パスワードが盗まれる方法(およびパスワードを安全に保つための10の簡単なステップ)
公開: 2022-03-15
「RockYou2021:史上最大のパスワード編集がオンラインでリークされ、84億件のエントリがありました」
「警察は、ハッキングされたクラウドサーバーに2億2500万の盗まれたパスワードが隠されていることを発見しました」
これらの見出しは残念ながら新しいものではありません。 パスワードが漏洩したり盗まれたりする危険性は、今ではよく知られています。 技術ウィザードは、最終的にパスワードの使用を置き換えるツールを開発およびテストしてきましたが、移行がすぐに完全に実装されるとは予想されていません。
ウェブサイトやアプリの大部分は、生体認証データによる認証を許可していません。つまり、ユーザーは依然として控えめなパスワードの使用に制限されています。 現実には、多くの人がまだパスワードマネージャーを使用せず、オンラインバンキングなどの重要なものを含め、複数のWebサイトやアプリケーションで同じパスワードを再利用しています。
これは、資産を保護したい場合は、パスワードを保護するための予防措置を講じること(パスワードマネージャーを使用しない限り)が不可欠であることを意味します。
ただし、そこに行く前に、プロセスを理解することがそれを防ぐのに大きな役割を果たす可能性があるため、データの漏洩/盗難がどのように発生するかを確認するのがおそらく最善です。
パスワードのハッキングと盗難の方法
彼らは彼らのターゲットがビジネスを行った会社を代表すると主張するかもしれません。 彼らはしばしば、法執行要員、税務当局、社会保障局の職員を含む政府関係者になりすます。 時々彼らは彼らのターゲットの家族や友人に代わって電話をかけていると主張します。
これらの犯罪者は、彼らが要求する情報を提供することによってすぐに行動しなかった場合、おそらく逮捕または利益へのアクセスの喪失で彼らの標的を脅かすことさえ、切迫感を伝えようとします。
これらのクレデンシャルはアプリケーションに読み込まれ、一致するものを見つけてアクセスすることを期待している膨大な数のサイトに対してそれらを迅速にテストします。 これらのタイプの攻撃は毎年何億も記録されています。
クレデンシャルを盗むアプリや機能は、実際にはキーロガー、パスワードだけでなくすべてのキーストロークを記録して悪意のある人物に送信するマルウェアパッケージである可能性があります。
資格情報を盗むマルウェアは、信頼できるエンティティのサイトのように見えるように設計されたサイトに組み込むこともできます。 たとえば、攻撃者は、ターゲットの銀行口座で疑わしいアクティビティが観察され、ターゲットが自分のアカウントにログインしてパスワードをすぐに変更する必要があることを主張するフィッシングメッセージを送信する可能性があります。
被害者はメッセージ内のリンクをクリックすると、正規の銀行サイトに移動し、ログイン資格情報を入力してパスワードのリセットプロセスを開始するように指示されます。 そうすることで、攻撃者に被害者の銀行口座の資格情報が提供されます。
一部の悪意のあるそっくりさんのサイトは、ランダムな個人が不注意にそれらにアクセスし、ユーザー名とパスワードから詐欺されることを期待して作成されています。
これのハイテクバージョンは中間者攻撃です。 パブリックWi-Fiネットワークは、すぐに利用できるツールを使用してネットワークトラフィックを監視し、ネットワークを使用しているユーザーからアカウントのログイン資格情報などの機密データを盗む攻撃者が頻繁に使用します。
サイバー犯罪者は、合法的な企業のように見えるように設計された独自のパブリックWi-Fiネットワークを作成することがあります。その唯一の目的は、ユーザーデータを盗むことです。 パブリックWi-Fiネットワークは本質的に安全ではありません。
実際、使用中のパスワードの数は増え続けており、積極的にパスワードを盗もうとしている攻撃者の数も増えています。 パスワード保護は真剣に受け止められるべきなので、先に進んで、これらのヒントをできるだけ多く実装してください。
「警察は、ハッキングされたクラウドサーバーに2億2500万の盗まれたパスワードが隠されていることを発見しました」
これらの見出しは残念ながら新しいものではありません。 パスワードが漏洩したり盗まれたりする危険性は、今ではよく知られています。 技術ウィザードは、最終的にパスワードの使用を置き換えるツールを開発およびテストしてきましたが、移行がすぐに完全に実装されるとは予想されていません。
ウェブサイトやアプリの大部分は、生体認証データによる認証を許可していません。つまり、ユーザーは依然として控えめなパスワードの使用に制限されています。 現実には、多くの人がまだパスワードマネージャーを使用せず、オンラインバンキングなどの重要なものを含め、複数のWebサイトやアプリケーションで同じパスワードを再利用しています。
これは、資産を保護したい場合は、パスワードを保護するための予防措置を講じること(パスワードマネージャーを使用しない限り)が不可欠であることを意味します。
ただし、そこに行く前に、プロセスを理解することがそれを防ぐのに大きな役割を果たす可能性があるため、データの漏洩/盗難がどのように発生するかを確認するのがおそらく最善です。
パスワードのハッキングと盗難の方法
推測-最も簡単な方法
2020年に、使用されている最も一般的なパスワードの3つは、「123456」、「123456789」、および「password」であることが判明しました。 HaveIBeenPwnedで利用可能なツールを使用して検索した場合(間違いなく一見の価値があります)、これらのパスワードは、侵害されたデータのスキャン中に数千万回表示されることがわかりました。 2022年1月現在の報告結果は次のとおりです。- 123456-37,359,195回の出演
- 123456789-16,629,796回の出演
- パスワード-9,545,824回の出現
フィッシングおよびその他のソーシャルエンジニアリング攻撃の亜種
サイバー犯罪者は、電話(ビッシング)、電子メール(フィッシング)、テキストメッセージング(スミッシング)、またはソーシャルメディアアカウントを介してターゲットに直接連絡することがよくあります。 これらの攻撃では、詐欺師は通常、他人になりすまして、ログイン資格情報などの機密情報を提供するように被害者を説得します。彼らは彼らのターゲットがビジネスを行った会社を代表すると主張するかもしれません。 彼らはしばしば、法執行要員、税務当局、社会保障局の職員を含む政府関係者になりすます。 時々彼らは彼らのターゲットの家族や友人に代わって電話をかけていると主張します。
これらの犯罪者は、彼らが要求する情報を提供することによってすぐに行動しなかった場合、おそらく逮捕または利益へのアクセスの喪失で彼らの標的を脅かすことさえ、切迫感を伝えようとします。
ブルートフォース攻撃とスタッフィング攻撃
前述のように、ハッカーはランダムなパスワードをすばやく生成してテストし、標的のアカウントへのアクセスを提供するかどうかを判断できるツールを利用できます。 ブルートフォーシングのバリエーションであるスタッフィングでは、以前に盗まれた資格情報が侵害で公開され、ダークウェブを介して犯罪者が利用できるようになります。これらのクレデンシャルはアプリケーションに読み込まれ、一致するものを見つけてアクセスすることを期待している膨大な数のサイトに対してそれらを迅速にテストします。 これらのタイプの攻撃は毎年何億も記録されています。
クレデンシャルを盗むマルウェア
フィッシングメール内の悪意のあるリンクをクリックしたり、感染したメールの添付ファイルを開いたり、攻撃者のWebサイトに誤ってアクセスしたり、信頼できるソースから提供されていないアプリをインストールしたりすると、デバイスが資格情報を盗むマルウェアに感染する可能性があります。クレデンシャルを盗むアプリや機能は、実際にはキーロガー、パスワードだけでなくすべてのキーストロークを記録して悪意のある人物に送信するマルウェアパッケージである可能性があります。
資格情報を盗むマルウェアは、信頼できるエンティティのサイトのように見えるように設計されたサイトに組み込むこともできます。 たとえば、攻撃者は、ターゲットの銀行口座で疑わしいアクティビティが観察され、ターゲットが自分のアカウントにログインしてパスワードをすぐに変更する必要があることを主張するフィッシングメッセージを送信する可能性があります。
被害者はメッセージ内のリンクをクリックすると、正規の銀行サイトに移動し、ログイン資格情報を入力してパスワードのリセットプロセスを開始するように指示されます。 そうすることで、攻撃者に被害者の銀行口座の資格情報が提供されます。
一部の悪意のあるそっくりさんのサイトは、ランダムな個人が不注意にそれらにアクセスし、ユーザー名とパスワードから詐欺されることを期待して作成されています。
ショルダーサーフィンと中間者攻撃
「ショルダーサーフィン」という用語は、誰かの肩越しに見て、コンピューターやデバイスのディスプレイに何が表示されているかを観察し、パスワードやその他の機密情報を見つけようとする戦術を表しています。これのハイテクバージョンは中間者攻撃です。 パブリックWi-Fiネットワークは、すぐに利用できるツールを使用してネットワークトラフィックを監視し、ネットワークを使用しているユーザーからアカウントのログイン資格情報などの機密データを盗む攻撃者が頻繁に使用します。
サイバー犯罪者は、合法的な企業のように見えるように設計された独自のパブリックWi-Fiネットワークを作成することがあります。その唯一の目的は、ユーザーデータを盗むことです。 パブリックWi-Fiネットワークは本質的に安全ではありません。
10の簡単なステップでパスワードをハッキングから保護する方法
以下は、パスワード、アカウント、および機密情報を保護するために簡単に実装できる戦略です。- 基本的な経験則:パスワードマネージャー/ボールトを入手します。 これらは、パスワードを安全に保つために特別に設計されたアプリケーションです。 それらを使用すると、マスターパスワードを1つ覚えるだけで済みます(以下のルールに従います!)
- 実際の言葉を含めないでください。 可能であれば、「推測」される可能性が低い独自の単語を作成します(例:「Radamabla」)
- 誕生日や自分自身に関するその他の簡単に識別できるデータ(名前など)を使用しないでください
- 弱い(単純な)パスワードは使用しないでください。 パスワードは長くて複雑で、大文字と小文字、数字、特殊文字を含める必要があります。
- アカウントごとに異なるパスワードを使用してください。 1つのアカウントが侵害された場合、同じクレデンシャルを使用しているために他のアカウントが危険にさらされることはありません(特に、電子メールアカウントと金融アカウントでパスワードを繰り返さないでください)。
- 利用可能な場合は常に2FA(2要素認証)を使用します。 これにより、ログインプロセスに別のコンポーネントが追加されます。 ほとんどの場合、これはテキストまたは電子メールを介してデバイスに送信されるPINです。 攻撃者がログイン資格情報を盗むことができる場合でも、この追加の要素がないとログインを完了できません。
- 電子メール、テキスト、またはソーシャルメディアメッセージの送信元を信頼できることが確実でない限り、特にメッセージに異常または疑わしいことがある場合は、添付ファイルを開いたり、含まれているリンクをクリックしたりしないでください。
- Webサイトにアクセスするときは、HTTPSを使用していることを確認してください。 ロックされた南京錠は、ブラウザの上部にあるサイトのURLの左側に表示され、このセキュリティプロトコルの使用を示します。 一部の犯罪者は現在、サイトでHTTPSを使用し始めているため、この方法は詐欺師から情報を保護するのに100%効果的ではありませんが、この推奨事項に従うと、悪意のあるサイトを回避するのに役立ちます。
- デバイスのオペレーティングシステムが最新であり、更新を自動的にダウンロードしてインストールするように設定されていることを確認してください。 また、すべてのデバイスでマルウェア対策/ウイルス対策アプリケーションが実行されていることを確認してください。
- デバイスに仮想プライベートネットワーク(VPN)アプリも装備されていて、そのアプリが使用されている場合を除き、パブリックWi-Fiの使用は避けてください。 VPNは、デバイスとの間で送受信されるデータを暗号化します。 悪意のある攻撃者によって傍受されたとしても、データをデコードして読み取ることはできません。 VPNがなく、パブリックWi-Fiを使用する必要がある場合は、アカウントにログインしたり、メッセージングサービスを介して機密情報を送信したりしないでください。
最終的な考え
10年以上の間、技術出版物はパスワードの終わりを予測してきました、しかしそれはまだここにあります。実際、使用中のパスワードの数は増え続けており、積極的にパスワードを盗もうとしている攻撃者の数も増えています。 パスワード保護は真剣に受け止められるべきなので、先に進んで、これらのヒントをできるだけ多く実装してください。