序章
人々は自分のインターネットアカウントが「ハッキング」されていると不満を言っていますが、これはどのように起こりますか?アカウントはかなり単純な方法でハッキングされます。攻撃者はダークマジックを使用しません。
力は知識から生まれます。アカウントがどのように侵害されているかを理解することは、アカウントを保護し、パスワードが最初から「ハッキング」されるのを防ぐのに役立ちます。
パスワードの再利用、特に漏洩したパスワードの再利用
多くの個人は、過半数ではないにしても、多くのアカウントでパスワードを繰り返します。一部の個人は、すべてのアカウントに同じパスワードを使用する場合もあります。これは非常に危険です。 LinkedInやeHarmonyなどの有名な名前を含む多くの企業では、近年、パスワードデータベースが侵害されています。漏洩したパスワード、ユーザー名、電子メールアドレスを含むオンラインデータベースは広く利用可能です。攻撃者は、これらの電子メールアドレス、ユーザー名、およびパスワードの組み合わせを利用して、他のWebサイトの多くのアカウントにアクセスする可能性があります。
攻撃者があなたの電子メールアカウントにアクセスした場合、攻撃者があなたの電子メールアカウントを使用して他のすべてのパスワードをリセットする可能性があるため、電子メールアカウントのパスワードを再利用すると、さらに危険にさらされます。
You have no influence over how effectively the services you use safeguard your credentials, no matter how skilled you are at securing them. If you reuse passwords and one provider makes a mistake, all of your accounts are at danger. You should use separate passwords for each site – a password manager may assist you with this.
キーロガー
キーロガーは、バックグラウンドで動作し、ユーザーが行うすべてのキーストロークを記録する可能性のある悪意のあるプログラムです。これらは、クレジットカード番号、インターネットバンキングのパスワード、その他のアカウントの資格情報などの機密情報を取得するためによく使用されます。その後、インターネットを介してこの情報を攻撃者に送信します。
このようなマルウェアは、脆弱性を介して侵入する可能性があります。たとえば、インターネット上のほとんどのコンピュータがそうであるように、古いバージョンのJavaを実行している場合は、Webページ上のJavaアプレットを介して危険にさらされる可能性があります。ただし、他のアプリケーションでは隠すことができます。たとえば、オンラインゲーム用のサードパーティプログラムをダウンロードできます。プログラムは悪意のあるものである可能性があり、ゲームのパスワードを収集してインターネット経由で攻撃者に転送します。
優れたウイルス対策アプリケーションを使用し、ソフトウェアを最新の状態に保ち、疑わしいソフトウェアのインストールを避けます。
ソーシャルエンジニアリング
攻撃者は、ソーシャルエンジニアリング手法を利用してアカウントにアクセスすることがよくあります。
フィッシングは、攻撃者が誰かになりすましてパスワードを要求する、よく知られたソーシャルエンジニアリングの手法です。パスワードを自由に提供する人もいます。以下は、ソーシャルエンジニアリングのいくつかの例です。
- 銀行から送信されたと称する電子メールが届き、非常によく似たURLを含む偽の銀行のWebサイトに送信され、パスワードが要求されます。
- Facebookまたは別のソーシャルネットワーキングサイトで、公式のFacebookアカウントであると主張する人から、自分自身を認証するためにパスワードを入力するように要求するメッセージを受け取ります。
- 無料のSteamゲームや無料のWorldof Warcraftゴールドなど、何か便利なものを提供していると主張するWebサイトにアクセスします。この偽のインセンティブを得るために、Webサイトはサービスのログインとパスワードを要求します。
銀行のウェブサイトにアクセスするためにメールでリンクを開いたり、あなたに近づいて欲しい人にパスワードを提供したり、信頼できないウェブサイト、特に見た目が良すぎて真実ではないウェブサイトにアカウント情報を提供したりしないでください。 。
セキュリティの質問への回答
多くの場合、パスワードはセキュリティの質問に答えることでリセットされることがあります。多くの場合、セキュリティの質問は、「どこで生まれましたか」など、非常に基本的なものです。 「あなたはどの高校に通いましたか?」と「あなたのお母さんの旧姓は何でしたか?」この情報は、公的にアクセス可能なソーシャルネットワーキングサイトで入手できることが多く、ほとんどの通常の個人は、尋ねられた場合、どの高校に通ったかを教えてくれます。攻撃者は、この簡単に入手できる情報を使用して、パスワードを変更し、アカウントにアクセスすることがよくあります。
Ideally, you should utilize security questions with difficult-to-find or guess answers. Websites should also prohibit someone from accessing an account just because they know the answers to a few security questions, which some do — but others do not.
メールアカウントとパスワードのリセット
攻撃者が上記の方法のいずれかを利用して電子メールアカウントへのアクセスを取得した場合、あなたははるかに危険にさらされます。ほとんどの場合、電子メールアカウントがプライマリインターネットアカウントとして機能します。他のすべてのアカウントはそれに接続されており、電子メールアカウントにアクセスできる人は誰でも、電子メールアドレスで登録したサイトのパスワードを変更するためにそれを使用する可能性があります。
結果として、あなたはあなたの電子メールアカウントをできるだけ安全に保つべきです。一意のパスワードを使用し、安全に保つことが非常に重要です。
パスワードの「ハッキング」ではないもの
ほとんどの人は、攻撃者がインターネットアカウントにアクセスするためにあらゆる潜在的なパスワードを試みることを予期しています。これは起こりません。誰かのインターネットアカウントにアクセスしようとしてパスワードを推測し続けると、速度が低下し、複数のパスワードを試すことができなくなります。
攻撃者がパスワードを推測するだけでオンラインアカウントにアクセスできた場合、パスワードは「パスワード」や人のペットの名前など、最初の数回の試行で推測できる単純なものである可能性があります。
Such brute-force techniques could only be used by attackers if they had local access to your data — for example, if you were keeping an encrypted file in your Dropbox account and attackers obtained access to it and downloaded the encrypted file. They may then attempt to brute-force the encryption, effectively attempting every possible password combination until one of them worked.
アカウントが「ハッキング」されたと主張する人々は、ソーシャルエンジニアリング手法の犠牲になった後、パスワードの再利用、キーロガーのインストール、または攻撃者への資格情報の引き渡しで最も頻繁に罪を犯します。すぐに知られているセキュリティの質問の結果として、ハッキングされた可能性があります。
基本的なセキュリティ手順を採用している場合、アカウントを「ハッキング」することは困難です。
Using two-factor authentication may also assist – an attacker will need more than your password to get access.
