9 kỹ thuật bẻ khoá mật khẩu phổ biến nhất

Bẻ khoá mật khẩu (Password Cracking) là quá trình thu thập các mật khẩu từ một máy tính nào đó hoặc từ cơ sở dữ liệu trong một hệ thống máy tính. Trong bài viết này, Passionery sẽ nói sơ qua về 9 kỹ thuật mà các hacker thường dùng để có được mật khẩu của một hệ thống máy tính.

#1 Phishing

Phishing (lừa đảo) là một cách thức mà kẻ xấu sử dụng để lừa lấy những thông tin cá nhân của bạn như mật khẩu hay số tài khoản ngân hàng. Một phishing email sẽ dẫn bạn đến một trang web ngân hàng giả mạo, các trang login giả mạo (như Yahoo!, Gmail) và nếu như bạn điền thông tin tài khoản của mình vào thì hacker sẽ bị lấy cắp thông tin đó.

#2 Social Engineering

Social engineering là lợi dụng niềm tin để lừa một người nào đó nhằm mục đích lấy cắp thông tin hoặc thuyết phục nạn nhân để thực hiện việc gì, bao gồm việc đạt được những thông tin mật như tên đăng nhập (username), mật khẩu (password). Social engineering là thủ thuật và kỹ thuật làm cho một người nào đó đồng ý làm theo những gì mà kẻ tấn công (attacker) muốn.

#3 Shoulder Surfing

Shoulder Surfing là một kỹ thuật thu thập mật khẩu bằng cách xem qua vai người khác khi họ đăng nhập vào hệ thống. Hacker có thể xem người sử dụng đăng nhập hợp lệ và sau đó sử dụng mật khẩu đó đề giành được quyền truy xuất đến hệ thống.

#4 Vishing

Vising là sự kết hợp của "voice" và phishing. Đây cũng là một dạng phishing, nhưng kẻ tấn công sẽ trực tiếp gọi điện cho nạn nhân thay vì gởi email. Người sử dụng sẽ nhận được một thông điệp tự động với nội dung cảnh báo vấn đề liên quan đến tài khoản ngân hàng. Thông điệp này hướng dẫn họ gọi đến một số điện thoại để khắc phục vấn đề. Sau khi gọi, số điện thoại này sẽ kết nối người được gọi tới một hệ thống hỗ trợ giả, yêu cầu họ phải nhập mã thẻ tín dụng. Và VoIP tiếp tay đắc lực thêm cho dạng tấn công mới này vì giá rẻ và khó giám sát một cuộc gọi bằng VoIP.

#5 Dumpster Diving

Dumpster Diving là tìm kiếm trong thùng rác, thông tin trên các mảnh giấy hoặc bản in máy tính. Hacker có thể tìm thấy mật khẩu hoặc những mẩu thông tin bí mật của một công ty nào đó để lấy đi các thông tin quan trọng.

#6 Keylogger

Keylogger là một chương trình được viết nhằm mục đích theo dõi và ghi lại mọi thao tác thực hiện trên bàn phím và ghi vào một tập tin nhật ký (log) để cho người cài đặt nó sử dụng bao gồm cả tên đăng nhập hay mật khẩu. Vì keylogger mang tính vi phạm vào riêng tư của người khác này nên các trình keylogger được xếp vào nhóm các phần mềm gián điệp.

#7 Brute Force Attack

Brute force là kiểu tấn công được dùng cho tất cả các loại mã hóa. Brute force hoạt động bằng cách thử tất cả các chuỗi mật khẩu có thể để tìm ra mật khẩu. Vì thế nên thời gian cần rất lâu, tùy theo độ dài của mật khẩu.

#8 Dictionary Attack

Dictionary Attack là một kỹ thuật dùng từ điển để tấn công mục tiêu bằng cách thử tất cả các từ trong một danh sách dài gọi là từ điển (được chuẩn bị trước). Dictionary Attack có nhiều khả năng thành công nhất, thường xuất phát từ một danh sách các từ ví dụ như một từ điển. Nói chung, thành công của dictionary attack chủ yếu do nhiều người dùng có xu hướng chọn mật khẩu ngắn (7 ký tự trở xuống), những từ đơn tìm thấy trong từ điển, những từ đơn giản, dễ dự đoán các biến thể trên từ (như viết hoa một chữ, hay thêm vào một chữ số).

#9 Rainbow Table Attack

Rainbow Table là một danh sách chứa các giá trị hash có số lượng mật khẩu ứng với số lượng ký tự nào đó. Sử dụng Rainbow Table, bạn có thể lấy một cách đơn giản giá trị hash được trích rút từ máy tính mục tiêu và thực hiện một tìm kiếm. Khi giá trị hash được tìm thấy trong bảng, bạn sẽ có mật khẩu. Rainbow Table thường được sử dụng trong phục hồi các mật khẩu chữ thô, lên đến một độ dài nhất định bao gồm một tập hạn chế các ký tự.