Hur fungerar lösenordsknäckning?

Lösenord står som ett hinder för att komma åt dina konton, och det är därför cyberbrottslingar är så angelägna om att rikta in sig på dem. Handlingen att knäcka lösenord är enormt populär, men det finns mer än en metod som kan användas här.

Så på vilka sätt kan lösenordsknäckning utföras, och kan du undvika det?

Vad är lösenordsknäckning?

Lösenordsknäckning används för att avslöja användarnas lösenord så att deras konton kan hackas av cyberbrottslingar.

Så många av våra konton, som de som används för bankverksamhet, umgänge, shopping och arbete, är skyddade av lösenord, så det är ingen överraskning att hackare vill lägga vantarna på denna data.

Ange lösenordsknäckning. Med olika metoder har illvilliga aktörer chansen att avslöja ditt riktiga lösenord och ge dem åtkomst till ditt konto om de också har din e-postadress eller ditt användarnamn (vilket kan vara oroande lätt att få stopp av).

Beroende på hur komplext ditt lösenord är, kan det knäckas inom allt från ett par sekunder till miljontals år. Enkla lösenord är uppenbarligen lättare att knäcka, så det är viktigt att strukturera ditt lösenord effektivt för att avvärja hackare (vilket vi kommer att diskutera senare).

De mest populära metoderna för lösenordsknäckning

Under årens lopp har lösenordsknäckning diversifierats till många metoder - vissa mer framgångsrika än andra. Så, vilka metoder används oftast av hackare när de knäcker lösenord?

1. Brute Force Attacker

Brute force attacker används ofta av cyberbrottslingar för att hacka konton. Denna sprickningsmetod innebär att man kör igenom alla möjliga kombinationer av bokstäver, siffror eller symboler som kan ingå i ett givet lösenord. Det är i huvudsak en trial-and-error-metod, eller elimineringsprocess, som fortsätter tills den korrekta frasen nås.

Brute force-attacker är särskilt effektiva på enklare lösenord, som de utan en blandning av skiftlägen eller symboler och siffror.

En brute force attack kan slutföras på mindre än en minut, även om det finns många fall där det skulle ta mycket längre tid. Vissa cyberbrottslingar kommer att låta processen pågå i veckor, månader eller till och med år, beroende på hur värdefullt lösenordet är. Om brute force-attacken lyckas kommer den att landa på rätt lösenord, vilket ger hackaren tillgång till vad de än försöker kompromissa med.

2. Nätfiske

Nätfiske är en populär taktik för cyberbrott, och kan användas för datastöld och spridning av skadlig programvara. När det gäller lösenordsknäckning är datastöld det uppenbara målet med nätfiskeattacken.

Nätfiskeattacker sker vanligtvis via e-post, SMS eller sociala medier (särskilt DM). När inloggningsuppgifter är målet kommer attacken ofta innebära att den illvilliga aktören skickar ett meddelande till mål som utger sig för att vara en officiell enhet.

En bedragare kan till exempel skicka ett e-postmeddelande till ett offer som påstår sig vara anställd hos den bank han valt. I e-postmeddelandet står det vanligtvis att ovanlig aktivitet har upptäckts på deras konto, och de måste logga in online för att verifiera om det var dem. Under texten kommer en länk till den påstådda inloggningssidan att tillhandahållas. Men i verkligheten är detta en länk till en skadlig nätfiskesida utformad för att se nästan identisk ut med en officiell inloggningssida, samtidigt som den stjäl data du matat in.

Om offret faller för bluffen kommer de att ange sina inloggningsuppgifter på nätfiskesidan, som sedan samlas in av angriparen. Vid det här laget har angriparen användarnamnet och lösenordet för offrets konto, vilket ger dem obehörig åtkomst.

3. Man-in-the-Middle attacker

Som namnet antyder, Man-in-the-Middle (MitM) attacker involvera en illvillig aktör som placerar sig mellan ett offer och en applikation eller webbplats.

Man-in-the-middle-attacker kan komma i många former, inklusive:

• E-postkapning.
• HTTPS-spoofing.
• HTML-spoofing.
• SSL-spoofing.
• Wi-Fi-spoofing.

En form av man-in-the-middle-attack innebär att den illvilliga operatören aktivt avlyssnar interaktionen mellan en användare och en server. I ett sådant scenario kommer angriparen att komma åt ett nätverk via en svaghet och sedan skanna ett program eller en webbplats efter en säkerhetsrisk. När en sårbarhet hittas kommer de att rikta in sig på den och sedan börja rikta in sig på användare när de interagerar med appar och webbplatser via det komprometterade nätverket.

Sedan, när offret anger någon form av data, eller tar emot data från applikationen, kommer den att vara synlig för angriparen. I det här fallet, om de anger ett lösenord, kan det hämtas av angriparen. Om denna data behöver dekrypteras kommer detta att vara nästa steg. Nu kan offrets data användas av den skadliga operatören på vilket sätt de vill.

4. Keylogging

Tangentloggning är en datastöldmetod som innebär att man loggar varje tangenttryckning som ett offer gör på sin enhet, oavsett om det är en stationär PC, bärbar dator, surfplatta, smartphone eller liknande.

Keyloggers kommer i form av skadlig programvara; skadliga program som används för att attackera. När en enhet är infekterad med en keylogger kan den illvilliga operatören se allt offret skriver, vilket kan vara e-postmeddelanden, betalningsinformation, inloggningsuppgifter – eller vad som helst egentligen!

Så om du någonsin loggar in på ett konto på en enhet som är infekterad med en keylogger, eller helt enkelt skriver in dina inloggningsuppgifter i en anteckningsapp eller lösenordshanterare, kan vad du än anger ses. Dessa referenser kommer sedan att tas av angriparen och användas för att komma åt ett eller flera av dina onlinekonton.

Du behöver veta hur man upptäcker och tar bort keyloggers för att skydda din data om dina enheter blir infekterade.

Hur man undviker lösenordsknäckning

För att undvika lösenordssprickning krävs ett par åtgärder, naturligtvis att börja med de lösenord du använder. Även om det är frestande att använda ett enkelt lösenord för alla dina konton, exponerar detta dig massivt för lösenordssprickning, särskilt brute force-attacker. De flesta webbplatser kommer att beskriva vissa krav för att skapa lösenord, till exempel blandade versaler, användning av symboler och siffror och en minsta längd totalt.

Det här är solida parametrar att följa, men det finns också andra saker du bör undvika, som att använda personlig information (t.ex. födelsedagar, namn, etc.) i dina lösenord. Du bör också undvika att använda samma lösenord för alla dina konton: om dina referenser kommer in i händerna på en angripare har de chansen att göra ännu mer skada genom att kompromissa med mer än bara en konto.

Utöver att förfina dina lösenord bör du också veta hur man upptäcker nätfiskekommunikation, eftersom dessa också används för att stjäla inloggningsuppgifter. Några tecken du alltid bör hålla utkik efter inkluderar:

• Dålig stavning och grammatik.
• En ovanlig e-postadress.
• Tillhandahållit länkar.
• Länkar som en kontrollwebbplats har markerat som skadliga.
• Alltför övertygande/brådskande språk.

Du bör dessutom överväga att använda två- eller multifaktorautentisering för att lägga till ett extra lager av säkerhet till dina konton. På så sätt, om en angripare försöker logga in med ditt användarnamn och lösenord, måste du först verifiera inloggningsförsöket från en separat enhet eller kanal, som SMS eller e-post.

Lösenordsknäckning utsätter alla för risker

Det råder ingen tvekan om att dessa lösenordsknäckningstekniker hotar säkerheten och integriteten för användare över hela världen. Enorma mängder data har redan stulits via lösenordsknäckning, och det finns inget som säger att du inte kommer att bli måltavla. Så se till att du vet hur du ska undvika detta skadliga företag för att hålla dina konton säkra.