. Vama i nama to ne znači puno. Ali, u pojedinim slučajevima haker može provući popis lozinki u formatu običnog teksta kroz algoritam za hashing pa usporediti rezultate s popisom enkriptiranih lozinki.

U drugim slučajevima enkripcijski algoritam je ranjiv, a većina lozinki je već probijena. Tu u priču ulazi dugina tablica. Umjesto obrade na stotine tisuća potencijalnih lozinki i uspoređivanja njihovih hasheva s već poznatima, dugina tablica je ogroman set već izračunatih vrijednosti hasheva specifičnih za pojedini algoritam. Pomoću te tablice moguće je drastično skratiti vrijeme potrebno za probijanje hasha lozinke. Hakeri mogu kupiti takve tablice već popunjene milijunima potencijalnih kombinacija. No, te su tablice ogromne – ponekad se njihova veličina mjeri u terabajtima.

Kako se zaštititi? Izbjegavajte web odredišta koja koriste SHA1 ili MD5 kao algoritam za hashing lozinki, kao i ona koja vas prisiljavaju na korištenje kratkih lozinki ili ograničavaju koje znakove smijete koristiti. I uvijek koristite složenu lozinku.

Zlonamjerni softver/Keylogger

Propustite li ga u svoj računalni sustav, zlonamjerni softver može napraviti ogromnu štetu. Ako je u njemu i keylogger, softver koji bilježi što tipkate, svi vaši korisnički računi su izloženi riziku. Brojne inačice zlonamjernog softvera moguće je mijenjati i prilagoditi različitim namjenama. Dobar dio njih može se prikriti i potiho mjesecima bilježiti i krasti podatke s vašeg računala a da toga niste niti svjesni. Postoje jednostavne metode kako ih upogoniti i poslati na ogroman broj adresa, računajući kako će se sigurno negdje netko upecati.

Kako se zaštititi? Instalirajte i redovno nadograđujte antivirusni i antimalware softver. Pazite što preuzimate i odakle. Držite se dalje od sumnjivih web odredišta i ponuda, bez obzira kako primamljivo izgledala. Koristite alate koji blokiraju automatsko izvršenje skripti, prenosi tportal.

Spidering

Spidering koristi već opisani rječnički napad, ali uz dodatak. Haker bi pri napadu na određenu instituciju ili tvrtku mogao isprobati niz lozinki povezanih uz cilj napada. U tome bi im mogao pomoći pauk pretraživač, softverski robot koji čita i uspoređuje nizove povezanih izraza. Slične se robote koristi za, primjerice, indeksiranje web stranica za tražilice. Tako prikupljene izraze moglo bi se potom koristiti pri pkušaju upada u korisničke račune, ne bi li se našlo podudaranje.

Kako se zaštititi? Najbolja zaštita su jedinstvene, snažne, nasumične lozinke koje ne sadržavaju ništa što bi se moglo povezati s vama osobno, tvrtkom ili organizacijom za koju radite i tome slično.

Gledanje preko ramena

Za kraj, evo još jedne jednostavne metode. Ako ste dovoljno neoprezni, haker može doći do vaše lozinke gledajući preko vašeg ramena dok tipkate ili ako lozinku neoprezno ostavite negdje gdje može doći do nje (recimo, zalijepljenu za monitor računala).

Kako se zaštititi? Budite oprezni pri unosu lozinke, naročito na javnim mjestima. Pazite da vas nitko ne vidi, pokrijte tipkovnicu dok to činite ako je moguće.