Hiểu được các kỹ thuật bẻ khóa mật khẩu mà tin tặc sử dụng để mở rộng tài khoản trực tuyến của bạn là một cách tuyệt vời để đảm bảo điều đó không bao giờ xảy ra với bạn.
Bạn chắc chắn sẽ luôn cần thay đổi mật khẩu của mình và đôi khi khẩn cấp hơn bạn nghĩ, nhưng giảm thiểu hành vi trộm cắp là một cách tuyệt vời để đảm bảo an toàn cho tài khoản của bạn. Bạn luôn có thể truy cập www.haveibeenpwned.com để kiểm tra xem mình có gặp rủi ro hay không, nhưng chỉ cần nghĩ rằng mật khẩu của bạn đủ an toàn để không bị xâm nhập là một suy nghĩ tồi.
Vì vậy, để giúp bạn hiểu cách tin tặc lấy được mật khẩu của bạn - an toàn hay nói cách khác - chúng tôi đã tổng hợp danh sách mười kỹ thuật bẻ khóa mật khẩu hàng đầu được tin tặc sử dụng. Một số phương pháp dưới đây chắc chắn đã lỗi thời, nhưng điều đó không có nghĩa là chúng vẫn không được sử dụng. Đọc kỹ và tìm hiểu những điều cần giảm thiểu.
Mười kỹ thuật bẻ khóa mật khẩu hàng đầu được tin tặc sử dụng
1. Tấn công từ điển
Tấn công từ điển sử dụng một tệp đơn giản chứa các từ có thể được tìm thấy trong từ điển, do đó tên của nó khá đơn giản. Nói cách khác, cuộc tấn công này sử dụng chính xác loại từ mà nhiều người sử dụng làm mật khẩu của họ.
Khéo léo nhóm các từ lại với nhau như “letmein” hoặc “superadministratorguy” sẽ không ngăn mật khẩu của bạn bị bẻ khóa theo cách này - tốt, không quá vài giây.
2. Tấn công vũ phu
Tương tự như cuộc tấn công từ điển, cuộc tấn công brute force đi kèm với một phần thưởng bổ sung cho hacker. Thay vì chỉ sử dụng các từ, một cuộc tấn công bạo lực cho phép chúng phát hiện các từ không thuộc từ điển bằng cách làm việc thông qua tất cả các kết hợp chữ và số có thể có từ aaa1 đến zzz10.
Quá trình này không nhanh chóng, miễn là mật khẩu của bạn dài hơn một số ký tự, nhưng cuối cùng nó sẽ phát hiện ra mật khẩu của bạn. Các cuộc tấn công bạo lực có thể được rút ngắn bằng cách tăng thêm mã lực tính toán, về cả sức mạnh xử lý - bao gồm cả việc khai thác sức mạnh của GPU card màn hình của bạn - và số máy, chẳng hạn như sử dụng các mô hình điện toán phân tán như máy khai thác bitcoin trực tuyến.
3. Rainbow Table Attack
Bảng cầu vồng không nhiều màu sắc như tên gọi của chúng, nhưng đối với một hacker, mật khẩu của bạn có thể nằm ở cuối. Theo cách đơn giản nhất có thể, bạn có thể tổng hợp bảng cầu vồng thành danh sách các hàm băm được tính toán trước - giá trị số được sử dụng khi mã hóa mật khẩu. Bảng này chứa các hàm băm của tất cả các kết hợp mật khẩu có thể có cho bất kỳ thuật toán băm nào đã cho. Bảng cầu vồng rất hấp dẫn vì nó giảm thời gian cần thiết để bẻ khóa mật khẩu băm để chỉ đơn giản là tìm kiếm thứ gì đó trong danh sách.
Tuy nhiên, bảng cầu vồng là những thứ khổng lồ, khó sử dụng. Chúng yêu cầu sức mạnh tính toán nghiêm trọng để chạy và một bảng sẽ trở nên vô dụng nếu hàm băm mà nó đang cố gắng tìm đã bị “muối” bởi việc thêm các ký tự ngẫu nhiên vào mật khẩu của nó trước khi băm thuật toán.
Người ta vẫn nói về những chiếc bàn cầu vồng ướp muối, nhưng những chiếc bàn này quá lớn nên khó sử dụng trong thực tế. Chúng có thể sẽ chỉ hoạt động với bộ “ký tự ngẫu nhiên” được xác định trước và các chuỗi mật khẩu dưới 12 ký tự vì kích thước của bảng sẽ bị cấm đối với ngay cả những tin tặc cấp nhà nước.
4. Lừa đảo
Có một cách dễ dàng để hack, yêu cầu người dùng cung cấp mật khẩu của họ. Một email lừa đảo sẽ dẫn người đọc không nghi ngờ đến một trang đăng nhập giả mạo được liên kết với bất kỳ dịch vụ nào mà hacker muốn truy cập, thường là bằng cách yêu cầu người dùng giải quyết một số vấn đề khủng khiếp về bảo mật của họ. Trang đó sau đó đọc lướt mật khẩu của họ và tin tặc có thể sử dụng nó cho mục đích riêng của họ.
Tại sao phải lo lắng về vấn đề bẻ khóa mật khẩu khi người dùng sẽ vui vẻ đưa nó cho bạn?
5. Kỹ thuật xã hội
Kỹ thuật xã hội đưa toàn bộ khái niệm “hỏi người dùng” ra bên ngoài hộp thư đến mà lừa đảo có xu hướng gắn bó và xâm nhập vào thế giới thực.
Yêu thích của kỹ sư xã hội là gọi đến một văn phòng đóng vai một anh chàng công nghệ bảo mật CNTT và chỉ cần hỏi mật khẩu truy cập mạng. Bạn sẽ ngạc nhiên về tần suất hoạt động của tính năng này. Một số thậm chí còn có các tuyến sinh dục cần thiết để mặc một bộ đồ và huy hiệu tên trước khi bước vào một doanh nghiệp để hỏi trực tiếp nhân viên lễ tân câu hỏi tương tự.
6. Phần mềm độc hại
Phần mềm độc hại có thể cài đặt keylogger hoặc trình quét màn hình. Phần mềm độc hại ghi lại mọi thứ bạn nhập hoặc chụp ảnh màn hình trong quá trình đăng nhập, sau đó chuyển tiếp bản sao của tệp này đến trung tâm tin tặc.
Một số phần mềm độc hại sẽ tìm kiếm sự tồn tại của tệp mật khẩu ứng dụng khách của trình duyệt web và sao chép tệp này, trừ khi được mã hóa đúng cách, sẽ chứa các mật khẩu đã lưu dễ truy cập từ lịch sử duyệt web của người dùng.
7. Bẻ khóa ngoại tuyến
Dễ dàng hình dung rằng mật khẩu an toàn khi hệ thống mà họ bảo vệ khóa người dùng sau ba hoặc bốn lần đoán sai, chặn các ứng dụng đoán tự động. Chà, điều đó sẽ đúng nếu không phải vì thực tế là hầu hết các vụ hack mật khẩu đều diễn ra ngoại tuyến, bằng cách sử dụng một tập hợp các hàm băm trong tệp mật khẩu đã được ‘lấy’ từ một hệ thống bị xâm nhập.
Thông thường, mục tiêu được đề cập đã bị xâm nhập thông qua một cuộc tấn công của bên thứ ba, sau đó cung cấp quyền truy cập vào các máy chủ hệ thống và các tệp băm mật khẩu người dùng quan trọng đó. Sau đó, người bẻ khóa mật khẩu có thể mất nhiều thời gian nếu họ cần thử và bẻ khóa mã mà không cần thông báo cho hệ thống mục tiêu hoặc người dùng cá nhân.
8. Lướt sóng vai
Một dạng khác của kỹ thuật xã hội, lướt qua vai, như nó ngụ ý, đòi hỏi phải nhìn trộm qua vai của một người khi họ nhập thông tin đăng nhập, mật khẩu, v.v. Mặc dù khái niệm này là công nghệ rất thấp, nhưng bạn sẽ ngạc nhiên khi có bao nhiêu mật khẩu và thông tin nhạy cảm bị đánh cắp theo cách này, vì vậy hãy lưu ý môi trường xung quanh bạn khi truy cập tài khoản ngân hàng, v.v. khi đang di chuyển.
Những kẻ tin tặc tự tin nhất sẽ đội lốt nhân viên chuyển phát nhanh bưu kiện, kỹ thuật viên dịch vụ điều hòa hoặc bất cứ thứ gì khác giúp họ truy cập vào một tòa nhà văn phòng. Khi họ đã vào, "đồng phục" của nhân viên phục vụ cung cấp một loại vé tự do để đi lang thang mà không bị cản trở, và ghi lại mật khẩu được nhập bởi các thành viên chính thức của nhân viên. Nó cũng cung cấp một cơ hội tuyệt vời để thu hút tất cả những ghi chú post-it được dán vào mặt trước của màn hình LCD với thông tin đăng nhập được viết nguệch ngoạc trên đó.
9. Thêu
Các tin tặc hiểu biết đã nhận ra rằng nhiều mật khẩu công ty được tạo thành từ các từ được kết nối với chính doanh nghiệp. Nghiên cứu tài liệu về công ty, tài liệu bán hàng trên trang web và thậm chí cả trang web của các đối thủ cạnh tranh và khách hàng được liệt kê có thể cung cấp cơ sở vật chất để xây dựng danh sách từ tùy chỉnh để sử dụng trong một cuộc tấn công bạo lực.
Các tin tặc thực sự hiểu biết đã tự động hóa quy trình và cho phép một ứng dụng giả mạo, tương tự như các trình thu thập thông tin web được các công cụ tìm kiếm hàng đầu sử dụng để xác định từ khóa, thu thập và đối chiếu danh sách cho chúng.
10. Đoán
Tất nhiên, người bạn tốt nhất của kẻ bẻ khóa mật khẩu là khả năng dự đoán của người dùng. Trừ khi một mật khẩu thực sự ngẫu nhiên đã được tạo bằng phần mềm dành riêng cho nhiệm vụ, mật khẩu ‘ngẫu nhiên’ do người dùng tạo khó có thể là bất kỳ thứ gì thuộc loại này.
Thay vào đó, nhờ bộ não của chúng ta gắn kết tình cảm với những thứ chúng ta thích, rất có thể những mật khẩu ngẫu nhiên đó được dựa trên sở thích, sở thích, thú cưng, gia đình, v.v. của chúng ta. Trên thực tế, mật khẩu có xu hướng dựa trên tất cả những thứ chúng ta muốn trò chuyện trên mạng xã hội và thậm chí đưa vào hồ sơ của chúng ta. Những kẻ bẻ khóa mật khẩu rất có khả năng xem xét thông tin này và đưa ra một vài phỏng đoán - thường là chính xác - được giáo dục khi cố gắng bẻ khóa mật khẩu cấp người tiêu dùng mà không cần dùng đến từ điển hoặc các cuộc tấn công vũ phu.
Các cuộc tấn công khác cần lưu ý
Nếu tin tặc thiếu bất cứ thứ gì, thì đó không phải là sự sáng tạo. Sử dụng nhiều kỹ thuật khác nhau và thích ứng với các giao thức bảo mật luôn thay đổi, những người liên kết này tiếp tục thành công.
Ví dụ: bất kỳ ai trên Mạng xã hội có thể đã xem các câu đố vui và các mẫu yêu cầu bạn kể về chiếc xe đầu tiên của bạn, món ăn yêu thích của bạn, bài hát số một trong ngày sinh nhật lần thứ 14 của bạn. Mặc dù những trò chơi này có vẻ vô hại và chắc chắn chúng rất thú vị khi đăng nhưng chúng thực sự là một mẫu mở cho các câu hỏi bảo mật và câu trả lời xác minh quyền truy cập tài khoản.
Khi thiết lập tài khoản, có lẽ hãy thử sử dụng các câu trả lời không thực sự liên quan đến bạn nhưng bạn có thể dễ dàng nhớ được. "Chiếc xe đầu tiên của bạn là gì?" Thay vì trả lời trung thực, thay vào đó hãy đặt chiếc xe mơ ước của bạn. Nếu không, chỉ cần không đăng bất kỳ câu trả lời bảo mật nào trực tuyến.
Một cách khác để có được quyền truy cập chỉ đơn giản là đặt lại mật khẩu của bạn. Cách phòng thủ tốt nhất chống lại kẻ gian đặt lại mật khẩu của bạn là sử dụng địa chỉ email mà bạn thường xuyên kiểm tra và cập nhật thông tin liên hệ của bạn. Nếu có, hãy luôn bật xác thực 2 yếu tố. Ngay cả khi tin tặc biết được mật khẩu của bạn, chúng cũng không thể truy cập vào tài khoản mà không có mã xác minh duy nhất.
Các câu hỏi thường gặp
Tại sao tôi cần một mật khẩu khác nhau cho mọi trang web?
Bạn có thể biết rằng bạn không nên cung cấp mật khẩu và không nên tải xuống bất kỳ nội dung nào bạn không quen thuộc, nhưng còn những tài khoản bạn đăng nhập hàng ngày thì sao? Giả sử bạn sử dụng cùng một mật khẩu cho tài khoản ngân hàng của mình mà bạn sử dụng cho một tài khoản tùy ý như Grammarly. Nếu Grammarly bị tấn công, người dùng sau đó cũng có mật khẩu ngân hàng của bạn (và có thể cả email của bạn, khiến việc truy cập vào tất cả các nguồn tài chính của bạn trở nên dễ dàng hơn).
Tôi có thể làm gì để bảo vệ tài khoản của mình?
Sử dụng 2FA trên bất kỳ tài khoản nào cung cấp tính năng này, sử dụng mật khẩu duy nhất cho từng tài khoản và sử dụng hỗn hợp các chữ cái và ký hiệu là cách phòng thủ tốt nhất để chống lại tin tặc. Như đã nêu trước đây, có rất nhiều cách khác nhau mà tin tặc giành được quyền truy cập vào tài khoản của bạn, vì vậy, những điều khác bạn cần đảm bảo rằng bạn đang làm thường xuyên là cập nhật phần mềm và ứng dụng của bạn (đối với các bản vá bảo mật) và tránh bất kỳ tải xuống nào mà bạn không quen thuộc.
Cách an toàn nhất để giữ mật khẩu là gì?
Việc cập nhật một số mật khẩu lạ độc nhất có thể cực kỳ khó khăn. Mặc dù việc thực hiện quy trình đặt lại mật khẩu tốt hơn nhiều so với việc tài khoản của bạn bị xâm phạm, nhưng việc này tốn nhiều thời gian. Để giữ an toàn cho mật khẩu của mình, bạn có thể sử dụng một dịch vụ như Last Pass hoặc KeePass để lưu tất cả mật khẩu tài khoản của mình.
Bạn cũng có thể sử dụng một thuật toán duy nhất để giữ mật khẩu của mình đồng thời giúp chúng dễ nhớ hơn. Ví dụ: PayPal có thể là một cái gì đó giống như hwpp + c832. Về cơ bản, mật khẩu này là chữ cái đầu tiên của mỗi lần ngắt trong URL (//www.paypal.com) với số cuối cùng trong năm sinh của mọi người trong nhà bạn (lấy ví dụ). Khi bạn đăng nhập vào tài khoản của mình, hãy xem URL sẽ cung cấp cho bạn một vài ký tự đầu tiên của mật khẩu này.
Thêm các ký hiệu để làm cho mật khẩu của bạn khó bị hack hơn nhưng hãy sắp xếp chúng sao cho dễ nhớ hơn. Ví dụ: biểu tượng “+” có thể dành cho bất kỳ tài khoản nào liên quan đến giải trí trong khi ký hiệu “!” có thể được sử dụng cho các tài khoản tài chính.