Mật khẩu là rào cản đối với việc truy cập tài khoản của bạn và đây là lý do tại sao tội phạm mạng rất muốn nhắm mục tiêu vào chúng. Hành động bẻ khóa mật khẩu cực kỳ phổ biến, nhưng có nhiều hơn một phương pháp có thể được sử dụng ở đây.
Vậy, việc bẻ khóa mật khẩu có thể được tiến hành theo những cách nào và bạn có thể tránh được không?
Bẻ khóa mật khẩu là gì?
Bẻ khóa mật khẩu được sử dụng để khám phá mật khẩu của người dùng để tội phạm mạng có thể tấn công tài khoản của họ.
Vì vậy, nhiều tài khoản của chúng ta, chẳng hạn như những tài khoản được sử dụng cho giao dịch ngân hàng, giao tiếp xã hội, mua sắm và làm việc, được bảo vệ bằng mật khẩu, vì vậy không có gì ngạc nhiên khi tin tặc muốn lấy được dữ liệu này.
Nhập mật khẩu bẻ khóa. Sử dụng nhiều phương pháp khác nhau, những kẻ độc hại có cơ hội phát hiện ra mật khẩu thực của bạn, cấp cho họ quyền truy cập vào tài khoản của bạn nếu họ cũng có địa chỉ email hoặc tên người dùng của bạn (có thể dễ dàng nắm giữ một cách đáng lo ngại).
Tùy thuộc vào độ phức tạp của mật khẩu của bạn, nó có thể bị bẻ khóa trong khoảng thời gian từ vài giây đến hàng triệu năm. Các mật khẩu đơn giản rõ ràng là dễ bị bẻ khóa hơn, vì vậy, điều quan trọng là phải cấu trúc mật khẩu của bạn một cách hiệu quả để chống lại tin tặc (điều này chúng ta sẽ thảo luận sau).
Các phương pháp bẻ khóa mật khẩu phổ biến nhất
Qua nhiều năm, việc bẻ khóa mật khẩu đã đa dạng hóa thành nhiều phương pháp—một số phương pháp thành công hơn những phương pháp khác. Vì vậy, những phương pháp nào thường được tin tặc sử dụng nhất khi bẻ khóa mật khẩu?
1. Tấn công Brute Force
Các cuộc tấn công vũ phu thường được tội phạm mạng sử dụng để hack tài khoản. Phương pháp bẻ khóa này liên quan đến việc chạy qua mọi tổ hợp chữ cái, số hoặc ký hiệu có thể có trong một mật khẩu nhất định. Về cơ bản, đây là một phương pháp thử và sai, hoặc quá trình loại bỏ, tiếp tục cho đến khi đạt được cụm từ chính xác.
Các cuộc tấn công vũ phu đặc biệt hiệu quả đối với các mật khẩu đơn giản hơn, chẳng hạn như những mật khẩu không có sự kết hợp giữa các trường hợp chữ cái hoặc ký hiệu và số.
Một cuộc tấn công vũ phu có thể được hoàn thành trong vòng chưa đầy một phút, mặc dù có nhiều trường hợp sẽ mất nhiều thời gian hơn. Một số tội phạm mạng sẽ để quá trình này diễn ra trong nhiều tuần, nhiều tháng hoặc thậm chí nhiều năm, tùy thuộc vào mức độ giá trị của mật khẩu. Nếu cuộc tấn công brute force thành công, nó sẽ đáp ứng đúng mật khẩu, cho phép tin tặc truy cập vào bất cứ thứ gì chúng đang cố gắng thỏa hiệp.
2. Lừa đảo
Lừa đảo là chiến thuật phổ biến của tội phạm mạng và có thể được sử dụng để đánh cắp dữ liệu và phát tán phần mềm độc hại. Khi nói đến việc bẻ khóa mật khẩu, đánh cắp dữ liệu là mục tiêu rõ ràng của cuộc tấn công lừa đảo.
Các cuộc tấn công lừa đảo thường diễn ra qua email, SMS hoặc phương tiện truyền thông xã hội (đặc biệt là DM). Khi thông tin đăng nhập là mục tiêu, cuộc tấn công thường liên quan đến việc kẻ xấu gửi cho mục tiêu một thông tin liên lạc mạo danh một thực thể chính thức.
Ví dụ: kẻ lừa đảo có thể gửi email cho nạn nhân tự xưng là nhân viên của ngân hàng mà họ đã chọn. Trong email, thường thông báo rằng đã phát hiện thấy hoạt động bất thường trên tài khoản của họ và họ cần đăng nhập trực tuyến để xác minh xem đó có phải là họ hay không. Bên dưới văn bản, một liên kết đến trang đăng nhập bị cáo buộc sẽ được cung cấp. Tuy nhiên, trên thực tế, đây là một liên kết đến một trang lừa đảo độc hại được thiết kế để trông gần giống với trang đăng nhập chính thức, đồng thời đánh cắp dữ liệu bạn nhập vào.
Nếu nạn nhân rơi vào bẫy lừa đảo, họ sẽ nhập thông tin đăng nhập của mình trên trang lừa đảo, sau đó kẻ tấn công sẽ thu thập thông tin đăng nhập này. Tại thời điểm này, kẻ tấn công có tên người dùng và mật khẩu cho tài khoản của nạn nhân, cho phép họ truy cập trái phép.
3. Tấn công trung gian
Đúng như tên gọi, các cuộc tấn công Man-in-the-Middle (MitM) liên quan đến một tác nhân độc hại tự đặt mình vào giữa nạn nhân và một ứng dụng hoặc trang web.
Các cuộc tấn công trung gian có thể có nhiều dạng, bao gồm:
- Chiếm đoạt thư điện tử.
- giả mạo HTTPS.
- giả mạo HTML.
- giả mạo SSL.
- Giả mạo Wi-Fi.
Một hình thức tấn công trung gian liên quan đến việc kẻ điều hành độc hại chủ động nghe trộm sự tương tác giữa người dùng và máy chủ. Trong trường hợp như vậy, kẻ tấn công sẽ truy cập mạng thông qua một điểm yếu, sau đó quét một ứng dụng hoặc trang web để tìm lỗ hổng bảo mật. Khi tìm thấy lỗ hổng bảo mật, chúng sẽ nhắm mục tiêu vào lỗ hổng đó rồi bắt đầu nhắm mục tiêu vào người dùng khi họ tương tác với các ứng dụng và trang web thông qua mạng bị xâm nhập.
Sau đó, khi nạn nhân nhập bất kỳ loại dữ liệu nào hoặc nhận dữ liệu từ ứng dụng, kẻ tấn công sẽ có thể xem được. Trong trường hợp này, nếu họ nhập mật khẩu, kẻ tấn công có thể lấy được mật khẩu đó. Nếu dữ liệu này cần được giải mã, đây sẽ là bước tiếp theo. Bây giờ, dữ liệu của nạn nhân có thể được sử dụng bởi nhà điều hành độc hại theo bất kỳ cách nào họ muốn.
4. Ghi bàn phím
Keylogging là một phương pháp đánh cắp dữ liệu liên quan đến việc ghi lại mọi thao tác gõ phím mà nạn nhân thực hiện trên thiết bị của họ, có thể là máy tính để bàn, máy tính xách tay, máy tính bảng, điện thoại thông minh hoặc tương tự.
Keylogger có dạng phần mềm độc hại; chương trình độc hại được sử dụng để tấn công. Khi một thiết bị bị nhiễm keylogger, kẻ điều hành độc hại có thể thấy mọi thứ mà nạn nhân đang gõ, đó có thể là email, thông tin thanh toán, thông tin đăng nhập—hoặc bất kỳ thứ gì thực sự!
Vì vậy, nếu bạn từng đăng nhập vào một tài khoản trên thiết bị bị nhiễm keylogger hoặc chỉ cần nhập thông tin đăng nhập của mình vào ứng dụng ghi chú hoặc trình quản lý mật khẩu, thì bất cứ điều gì bạn nhập đều có thể được nhìn thấy. Những thông tin đăng nhập này sau đó sẽ bị kẻ tấn công lấy và sử dụng để truy cập vào một hoặc nhiều tài khoản trực tuyến của bạn.
Bạn cần biết cách phát hiện và loại bỏ keylogger để bảo vệ dữ liệu của mình nếu thiết bị của bạn bị nhiễm virus.
Cách tránh bị bẻ khóa mật khẩu
Để tránh bị bẻ khóa mật khẩu cần có một số biện pháp, đương nhiên là bắt đầu bằng mật khẩu bạn sử dụng. Mặc dù việc sử dụng một mật khẩu đơn giản cho tất cả các tài khoản của bạn rất hấp dẫn, nhưng điều này khiến bạn dễ bị bẻ khóa mật khẩu, đặc biệt là các cuộc tấn công vũ phu. Hầu hết các trang web sẽ phác thảo một số yêu cầu để tạo mật khẩu, chẳng hạn như trường hợp hỗn hợp, việc sử dụng các ký hiệu và số và tổng độ dài tối thiểu.
Đây là những thông số chắc chắn cần tuân theo, nhưng cũng có những điều khác bạn nên tránh, chẳng hạn như sử dụng thông tin cá nhân (ví dụ: ngày sinh, tên, v.v.) trong mật khẩu của mình. Bạn cũng nên tránh sử dụng cùng một mật khẩu cho tất cả các tài khoản của mình: nếu thông tin đăng nhập của bạn lọt vào tay kẻ tấn công, chúng có khả năng gây ra nhiều thiệt hại hơn bằng cách xâm phạm nhiều hơn chỉ một tài khoản.
Ngoài việc tinh chỉnh mật khẩu của mình, bạn cũng nên biết cách phát hiện các thông tin liên lạc lừa đảo, vì chúng cũng được sử dụng để đánh cắp thông tin đăng nhập. Một số dấu hiệu bạn nên luôn chú ý bao gồm:
- Chính tả và ngữ pháp kém.
- Một địa chỉ email bất thường.
- Liên kết được cung cấp.
- Các liên kết mà một trang web kiểm tra đã đánh dấu là độc hại.
- Ngôn ngữ quá thuyết phục/khẩn cấp.
Ngoài ra, bạn nên cân nhắc sử dụng xác thực hai yếu tố hoặc đa yếu tố để thêm một lớp bảo mật bổ sung cho tài khoản của mình. Bằng cách này, nếu kẻ tấn công cố gắng đăng nhập bằng tên người dùng và mật khẩu của bạn, trước tiên bạn sẽ phải xác minh nỗ lực đăng nhập từ một thiết bị hoặc kênh riêng biệt, chẳng hạn như SMS hoặc email.
Bẻ khóa mật khẩu khiến mọi người gặp rủi ro
Không còn nghi ngờ gì nữa, những kỹ thuật bẻ khóa mật khẩu này đe dọa đến tính bảo mật và quyền riêng tư của người dùng trên toàn thế giới. Một lượng lớn dữ liệu đã bị đánh cắp thông qua việc bẻ khóa mật khẩu và không có gì phải nói rằng bạn sẽ không bị nhắm mục tiêu. Vì vậy, hãy đảm bảo rằng bạn biết cách tránh xa liên doanh độc hại này để giữ cho tài khoản của mình an toàn và bảo mật.