目次:
- ソーシャルエンジニアリング
- ショルダーサーフィン
- 推論
- 外部の攻撃者や悪意のある内部者は、ログインにパスワードを必要としない古いオペレーティングシステムやセキュリティ保護されていないオペレーティングシステムを利用して、パスワードを取得するか、単に使用する必要がなくなります。パスワードを使用するように設定されていないタブレットです。
ビデオ: 【 EC ゆっくり解説 】その2 実践 超初級 パスワード 抜き出し ! 簡単 ハッカー デビュー クラッキング 入門 2024
パスワードクラッキングは悪人にとって最も楽しいハッキングの1つです。それは探求の感覚と問題を見つけ出す欲求に繋がります。ハッカーは、ローテクの方法を使ってパスワードを盗むことができます。これらの方法には、ソーシャルエンジニアリング技術の使用、肩のサーフィン、ユーザーが知っている情報からのパスワードの推測が含まれます。
ソーシャルエンジニアリング
パスワードを収集する最も一般的な方法は ソーシャルエンジニアリング です。ソーシャルエンジニアリングは、人間の信頼できる性質を利用して、後に悪意のある使用が可能な情報を得る。一般的なソーシャルエンジニアリング技術は、単純に人々のパスワードを漏らしてしまうことです。それはばかげて聞こえるが、それはいつも起こる。
<! - 1 - >技法
ソーシャルエンジニアリングでパスワードを取得するには、それを求めてください。たとえば、単にユーザーに電話をかけて、重要な電子メールがメールキューに滞留していることを伝えれば、ログインして解放するにはパスワードが必要です。これはしばしば、ハッカーや不正な内部者が情報を入手しようとする方法です。
ソーシャルエンジニアリングを促進する一般的な弱点は、社員の名前、電話番号、電子メールアドレスが社内のWebサイトに掲載されていることです。 LinkedIn、Facebook、Twitterなどのソーシャルメディアサイトは、従業員の名前や連絡先情報を明らかにすることができるため、企業に対しても使用できます。
対策
ユーザーの意識と一貫したセキュリティトレーニングは、ソーシャルエンジニアリングに対する大きな防御手段です。セキュリティツールは、ホストレベル、ネットワーク境界、またはクラウドで、そのような電子メールやWebブラウジングを監視する場合に、優れたフェイルセーフです。
攻撃を見つけて効果的に対応するようにユーザーに指導します。彼らの最善の対応は、情報を提供することではなく、組織内の適切な情報セキュリティマネージャーに問い合わせが正当であるかどうか、および応答が必要かどうかを確認することです。ああ、あなたのウェブサイトからスタッフディレクトリを削除するか、少なくともITスタッフの情報を削除してください。
ショルダーサーフィン
ショルダーサーフィン (人が何を入力しているかを見るために誰かの肩を見ている行為)は、効果的な、技術の低いパスワードハックです。
技法
この攻撃を仕掛けるには、悪意のある人物が被害者の近くにいて、明らかに見えないようにする必要があります。ユーザーは、ログインしたときにユーザーのキーボードまたは画面を見てパスワードを収集するだけです。
良い目を持つ攻撃者は、パスワードを覚えているのか、パスワード自体。このような攻撃には、セキュリティカメラやWebカメラを使用することもできます。コーヒーショップや飛行機は、ショルダーサーフィンに理想的なシナリオを提供します。
あなたは肩を自分自身でサーフィンすることができます。単にオフィスを歩き回り、ランダムな点検を行うだけです。ユーザーの机に移動し、コンピュータ、ネットワーク、または電子メールアプリケーションにログインするよう依頼します。あらかじめ自分が行っていることを教えたり、入力した内容やパスワードを探している場所を隠そうとするかもしれません。これを慎重に行い、他人のプライバシーを尊重してください。
対抗策
ユーザーが自分の周囲を認識し、誰かが肩を見ていると思われるときにパスワードを入力しないようにユーザーに促す。ログイン中に誰かが肩を覗いていると思われる場合は、慎重に相手に見せてもらうか、必要であれば、ユーザーが深刻な犯罪者を示すために適切な別名を投げるように指示します。
肩のサーファーの視界にたよるだけで、タイピングやコンピュータ画面が見えないようにするのが最も簡単です。 3Mのプライバシーフィルタも同様に機能します。推論
推論
は、生年月日、好きなテレビ番組、電話番号など、ユーザーについて知っている情報からパスワードを推測するだけです。愚かなように聞こえますが、犯罪者はしばしば犠牲者のパスワードを推測するだけです。 推論攻撃に対する最善の防御策は、ユーザーに関連付けることができる情報を含まない安全なパスワードを作成することをユーザーに教えることです。特定のパスワード複雑度フィルタの外では、テクニカルコントロールでこのプラクティスを実施することはしばしば容易ではありません。したがって、安全なパスワードポリシーの重要性をユーザーに思い出させるために、健全なセキュリティポリシーと継続的なセキュリティ意識とトレーニングが必要です。
弱い認証
外部の攻撃者や悪意のある内部者は、ログインにパスワードを必要としない古いオペレーティングシステムやセキュリティ保護されていないオペレーティングシステムを利用して、パスワードを取得するか、単に使用する必要がなくなります。パスワードを使用するように設定されていないタブレットです。
認証をバイパスするパスワードを要求する古いオペレーティングシステムでは、キーボードのEscキーを押して右に進めることができます。最近、Windows 9
x
ログイン画面をバイパスするように設定されているオペレーティングシステム(古いものや新しいもの)についても同様です。 入室後、ダイヤルアップやVPN接続、スクリーンセーバーなどの場所に保存されている他のパスワードを見つけることができます。このようなパスワードは、ElcomsoftのProactive System Password RecoveryツールとCain&Abelを使用して簡単にクラックされる可能性があります。これらの弱いシステムは、999台の信頼できるマシンとして機能することができます。つまり、人々は安全であると判断し、ネットワークベースのパスワード攻撃に対しても優れた起動パッドを提供します。 対抗策
弱い認証に対する真の唯一の防御は、ブート時にオペレーティングシステムにパスワードが必要であることを保証することです。この脆弱性を解消するには、Windows 9またはWindows 8に少なくとも アップグレードするか、Mac OS Xを含むLinuxの最新バージョンまたはUNIXのさまざまなバージョンのいずれかを使用します。
