पासवर्ड हैक करने के लिए इस्तेमाल की जाने वाली 8 सबसे आम तरकीबें

जब आप "सुरक्षा उल्लंघन" सुनते हैं, तो आपके दिमाग में क्या आता है? मैट्रिक्स-शैली के डिजिटल टेक्स्ट में शामिल स्क्रीन के सामने बैठे एक द्वेषपूर्ण हैकर? या एक तहखाने में रहने वाला किशोर जिसने तीन सप्ताह में दिन के उजाले को नहीं देखा है? कैसे एक शक्तिशाली सुपर कंप्यूटर पूरी दुनिया को हैक करने का प्रयास कर रहा है?

हैकिंग एक चीज के बारे में है: आपका पासवर्ड। यदि कोई आपके पासवर्ड का अनुमान लगा सकता है, तो उसे फैंसी हैकिंग तकनीक और सुपर कंप्यूटर की आवश्यकता नहीं है। वे आपकी तरह कार्य करते हुए बस लॉग इन करेंगे। यदि आपका पासवर्ड छोटा और सरल है, तो खेल समाप्त हो गया है।

आपके पासवर्ड को हैक करने के लिए हैकर्स आठ सामान्य रणनीति का उपयोग करते हैं।

1. शब्दकोश हैक

कॉमन पासवर्ड हैकिंग टैक्टिक्स गाइड में सबसे पहले डिक्शनरी अटैक है। इसे डिक्शनरी अटैक क्यों कहा जाता है? क्योंकि यह पासवर्ड के खिलाफ परिभाषित "शब्दकोश" में प्रत्येक शब्द को स्वचालित रूप से आज़माता है। शब्दकोश सख्ती से वह नहीं है जिसका उपयोग आपने स्कूल में किया था।

नहीं। यह डिक्शनरी वास्तव में एक छोटी फ़ाइल है जिसमें सबसे अधिक उपयोग किए जाने वाले पासवर्ड संयोजन भी हैं। इसमें १२३४५६, क्वर्टी, पासवर्ड, iloveyou, और सर्वकालिक क्लासिक, हंटर २ शामिल हैं।

उपरोक्त तालिका 2016 में सबसे अधिक लीक हुए पासवर्ड का विवरण देती है। नीचे दी गई तालिका में 2020 में सबसे अधिक लीक हुए पासवर्ड का विवरण दिया गया है।

दोनों के बीच समानताओं पर ध्यान दें—और सुनिश्चित करें कि आप इन अविश्वसनीय रूप से सरल विकल्पों का उपयोग नहीं करते हैं।

पेशेवरों: तेज; आमतौर पर कुछ बुरी तरह से सुरक्षित खातों को अनलॉक कर देगा।

विपक्ष: थोड़ा मजबूत पासवर्ड भी सुरक्षित रहेगा।

सुरक्षित रहें: पासवर्ड प्रबंधन ऐप के संयोजन में प्रत्येक खाते के लिए एक मजबूत एकल-उपयोग पासवर्ड का उपयोग करें। पासवर्ड मैनेजर आपको अपने अन्य पासवर्ड को रिपॉजिटरी में स्टोर करने देता है। फिर आप प्रत्येक साइट के लिए एक ही, हास्यास्पद रूप से मजबूत पासवर्ड का उपयोग कर सकते हैं।

संबंधित: Google पासवर्ड मैनेजर: कैसे शुरू करें

2. जानवर बल

अगला, क्रूर बल हमला, जिससे एक हमलावर हर संभव चरित्र संयोजन की कोशिश करता है। प्रयास किए गए पासवर्ड जटिलता नियमों के विनिर्देशों से मेल खाएंगे, उदाहरण के लिए एक अपर-केस, एक लोअर-केस, पाई के दशमलव, आपका पिज्जा ऑर्डर, और इसी तरह।

एक क्रूर बल हमला सबसे अधिक इस्तेमाल किए जाने वाले अल्फ़ान्यूमेरिक वर्ण संयोजनों को भी पहले भी आज़माएगा। इनमें पहले सूचीबद्ध पासवर्ड, साथ ही 1q2w3e4r5t, zxcvbnm और qwertyuiop शामिल हैं। इस पद्धति का उपयोग करके पासवर्ड का पता लगाने में बहुत लंबा समय लग सकता है, लेकिन यह पूरी तरह से पासवर्ड की जटिलता पर निर्भर करता है।

पेशेवरों: सैद्धांतिक रूप से, यह हर संयोजन को आजमाकर किसी भी पासवर्ड को क्रैक कर देगा।

विपक्ष: पासवर्ड की लंबाई और कठिनाई के आधार पर, इसमें बहुत लंबा समय लग सकता है। कुछ चर जैसे $, &, {, या ] में फेंक दें, और पासवर्ड का पता लगाना बेहद मुश्किल हो जाता है।

सुरक्षित रहें: हमेशा वर्णों के परिवर्तनशील संयोजन का उपयोग करें, और जहाँ संभव हो,जटिलता बढ़ाने के लिए अतिरिक्त प्रतीकों का परिचय दें

3. फ़िशिंग

यह सख्ती से एक "हैक" नहीं है, लेकिन फ़िशिंग या स्पीयर-फ़िशिंग प्रयास का शिकार होना आमतौर पर बुरी तरह समाप्त हो जाएगा। सामान्य फ़िशिंग ईमेल दुनिया भर के सभी प्रकार के इंटरनेट उपयोगकर्ताओं को अरबों द्वारा भेजे जाते हैं।

एक फ़िशिंग ईमेल आम तौर पर इस तरह काम करता है:

  1. लक्षित उपयोगकर्ता को एक नकली ईमेल प्राप्त होता है जो किसी प्रमुख संगठन या व्यवसाय से होने का दावा करता है।
  2. नकली ईमेल तत्काल ध्यान देने की मांग करता है, जिसमें एक वेबसाइट का लिंक होता है।
  3. यह लिंक वास्तव में एक नकली लॉगिन पोर्टल से जुड़ता है, जो बिल्कुल वैध साइट के समान दिखने के लिए नकली है।
  4. पहले से न सोचा लक्ष्य उपयोगकर्ता अपने लॉगिन क्रेडेंशियल में प्रवेश करता है और या तो पुनर्निर्देशित किया जाता है या फिर से प्रयास करने के लिए कहा जाता है।
  5. उपयोगकर्ता क्रेडेंशियल चोरी, बेचे जाते हैं, या नापाक तरीके से (या दोनों) उपयोग किए जाते हैं।

दुनिया भर में भेजे जाने वाले दैनिक स्पैम की मात्रा उच्च बनी हुई है, जो वैश्विक स्तर पर भेजे गए सभी ईमेल के आधे से अधिक के लिए जिम्मेदार है। इसके अलावा, दुर्भावनापूर्ण अनुलग्नकों की मात्रा भी अधिक है, जनवरी से जून 2020 तक Kaspersky ने 92 मिलियन से अधिक दुर्भावनापूर्ण अनुलग्नकों को नोट किया है। याद रखें, यह केवल Kaspersky के लिए है, इसलिए वास्तविक संख्या बहुत अधिक है

2017 में वापस, सबसे बड़ा फ़िशिंग लालच एक नकली चालान था। हालाँकि, 2020 में, COVID-19 महामारी ने एक नया फ़िशिंग खतरा प्रदान किया

अप्रैल 2020 में, कई देशों के महामारी लॉकडाउन में जाने के कुछ ही समय बाद, Google ने घोषणा की कि वह प्रतिदिन 18 मिलियन से अधिक COVID-19 थीम वाले दुर्भावनापूर्ण स्पैम और फ़िशिंग ईमेल को ब्लॉक कर रहा है। इनमें से बड़ी संख्या में ईमेल वैधता के लिए आधिकारिक सरकार या स्वास्थ्य संगठन की ब्रांडिंग का उपयोग करते हैं और पीड़ितों को बिना सुरक्षा के पकड़ लेते हैं।

पेशेवरों: उपयोगकर्ता सचमुच अपनी लॉगिन जानकारी सौंपता है, जिसमें पासवर्ड भी शामिल है-अपेक्षाकृत उच्च हिट दर, आसानी से विशिष्ट सेवाओं या स्पीयर-फ़िशिंग हमले में विशिष्ट लोगों के अनुरूप।

विपक्ष: स्पैम ईमेल आसानी से फ़िल्टर किए जाते हैं, स्पैम डोमेन ब्लैकलिस्ट किए जाते हैं, और Google जैसे प्रमुख प्रदाता लगातार सुरक्षा अपडेट करते हैं।

सुरक्षित रहें: ईमेल से संशय में रहें, और अपने स्पैम फ़िल्टर को उसकी उच्चतम सेटिंग तक बढ़ाएँ या, बेहतर अभी भी, एक सक्रिय श्वेतसूची का उपयोग करें। क्लिक करने से पहले यह पता लगाने के लिए लिंक चेकर का उपयोग करें कि कोई ईमेल लिंक वैध है या नहीं।

4. सोशल इंजीनियरिंग

सोशल इंजीनियरिंग अनिवार्य रूप से स्क्रीन से दूर, वास्तविक दुनिया में फ़िशिंग है।

किसी भी सुरक्षा ऑडिट का एक मुख्य हिस्सा यह पता लगाना है कि पूरा कार्यबल क्या समझता है। उदाहरण के लिए, एक सुरक्षा कंपनी उस व्यवसाय को फ़ोन करेगी जिसका वे ऑडिट कर रहे हैं। "हमलावर" व्यक्ति को फोन पर बताता है कि वे नई कार्यालय तकनीकी सहायता टीम हैं, और उन्हें किसी विशिष्ट चीज़ के लिए नवीनतम पासवर्ड की आवश्यकता है।

बिना सोचे-समझे व्यक्ति बिना रुके चाबियों को विचार के लिए सौंप सकता है।

डरावनी बात यह है कि यह कितनी बार काम करता है। सोशल इंजीनियरिंग सदियों से मौजूद है। सुरक्षित क्षेत्र में प्रवेश पाने के लिए नकलची होना हमले का एक सामान्य तरीका है और केवल शिक्षा से ही बचाव किया जाता है।

ऐसा इसलिए है क्योंकि हमला हमेशा सीधे पासवर्ड नहीं मांगेगा। यह एक नकली प्लंबर या इलेक्ट्रीशियन हो सकता है जो किसी सुरक्षित इमारत में प्रवेश के लिए कह रहा हो, इत्यादि।

जब कोई कहता है कि उनके पासवर्ड का खुलासा करने के लिए उन्हें बरगलाया गया था, तो यह अक्सर सोशल इंजीनियरिंग का परिणाम होता है।

पेशेवरों: कुशल सामाजिक इंजीनियर कई लक्ष्यों से उच्च-मूल्य की जानकारी निकाल सकते हैं। इसे लगभग किसी के भी खिलाफ, कहीं भी तैनात किया जा सकता है। यह बेहद गुपचुप है।

विपक्ष: एक सोशल इंजीनियरिंग की विफलता एक आसन्न हमले के बारे में संदेह पैदा कर सकती है, और यह अनिश्चितता पैदा कर सकती है कि क्या सही जानकारी प्राप्त की गई है।

सुरक्षित रहें : यह एक मुश्किल काम है। एक सफल सोशल इंजीनियरिंग हमला तब तक पूरा हो जाएगा जब तक आप महसूस करेंगे कि कुछ भी गलत है। शिक्षा और सुरक्षा जागरूकता एक प्रमुख शमन रणनीति है। व्यक्तिगत जानकारी पोस्ट करने से बचें जो बाद में आपके खिलाफ इस्तेमाल की जा सकती हैं।

5. इंद्रधनुष तालिका

रेनबो टेबल आमतौर पर एक ऑफलाइन पासवर्ड अटैक होता है। उदाहरण के लिए, एक हमलावर ने उपयोगकर्ता नाम और पासवर्ड की एक सूची हासिल कर ली है, लेकिन वे एन्क्रिप्टेड हैं। एन्क्रिप्टेड पासवर्ड हैशेड है । इसका मतलब है कि यह मूल पासवर्ड से बिल्कुल अलग दिखता है।

उदाहरण के लिए, आपका पासवर्ड (उम्मीद है नहीं!) logmein है। इस पासवर्ड के लिए ज्ञात MD5 हैश "8f4047e3233b39e4444e1aef240e80aa" है।

आप और मैं के लिए अस्पष्ट। लेकिन कुछ मामलों में, हमलावर एक एन्क्रिप्टेड पासवर्ड फ़ाइल के परिणामों की तुलना करते हुए, हैशिंग एल्गोरिदम के माध्यम से सादे टेक्स्ट पासवर्ड की एक सूची चलाएगा। अन्य मामलों में, एन्क्रिप्शन एल्गोरिथम असुरक्षित है, और अधिकांश पासवर्ड पहले ही क्रैक हो चुके हैं, जैसे MD5 (इसलिए हम "logmein" के लिए विशिष्ट हैश क्यों जानते हैं।

यह वह जगह है जहाँ इंद्रधनुष तालिका अपने आप आती ​​है। सैकड़ों-हजारों संभावित पासवर्डों को संसाधित करने और उनके परिणामी हैश से मिलान करने के बजाय, एक इंद्रधनुष तालिका प्री-कंप्यूटेड एल्गोरिदम-विशिष्ट हैश मानों का एक विशाल सेट है।

रेनबो टेबल का उपयोग करने से हैशेड पासवर्ड को क्रैक करने में लगने वाला समय काफी कम हो जाता है—लेकिन यह सही नहीं है। हैकर्स लाखों संभावित संयोजनों से भरी प्रीफिल्ड रेनबो टेबल खरीद सकते हैं।

पेशेवरों: कम समय में जटिल पासवर्ड का पता लगा सकते हैं; कुछ सुरक्षा परिदृश्यों पर हैकर को बहुत अधिक शक्ति प्रदान करता है।

विपक्ष: विशाल (कभी-कभी टेराबाइट्स) इंद्रधनुष तालिका को संग्रहीत करने के लिए बड़ी मात्रा में स्थान की आवश्यकता होती है। साथ ही, हमलावर तालिका में निहित मूल्यों तक सीमित हैं (अन्यथा, उन्हें एक और संपूर्ण तालिका जोड़नी होगी)।

सुरक्षित रहें: एक और मुश्किल। रेनबो टेबल हमलावर क्षमता की एक विस्तृत श्रृंखला प्रदान करते हैं। ऐसी किसी भी साइट से बचें जो अपने पासवर्ड हैशिंग एल्गोरिथम के रूप में SHA1 या MD5 का उपयोग करती हैं। ऐसी किसी भी साइट से बचें जो आपको छोटे पासवर्ड तक सीमित करती है या आपके द्वारा उपयोग किए जा सकने वाले वर्णों को प्रतिबंधित करती है। हमेशा एक जटिल पासवर्ड का प्रयोग करें।

संबंधित: कैसे बताएं कि कोई साइट पासवर्ड को प्लेनटेक्स्ट के रूप में संग्रहीत करती है (और क्या करें)

6. मैलवेयर/कीलॉगर

अपने लॉगिन क्रेडेंशियल्स को खोने का एक और निश्चित तरीका है कि आप मैलवेयर की चपेट में आ जाएं। मैलवेयर हर जगह है, जिसमें भारी नुकसान करने की क्षमता है। यदि मैलवेयर संस्करण में कीलॉगर है, तो आप अपने सभी खातों से छेड़छाड़ कर सकते हैं।

वैकल्पिक रूप से, मैलवेयर विशेष रूप से निजी डेटा को लक्षित कर सकता है या आपके क्रेडेंशियल्स को चुराने के लिए रिमोट एक्सेस ट्रोजन पेश कर सकता है।

पेशेवरों: हजारों मैलवेयर वेरिएंट, कई अनुकूलन योग्य, कई आसान डिलीवरी विधियों के साथ। एक अच्छा मौका है कि बड़ी संख्या में लक्ष्य कम से कम एक प्रकार के आगे झुक जाएंगे। निजी डेटा और लॉगिन क्रेडेंशियल के आगे संचयन की अनुमति देते हुए, यह ज्ञात नहीं हो सकता है।

विपक्ष: संभावना है कि मैलवेयर काम नहीं करेगा, या डेटा तक पहुंचने से पहले क्वारंटाइन किया गया है; कोई गारंटी नहीं है कि डेटा उपयोगी है।

सुरक्षित रहें : अपने एंटीवायरस और एंटी-मैलवेयर सॉफ़्टवेयर को इंस्टॉल और नियमित रूप से अपडेट करें । अपने डाउनलोड स्रोतों पर ध्यान से विचार करें। बंडलवेयर वगैरह वाले इंस्टॉलेशन पैकेज पर क्लिक न करें. नापाक साइटों से दूर रहें (कहा जाने से आसान है)। दुर्भावनापूर्ण स्क्रिप्ट को रोकने के लिए स्क्रिप्ट ब्लॉकिंग टूल का उपयोग करें।

7. स्पाइडरिंग

शब्दकोश हमले में स्पाइडरिंग संबंध। यदि कोई हैकर किसी विशिष्ट संस्थान या व्यवसाय को लक्षित करता है, तो वे व्यवसाय से संबंधित पासवर्ड की एक श्रृंखला का प्रयास कर सकते हैं। हैकर संबंधित शब्दों की एक श्रृंखला को पढ़ और मिला सकता है—या उनके लिए काम करने के लिए एक खोज मकड़ी का उपयोग कर सकता है।

आपने "मकड़ी" शब्द पहले सुना होगा। ये सर्च स्पाइडर उन लोगों के समान हैं जो इंटरनेट के माध्यम से क्रॉल करते हैं, सर्च इंजन के लिए कंटेंट को इंडेक्स करते हैं। कस्टम शब्द सूची का उपयोग उपयोगकर्ता खातों के खिलाफ मैच खोजने की उम्मीद में किया जाता है।

पेशेवरों: किसी संगठन के भीतर उच्च रैंकिंग वाले व्यक्तियों के खातों को संभावित रूप से अनलॉक कर सकते हैं। एक साथ रखना अपेक्षाकृत आसान है और एक शब्दकोश हमले में एक अतिरिक्त आयाम जोड़ता है।

विपक्ष: यदि संगठनात्मक नेटवर्क सुरक्षा अच्छी तरह से कॉन्फ़िगर की गई है तो बेकार हो सकती है।

सुरक्षित रहें: फिर से, केवल मजबूत, एकल-उपयोग वाले पासवर्ड का उपयोग करें जिसमें यादृच्छिक तार शामिल हों; आपके व्यक्तित्व, व्यवसाय, संगठन आदि से कुछ भी नहीं जुड़ा है।

8. शोल्डर सर्फिंग

अंतिम विकल्प सबसे बुनियादी में से एक है। जब आप अपना पासवर्ड टाइप कर रहे हों तो क्या होगा यदि कोई आपके कंधे पर नज़र रखे?

शोल्डर सर्फिंग थोड़ा हास्यास्पद लगता है, लेकिन ऐसा होता है। यदि आप एक व्यस्त शहर के कैफे में काम कर रहे हैं और अपने परिवेश पर ध्यान नहीं दे रहे हैं, तो कोई आपके टाइप करते ही आपके पासवर्ड को नोट करने के लिए पर्याप्त रूप से पास हो सकता है।

पेशेवरों: पासवर्ड चोरी करने के लिए कम तकनीकी दृष्टिकोण।

विपक्ष: पासवर्ड का पता लगाने से पहले लक्ष्य की पहचान करनी चाहिए; चोरी की प्रक्रिया में खुद को प्रकट कर सकता है।

सुरक्षित रहें: अपना पासवर्ड टाइप करते समय अपने आस-पास के लोगों से सावधान रहें । अपने कीबोर्ड को कवर करें और इनपुट के दौरान अपनी कुंजियों को अस्पष्ट करें।

हमेशा एक मजबूत, अद्वितीय, एकल-उपयोग पासवर्ड का उपयोग करें

तो, आप किसी हैकर को आपका पासवर्ड चुराने से कैसे रोकते हैं? वास्तव में संक्षिप्त उत्तर यह है कि आप वास्तव में 100 प्रतिशत सुरक्षित नहीं हो सकते । आपके डेटा को चुराने के लिए हैकर्स द्वारा उपयोग किए जाने वाले टूल हर समय बदल रहे हैं और पासवर्ड का अनुमान लगाने या पासवर्ड हैक करने का तरीका सीखने पर अनगिनत वीडियो और ट्यूटोरियल हैं।

एक बात पक्की है: एक मजबूत, अद्वितीय, एकल-उपयोग वाले पासवर्ड का उपयोग करने से कभी किसी को नुकसान नहीं होता है।