۷ تاکتیک و روش های رایج و مشترک برای هک کردن رمز های عبور
هنگامی که شما جمله ی “نقص امنیتی” را می شونید ، چه چیزی در ذهنتان می گذرد؟ یک هکر بی اعصاب! که پشت یک سیستم نشسته است و در حال هک کردن است؟ یا یک هکری که چندین هفته است در زیر زمین زندگی می کند و در خیابان ها دیده نمی شود؟ یا ابر کامپیوتری که می خواهد کل دنیا را هک کند؟
اگر فردی رمز عبور شما را داشته باشد ، عملا شما یک بازنده هستید. اگر رمز عبور شما خیلی کوتاه و یا قابل حدس باشد هم یک نوع بازنده بودن به حساب می آید. هنگامی که یک نقص امنیتی وجود داشته باشد آیا می توانید بگویید چه افراد نابغه ای به Dark Web رفته و به دنبال چه چیزی می گردند؟ درست است ، رمز عبور (پسورد) شما!
در این مقاله قصد داریم ۷ روش چگونگی هک کردن رمز های عبور را برای شما توضیح دهیم. با تک تیپ همراه باشید.
استفاده از یک هک Dictionary یا پسورد های معروف
اولین تاکتیک یا روشی که برای هک کردن رمز عبور بکار می برند استفاده از Dictionary است. حال چرا به این روش Dictionary Attack گفته می شود؟ بلکه در این روش هر عبارت و کلمه ای که در این فایل ها ثبت شده است برای هک کردن امتحان می کنند. توجه داشته باشید که نام دیکشنری یا فرهنگ لغت آن چیزی نیست که ما در درس هایمان استفاده می کنیم.
همانطور که گفته شد یک فایلی است که در آن رمز های ترکیب شده و معروف در آن استفاده شده است. که شامل ۱۲۳۴۵۶ ، qwerty ، password ، mynoob ، princess ، baseball و پسورد های پرکابرد است.
فرار و در امان ماندن از این تاکتیک Dictionary :
- برای هر اکانت یا حساب کاربری خود یک رمز عبور قوی انتخاب کنید.
- از رمز هایی که برای حساب های کاربری خود می سازید آن ها را در جایی ذخیره کنید.
- سعی کنید در سایت هایی که احساس می کنید مهم هستند از رمز های قوی استفاده کنید.
- هیچوقت رمز خود را به دیگران ندهید.
- از رمز های ترکیبی استفاده کنید ، استفاده از عدد ، حرف ، شکل در یک رمز عبور.
حمله ی بی رحمانه ، هک آزمون و خطا یا Brute Force
دومین تاکتیک را حمله ی آزمون و خطا یا brute force را برای شما انتخاب کردیم که بوسیله آن هکر ها در تلاش اند با آزمون و خطا نام کاربری یا رمز عبور یک حساب کاربری را بدست آورند. این روش نیازمند زمان و وقت زیادی می باشد چرا که تمامی حروف و اعداد و حتی شکلک ها در آن بصورت رندوم یا تصادفی امتحان می شود. که شامل زیر می شود :
- حروف ها ، کوچک و بزرگ
- اعداد (اعشاری و …)
- شکلک ها
همچنین در این روش ابتدا پسورد ها و رمز هایی تست می شوند که بیشتر در بین کاربران استفاده می شود ، یعنی پسورد هایی مانند ۱۲۳۴۵۶ در الویت این روش قرار دارند. شامل لیستی مانند زیر می باشند :
- 1q2w3e4r5t
- zxcvbnm
- qwertyuiop
- hellowword
- password
هر چیزی را که فکرش را بکنید در این لیست وجود خواهد داشت پس بدون شک یک روشی است که می تواند یک رمز را بشکند اما توجه داشته باشید که نیازمند زمان زیادی است.
فرار و در امان ماندن از این تاکتیک Brute Force :
- همیشه در رمز های خود از کاراکترهایی مانند {،}،$،* یا & استفاده کنید.
- اگر از یک ترکیب سخت استفاده کنید در این روش در امان خواهید بود.
حمله فیشینگ یا Phishing
در واقع این یک “هک” نیست ، معمولا این روش را با کمی دقت می شود متوجه شد چرا که فیشینگ به معنای استفاده از یک صفحه ی تقلبی است. این فیشینگ ها به تمامی ایمیل های جهان فرستاده می شود.
نوعی از این ایمیل های فیشینگ یا Phishing :
- فرد یا هدف مورد نظر یک ایمیل جعلی دریافت می کند ، که انگار آن ایمیل از طرف یک شرکت یا کارخانه است.
- یک ایمیل جعلی فوری که به شما می گوید روی لینک خاصی کلیک کنید.
- ارسال لینک جعلی ، به عنوان مثال صفحه ی ورود سایت اینستاگرام با همان ظاهر اما فرد مورد نظر متوجه نمی شود.
- بعد از آن هنگامی که کاربر اطلاعات را وارد می کند یا با صفحه ی تلاش دوباره روبرو می شود یا بصورت اتوماتیک هم نام کاربری و رمز عبور را به هکر فرستاده و به سایت اصلی Redirect می شود.
- در آخر شاهد فروش حساب کاربری فرد مورد نظر یا دزدیده شدن آن و یا استفاده ی غیرقانونی خواهیم بود.
*توجه : این ایمیل ها معمولا تقلبی بوده و همیشه از کاربر می خواهند تا وارد لینکی شوند.
*نکته : این ایمیل ها معمولا در پوشه ی SPAM فرستاده می شود که به راحتی قابل شناخت است.
در تکنیک مهندسی اجتماعی مانند روش فیشینگ است با این تفاوت که در دنیای واقعی اتفاق می افتد. به عنوان مثال فردی با شما تماس گرفته یا پیامی می دهد که من یک تیم پشتیبانی جدید از فلان سایت هستم ، برای حل مشکل شما نیازمند رمز شما هستم ، لطفا آن را با من در اشتراک بگذارید. در اینجاست که ما بدون هیچ آگاهی و دانش اطلاعات خصوصی خود را در دستان یک هکر یا مهاجم قرار می دهیم.
بخش ترسناکش این است که تمامی مراحل این روش چگونه انجام می شود؟ مهندسی اجتماعی از قرن ها پیش وجود داشته است ، که با کمی دانش در این باره به راحتی می توانید به امن ترین بخش جهان وارد شوید. چراکه هیچوقت درخواست رمز در این روش نمی شود ، تنها یک لوله کش تقلبی یا یک مرد برق کار تقبلی است که برای تعمیر ، وارد ساختمان شما می شوند.
- یکی از خطرناکترین راه ها به حساب می آید پس باید هر فرد ناشناسی که با ما صحبت می کند به او اعتماد نکنید.
- از اشتراک گذاری اطلاعات شخصی در فضای مجازی که منجر می شود فرد مهاجم از آن بعدها استفاده کند جلوگیری کنید.
- اگر احساس کردید که شکی دارید بدانید که این یک حمله ی مهندسی اجتماعی است.
- هیچگاه اطلاعات شخصی خود را در اختیار دیگران قرار ندهید ، ممکن است مهاجم از آن ها برای نفوظ استفاده کند.
- به هرکسی اعتماد نکنید چه در دنیای واقعای و دنیای مجازی.
هک با استفاده از جدول رنگین کمان یا Rainbow Table
جدول رنگین کمان معمولا یک حلمه ی آفلاین است. به عنوان مثال هکر یا حمله کننده لیستی از رمز ها (Passwords) و نام های کاربری (Username) را دارد که رمز نگاری (Encrypt) شده اند یعنی بصورت معمولی یا طبیعی مانند ۱۲۳۴۵۶ نیستند بلکه بصورت دیگری نشان داده می شوند و حالت عادی ندارند. به عنوان مثال رمز ورود شما به یک سایت یا برنامه ای (امیدوارم نباشه!) Logmein است که در روش جدول رنگین کمان بصورت “8f4047e3233b39e4444e1aef240e80aa” نوشته و نمایش داده می شود.
در مواردی خاص هکر و یا حمله کننده رمز های (Password) ساده با الگوریتم Hash اجرا می کند ، در مواقع دیگر ممکن است این الگوریتم Hash رمزنگاری شده با مشکل مواجه شود یعنی بیشتر رمز ها و نام های کاربری لیستی که فرد دارد از قبل هک و کرک شده باشد.
اینجاست که روش جدول رنگین کمان خودش را نشان می دهد. بجای اینکه مجبور شوید صدها هزار رمز عبور را امتحان/پردازش کنید و نتیجه هرکدام را با الگوریتم Hash آن ها پیدا کنید ، در اینجاست که باید به الگوریتم ها و روش جدول رنگین کمان مراجعه کنید چرا که دارای هزاران هزار الگوریتم از قبل حساب شده و آماده دارا است. استفاده از روش جدول رنگین کمان باعت می شود در زمان خود برای کرک و هک کردن یک رمز عبور صرفه جویی کنیم. اما زیاد هم امیدوار نباشید چرا که هکر ها می توانند به راحتی جدول رنگین کمان را که میلیون ها الگوریتم هستند را خریداری کنند.
فرار و در امان ماندن از روش جدول رنگین کمان یا Rainbow Table :
- سایت هایی که از الگوریتم SHA1 و MD5 در رمزنگاری استفاده می کنند از آن ها فاصله بگیرید.
- جلوگیری از استفاده از سایت هایی که شما را به وارد کردن رمز های کوتاه وارد می کنند.
- جلوگیری از استفاده از سایت هایی که شما را در وارد کردن رمز عبور مورد نظر محدود می کنند.
- همیشه از یک رمز عبور پیچیده استفاده کنید.
بدافزار ها و Keylogger
یکی دیگر از روش هایی که به راحتی هکر می تواند رمز عبور شما را به دستآورد بدافزار ها و KeyLogger ها هستند. ویروس ها و بدافزار ها همه جا وجود دارند چرا که هدف آن ها خراب کردن و آسیب رسانی است. اگر این بدافزار شامل KeyLogger باشد باید بدانید که تمامی حساب های کاربری شما در خطر است!
معمولا این بدافزار تمامی اطلاعات شخصی کاربر را هدف دارد و یا یک کنترل از راه دور است که می تواند مدارک شما را بدزدد.
کی لاگر یا KeyLogger چیست؟
حالا که صحبت از کی لاگر شد باید بگوییم که نوع زیادی از این بدافزار نفوذی وجود دارد که کار اصلی آن ها ارسال اطلاعاتی است که شما با سیستم خود وارد می کنید یعنی از کیبورد گرفته تا کپی کردن فایل ها. هنگامی که شما متنی را با کیبورد تایپ می کنید تمامی آن کلمات توسط بدافزار KeyLogger به فرد مهاجم یا هکر فرستاده می شود این یعنی از تمامی اطلاعات شما باخبر شده و خواهد شد.
فرار و در امان ماندن از بدافزار هایی مانند کی لاگر یا Keylogger :
- نصب آنتی ویروس و بروز رسانی برای شناسایی بدافزار ها.
- دانلود نکردن هر فایلی از شبکه ی اینترنت (به هر فایلی در هر سایتی اطمینان نکنید).
- وارد نشدن به سایت های ناشناس و غیرقانونی.
- استفاده از ابزار مسدود کننده اسکریپت جهت مسدود کردن اسکریپت های مخرب.
تاکتیک Spidering
این روش همانطور که گفته شد مانند روش Dictionary است با این تفاوت که اگر هکر یه سازمان یا موسسه ای را مورد هدف خود قرار داده است یک لیستی از رمز ها و نام های کاربری مربوط به سازمان را امتحان می کند ، هکر می توانید تمامی این ها را به راحتی بدست آورد و اصطلاحات را پیدا کند و یا حتی با یک جست و جوی Spider می توانید به راحتی به این لیست ها دسترسی پیدا کند.
اگر فردی باشید که علاقمند به هک و امنیت باشید به احتمال زیاد کلمه ی عنکبوت را شنیده اید. این ها مانند یک Crawler هستند که برای ایندکس کردن سایت ها هر روز به آن ها سر می زنند تا سایت ها در موتور های جست و جو قرار گرفته و بروز باشند.
- قوی ، سخت ، منصحر به فرد ، تنها استفاده!
در آخر شما از هک شدن حساب های خود چگونه جلوگیری می کنید؟ از چه نوع رمزی استفاده می کنید؟ جواب این است که شما بطور ۱۰۰% نمی توانید امن باشید اما می توانید با رعایت کردن هر کدام از این روش ها از احتمال بوجود آمدن و هک شدن رمز ها و نام های کاربری شما توسط هکر ها جلوگیری شود.
توجهی دوباره : از یک رمز قوی و سخت همیشه استفاده کنید.