การมีรหัสผ่านที่รัดกุมและปลอดภัยเป็นสิ่งสำคัญ เราใช้พวกเขาอย่างต่อเนื่องเพื่อเข้าสู่เครือข่ายโซเชียลเช่น Facebook or X, เปิด Gmail หรือผู้ให้บริการรายอื่น, ป้อนบัญชีธนาคาร ฯลฯ หากรหัสผ่านรั่ว ข้อมูลของเราอาจถูกบุกรุกและมีปัญหาด้านความปลอดภัยและความเป็นส่วนตัว มีเครื่องมือต่าง ๆ ที่สามารถใช้เพื่อให้ผู้อื่นค้นหารหัสผ่านโดยใช้กำลังเดรัจฉาน หนึ่งในนั้นคือ ไฮดราซึ่งเราจะพูดถึงในบทความนี้
การถอดรหัสรหัสผ่านกำลังดุร้ายคืออะไร
มีหลายวิธีที่สามารถขโมยรหัสผ่านของเราได้และหนึ่งในนั้นคือสิ่งที่เรียกว่า กำลังดุร้าย . โดยทั่วไปประกอบด้วยการลองใช้ชุดค่าผสมต่างๆ กันจนกว่าคุณจะพบชุดค่าผสมที่ให้คุณลงชื่อเข้าใช้บัญชีได้จริงๆ
การโจมตีด้วยกำลังเดรัจฉานเหล่านี้ขึ้นอยู่กับ พจนานุกรม ที่จัดเก็บคำหรือตัวเลขที่พบบ่อยที่สุด ด้วยวิธีนี้พวกเขาสามารถรวมกุญแจที่เป็นไปได้และมีโอกาสมากขึ้น หากผู้ใช้ใส่รหัสผ่านที่ไม่รัดกุม เช่น คำ ชื่อ หรือวันที่ การใช้ประโยชน์จากรหัสผ่านจะง่ายกว่ามาก
มี โปรแกรมต่างๆ ที่สามารถทำหน้าที่หักกุญแจได้ เช่นเดียวกับกรณีของไฮดรา เป็นหนึ่งในแอปพลิเคชั่นที่ใช้และเป็นที่รู้จักมากที่สุดในการเจาะข้อมูลอย่างมีจริยธรรมเพื่อทดสอบรหัสผ่าน อย่างไรก็ตาม มันสามารถใช้โดยผู้โจมตีที่มีวัตถุประสงค์เพื่อขโมยกุญแจของเราจริงๆ
ไฮดราเป็นที่สุด ฟรี และนอกจากนี้ยังมี โอเพนซอร์ส . มีโปรโตคอลที่เข้ากันได้มากกว่า 30 โปรโตคอล (ระบบปฏิบัติการ หน้าเว็บ ฐานข้อมูล ฯลฯ) ซึ่งเราสามารถทดสอบและดูว่ารหัสผ่านสามารถใช้ประโยชน์ได้หรือมีช่องโหว่ที่เข้มงวดมาก และเราจะปลอดภัย
Hydra – โปรโตคอลที่รองรับ
ลักษณะเฉพาะของไฮดราคือมันเคยเป็น ออกแบบในลักษณะโมดูลาร์ . ซึ่งหมายความว่าโปรแกรมเมอร์ทุกคนสามารถสร้างโมดูลของตนเองที่เพิ่มฟังก์ชันและคุณสมบัติใหม่ได้ ใช้กำลังดุร้ายโดยรวมชุดตัวเลือกที่บันทึกไว้ในตารางหรือฐานข้อมูลสีรุ้ง หากมีใครใช้กุญแจที่สั้น คาดเดาได้ หรือทำซ้ำ พวกเขาสามารถทำลายมันได้
วิธีดาวน์โหลดและใช้งาน Hydra
Hydra เป็นแอปพลิเคชั่นโอเพ่นซอร์สฟรีที่เราดาวน์โหลดได้จาก GitHub. ที่นั่นเราจะเห็นว่าเวอร์ชันล่าสุดคือ 9.2 มันสามารถใช้ได้สำหรับ Windows (ผ่าน Cygwin), macOS และบน ลินุกซ์ (และระบบ UNIX อื่นๆ) พวกเขายังมีความเข้ากันได้กับระบบปฏิบัติการมือถือเช่น Android or iOS.
หากคุณมีความคุ้นเคยกับ Kali Linux คุณควรรู้ว่าหนึ่งในเครื่องมือในตัวของมันก็คือ Hydra เราจะไม่ต้องทำการติดตั้งใดๆ ทั้งสิ้น เพราะมันมาพร้อมกับระบบซีเรียล
เมื่อเราดาวน์โหลด Hydra บนคอมพิวเตอร์ เราจะต้องรันคำสั่ง "hydra" สำหรับตัวเลือกหลักที่มี หากเราใช้ Linux เราสามารถเรียกใช้ “./xhydra” เพื่อดูส่วนต่อประสานกราฟิกได้
- ในการโจมตีด้วย Hydra เราต้องทำตามขั้นตอนต่อไปนี้:
- เลือกเป้าหมาย (ที่อยู่ IP โดเมน ฯลฯ) ที่เราต้องการโจมตี
- เลือกโปรโตคอลที่เราจะเปิดการโจมตี
- ป้อนพารามิเตอร์โปรโตคอลเพิ่มเติม (ถ้าคุณมี)
- เลือกพอร์ต (ทางเลือก) ที่จะเปิดการโจมตี
มีตัวเลือกมากมาย ดังนั้นเราสามารถดูได้ที่ เอกสาร GitHub เพื่อดูตัวเลือกทั้งหมด ประเด็นหลักคือการใช้ประโยชน์จากรหัสผ่าน บางอย่างที่จะช่วยให้เราเข้าใจว่ารหัสผ่านของเราปลอดภัยหรือไม่ หรือเราควรจะใช้รหัสผ่านอื่นเพื่อหลีกเลี่ยงปัญหา
โปรดทราบว่าเครื่องมือนี้ได้รับการออกแบบโดยมีวัตถุประสงค์เพื่อ ทดสอบรหัสผ่าน และเห็นความปลอดภัยของพวกเขา มีจุดมุ่งหมายเพื่อการแฮ็กอย่างมีจริยธรรม แต่ในทางตรรกะ บุคคลที่สามสามารถใช้เพื่อจุดประสงค์ที่ไม่ดีและพยายามขโมยรหัสการเข้าถึงของผู้อื่น นั่นคือเหตุผลที่เราต้องใช้ความระมัดระวังและได้รับการคุ้มครองเสมอ
ขั้นตอนในการป้องกันรหัสผ่านและหลีกเลี่ยงการโจมตี
แล้วเราจะทำอย่างไรเพื่อปกป้องรหัสผ่านของเราและป้องกันการโจมตีทางไซเบอร์? เราจะให้ชุดของเคล็ดลับเพื่อให้รหัสการเข้าถึงของเราปลอดภัยและไม่ถูกเอาเปรียบโดยแอปพลิเคชันเช่น Hydra และโปรแกรมอื่นที่คล้ายคลึงกัน
สร้างรหัสผ่านที่เชื่อถือได้
สิ่งสำคัญคือการสร้าง รหัสผ่านที่แข็งแกร่งจริงๆ . เพื่อหลีกเลี่ยงการโจมตีด้วย Hydra หรือการใช้กำลังดุร้าย วิธีที่ดีที่สุดคือสร้างคีย์ที่ไม่ใช่ "ธรรมดา" นั่นคือ เราไม่ควรใช้ชื่อ นามสกุล คำพื้นฐาน วันที่ หมายเลขโทรศัพท์ … ทั้งหมดนี้จะเป็นส่วนหนึ่งของพจนานุกรมที่ใช้เครื่องมือเหล่านี้
ตามหลักการแล้วควรเป็นแบบสุ่มและยาว เราต้องใช้ตัวอักษร (ทั้งตัวพิมพ์ใหญ่และตัวพิมพ์เล็ก) ตัวเลข และสัญลักษณ์พิเศษอื่นๆ ตัวอย่างของรหัสผ่านที่ดีอาจเป็น 3dU / -rl (eMb49 & “ ดังที่เราเห็น พวกมันเป็นอักขระแบบสุ่มทั้งหมด โดยไม่มีความสัมพันธ์ใดๆ ระหว่างกัน นี่คือสิ่งที่จะทำให้การโจมตีด้วยกำลังเดรัจฉานล้มเหลว
อย่าใช้กุญแจซ้ำ
อีกจุดที่สำคัญมากคือ ไม่ใช้รหัสผ่านเดียวกัน ในหลายสถานที่ จะเป็นความผิดพลาด เช่น การมีรหัสผ่าน Facebook เดียวกันกับบัญชี Gmail หากพวกเขาสามารถค้นหาบริการเหล่านี้ได้ อาจเกิดโดมิโนเอฟเฟกต์และเข้าถึงบัญชีอื่นได้
ดังนั้น คุณต้องสร้างคีย์เฉพาะสำหรับแต่ละเร็กคอร์ดบนอินเทอร์เน็ตเสมอ เราสามารถช่วยเหลือตัวเองด้วยตัวจัดการรหัสผ่านเพื่อให้สามารถจัดเก็บได้อย่างถูกต้องและไม่ต้องจำจำนวนมาก
เปิดใช้งานการรับรองความถูกต้องสองขั้นตอน
ส่วนเสริมที่น่าสนใจมากสำหรับรหัสผ่านคือ การตรวจสอบสิทธิ์แบบสองขั้นตอน . โดยพื้นฐานแล้วเป็นการรักษาความปลอดภัยอีกชั้นหนึ่ง เป็นขั้นตอนที่สองที่เราจะต้องสามารถเข้าสู่ระบบได้ นอกเหนือจากการป้อนรหัสผ่านทั่วไป
การรับรองความถูกต้องสองครั้งนี้มักจะเป็นรหัสที่เราได้รับทาง SMS หรือผ่านแอปพลิเคชัน สิ่งนี้ทำหน้าที่ระบุตัวตนของเรา หากมีคนขโมยรหัสผ่านได้ พวกเขาจะเข้าสู่ระบบไม่ได้หากไม่มีขั้นตอนที่ XNUMX ดังนั้นจึงเป็นอีกวิธีหนึ่งในการปกป้องอินเทอร์เน็ต
เปลี่ยนรหัสผ่านเป็นระยะ
ก็ควรสังเกตถึงความสำคัญของ การเปลี่ยนรหัสผ่าน เป็นครั้งคราว เพื่อให้แน่ใจว่าเรามีคีย์ที่เชื่อถือได้เสมอ และในกรณีที่เกิดข้อผิดพลาดบางอย่างรั่วไหล เราจะลดความเสี่ยงที่อาจตกไปอยู่ในมือของผู้ไม่ประสงค์ดี
เมื่อใดก็ตามที่เราเปลี่ยนรหัสผ่าน เราต้องคำนึงถึงคำแนะนำก่อนหน้านี้ สิ่งสำคัญคือต้องมีความปลอดภัย ไม่ซ้ำใคร และตรงตามข้อกำหนดทั้งหมดเพื่อป้องกันการโจมตีด้วยแอปพลิเคชัน เช่น Hydra และโปรแกรมอื่นๆ ที่คล้ายคลึงกันที่อาจมีอยู่
กล่าวโดยย่อ Hydra เป็นเครื่องมือที่เราสามารถใช้ทดสอบรหัสผ่านของเราได้ อย่างไรก็ตาม บุคคลที่สามยังสามารถใช้เพื่อโจมตีและประนีประนอมการรักษาความปลอดภัยของเรา เราจำเป็นต้องสร้างคีย์ที่เชื่อถือได้เสมอ