In order to fulfill the basic functions of our service, the user hereby agrees to allow Xiaomi to collect, process and use personal information which shall include but not be limited to written threads, pictures, comments, replies in the Mi Community, and relevant data types listed in Xiaomi's Private Policy. By selecting "Agree", you agree to Xiaomi's Private Policy and Content Policy .
Agree

مصادر للمعلومات

[اخرى] 7 طرق للقراصنة لسرقة كلمات المرور الخاصة بك

2020-11-11 06:30:00
558 10

بطريقة أو بأخرى ، تكون كلمات المرور دائمًا في الأخبار. إما أن تتم سرقتهم في خروقات البيانات ، أو يتم السخرية منهم لكونها كلمه سهله للغيه او لجهل البعض بنواحي تقنيه . بغض النظر عن رأي أي منا حول كلمات المرور ، هناك شيء واحد لا جدال فيه: سنستخدمها اليوم وغدًا وفي المستقبل المنظور. على عكس تقنيات التعرف على الوجه أو اللمس ، تُستخدم كلمات المرور في كل مكان لأنها لا تحتاج تجهيزات في التنفيذ وسهلة الاستخدام. بالنسبة للمستخدمين النهائيين ، فإنهم يتمتعون بتقنية منخفضة كما هو الحال في تكنولوجيا الأمان. بالطبع ، هذا الوجود في كل مكان والبساطة هو بالضبط ما يجعل كلمات المرور جذابة للصوص. في هذا المنشور ، نلقي نظرة على كيفية سرقة المتسللين لكلمات المرور الخاصة بنا وما يمكننا القيام به لمنعهم.

1- حشو الاعتماد " Credential Stuffing "

مستوى المخاطرة: مرتفع
تشير التقديرات إلى أن عشرات الملايين من الحسابات يتم اختبارها يوميًا بواسطة قراصنة يستخدمون حشو بيانات الاعتماد.


ما هذا؟
حشو بيانات الاعتماد ، المعروف أيضًا باسم تنظيف القائمة وإعادة عرض الخرق ، هو وسيلة لاختبار قواعد البيانات أو قوائم بيانات الاعتماد المسروقة - أي كلمات المرور وأسماء المستخدمين - مقابل حسابات متعددة لمعرفة ما إذا كان هناك تطابق.



كيف يعمل؟
يتم اختراق المواقع ذات الأمان الضعيف على أساس منتظم ، ويستهدف اللصوص بنشاط إغراق بيانات اعتماد المستخدم من هذه المواقع حتى يتمكنوا من بيعها على الشبكة المظلمة أو المنتديات السرية. نظرًا لأن العديد من المستخدمين سيستخدمون نفس كلمة المرور عبر مواقع مختلفة ، فإن المجرمين لديهم فرصة إحصائية جيدة للعثور على أن المستخدم janedoe@somesite.net قد استخدم نفس كلمة المرور على janedoe@anothersite.com. تتيح أدوات أتمتة اختبار قائمة بيانات الاعتماد المسروقة عبر مواقع متعددة للمتسللين اختراق الحسابات الجديدة بسرعة حتى على المواقع التي تمارس أمانًا جيدًا ونظافة كلمات المرور.

كيف يمكنك البقاء بأمان؟
إن مفتاح عدم الوقوع ضحية لحشو بيانات الاعتماد بسيط: يجب أن تكون كل كلمة مرور لكل موقع فريدة. بالطبع ، لن يمنع ذلك من سرقة كلمة مرورك لحساب واحد على موقع ذي مستوى أمان ضعيف ، ولكن هذا يعني أن أي اختراق واحد لبيانات الاعتماد الخاصة بك لن يؤثر عليك في أي مكان آخر على الإنترنت. إذا كنت ترهق من فكرة إنشاء وتذكر كلمات مرور فريدة لكل موقع تستخدمه ، فراجع قسم النصائح بالقرب من نهاية المنشور.

2- التصيد " Phishing "

مستوى المخاطرة: مرتفع
تبدأ أكثر من 70٪ من جميع الجرائم الإلكترونية بهجوم تصيد احتيالي أو تصيد احتيالي. يحب المتسللون استخدام تقنيات التصيد الاحتيالي لسرقة بيانات اعتماد المستخدم ، إما لاستخدامهم الخاص ، أو بشكل أكثر شيوعًا لبيعها للمجرمين على الشبكة المظلمة.



ما هذا؟
التصيد الاحتيالي هو خدعة هندسة اجتماعية تحاول خداع المستخدمين لتقديم بيانات اعتمادهم لما يعتقدون أنه طلب حقيقي من موقع أو بائع شرعي.

كيف يعمل؟
يحدث التصيد الاحتيالي عادةً ، ولكن ليس دائمًا ، من خلال رسائل البريد الإلكتروني التي تحتوي إما على روابط احتيالية لمواقع ويب مستنسخة أو مرفقات ضارة. في مكان ما على طول سلسلة الأحداث التي تبدأ بأخذ المستخدم للطُعم ، سيقدم المحتالون نموذج تسجيل دخول مزيفًا لسرقة اسم تسجيل دخول المستخدم وكلمة المرور. سيستخدم المحتالون أيضًا شكلاً من أشكال الاعتراض بين المستخدم وصفحة تسجيل دخول حقيقية ، مثل هجوم man-in-the-middle لسرقة بيانات الاعتماد.



كيف يمكنك البقاء بأمان؟
استخدم المصادقة الثنائية أو متعددة العوامل. على الرغم من أن الباحثين طوروا حيلًا للتغلب على هذه الحيل ، إلا أنه لم يتم الإبلاغ عن تنفذ لها في الواقع بعد. الحذر هو دفاعك الأول ضد التصيد الاحتيالي. تجاهل طلبات تسجيل الدخول إلى الخدمات من روابط البريد الإلكتروني ، وانتقل دائمًا مباشرةً إلى موقع البائع في متصفحك. تحقق من رسائل البريد الإلكتروني التي تحتوي على مرفقات بعناية. تحتوي غالبية رسائل البريد الإلكتروني المخادعة على أخطاء إملائية أو أخطاء أخرى يصعب العثور عليها إذا استغرقت دقيقة لتفقد الرسالة بعناية. تأكد من عنوان البريد المرسل للرساله سوف تجد أنه مقارب و لكن ليس من الشركه المرسله بنفس أسم Domian لها .

3- رش كلمة السر " Password Spraying "



مستوى المخاطرة: مرتفع
تشير التقديرات إلى أن 16٪ من الهجمات على كلمات المرور تأتي من هجمات رش كلمات المرور.

ما هذا؟
رش كلمة المرور هي تقنية تحاول استخدام قائمة من كلمات المرور الشائعة الاستخدام مقابل اسم حساب مستخدم ، مثل 123456 ، password123 ، 1qaz2wsx ، letmein ، batman وغيرها.


كيف يعمل؟
يشبه إلى حد ما حشو بيانات الاعتماد ، الفكرة الأساسية وراء رش كلمة المرور لأخذ قائمة بحسابات المستخدمين واختبارها مقابل قائمة كلمات المرور. الفرق هو أنه مع حشو بيانات الاعتماد ، فإن كلمات المرور كلها كلمات مرور معروفة لمستخدمين معينين. رش كلمة المرور أكثر حدة. المحتال لديه قائمة بأسماء المستخدمين ، ولكن ليس لديه فكرة عن كلمة المرور الفعلية. بدلاً من ذلك ، يتم اختبار كل اسم مستخدم مقابل قائمة كلمات المرور الأكثر استخدامًا. قد يكون هذا أعلى 5 أو 10 أو 100 ، اعتمادًا على مقدار الوقت والموارد التي يمتلكها المهاجم. ستكتشف معظم المواقع محاولات متكررة لكلمة المرور من نفس عنوان IP ، لذلك يحتاج المهاجم إلى استخدام عدة عناوين IP لتوسيع عدد كلمات المرور التي يمكنه تجربتها قبل اكتشافها.

كيف يمكنك البقاء بأمان؟
تأكد من أن كلمة المرور الخاصة بك ليست في قائمة أفضل 100 كلمة مرور شائعة الاستخدام.فراجع قسم النصائح بالقرب من نهاية المنشور.

4- " Keylogging "

مستوى المخاطرة: متوسط
غالبًا ما يكون Keylogging أسلوبًا مستخدمًا في الهجمات المستهدفة ، حيث يعرف المتسلل الضحية (الزوج أو الزميل أو الأقارب) أو يهتم بشكل خاص بالضحية (تجسس الشركة أو الدولة القومية).



ما هذا؟
يسجل برنامج Keyloggers الضربات التي تكتبها على لوحة المفاتيح ويمكن أن يكون وسيلة فعالة بشكل خاص للحصول على بيانات اعتماد لأشياء مثل الحسابات المصرفية عبر الإنترنت ومحافظ العملات المشفرة وعمليات تسجيل الدخول الأخرى باستخدام نماذج آمنة.



كيف يعمل؟
يعد سحب Keylogging أكثر صعوبة من حشو بيانات الاعتماد والتصيد الاحتيالي ورش كلمة المرور لأنه يتطلب أولاً الوصول إلى جهاز الضحية الذي يحتوي على برامج ضارة لتسجيل المفاتيح أو اختراقها. ومع ذلك ، هناك الكثير من مجموعات أدوات ما بعد الاستغلال المتاحة للجمهور والتي توفر للمهاجمين keyloggers ، بالإضافة إلى أدوات برامج التجسس التجارية التي يُفترض أنها لمراقبة الوالدين أو الموظفين.

كيف يمكنك البقاء بأمان؟
أنت بحاجة إلى تشغيل حل أمني جيد يمكنه اكتشاف إصابات ونشاط تدوين المفاتيح. هذا هو أحد الأنواع القليلة من تقنيات سرقة كلمات المرور حيث لا تُحدث قوة أو تفرد كلمة المرور أي فرق. المهم هو مدى تأمين نقطة النهاية الخاصة بك ضد العدوى ، وما إذا كان برنامج الأمان الخاص بك يمكنه أيضًا اكتشاف النشاط الضار إذا وجدت البرامج الضارة طريقة تتجاوز ميزات الحماية الخاصة بها.

5- القوة الغاشمة " Brute Force "



مستوى المخاطرة: منخفض
من المثير للدهشة أن كلمات المرور العنيفة ليست شائعة كما يعتقد الناس ، وهي صعبة وتستغرق وقتًا طويلاً ومكلفة للمجرمين.

ما هذا؟
إنه نوع الشيء الذي يحب الباحثون الأمنيون الكتابة عنه ، أو الذي قد تراه في البرامج التلفزيونية: يقوم أحد المتطفلين بتشغيل خوارزمية ضد كلمة مرور مشفرة وفي 3 ... 2 ... 1 ... تقوم الخوارزمية بتكسير كلمة المرور وكشفها بنص عادي .



كيف يعمل؟
هناك الكثير من الأدوات مثل "Aircrack-ng" و "John The Ripper" و "DaveGrohl" التي تحاول إجبار كلمات المرور. يتوفر نوعان من الاختراق بشكل عام. الأول هو شكل من أشكال هجوم "القاموس" - وهذا ما يسمى لأن المهاجم يحاول فقط كل كلمة في القاموس ككلمة مرور. يمكن تشغيل برامج مثل تلك المذكورة أعلاه واختبار قاموس كامل في غضون ثوانٍ. يتم استخدام النوع الآخر من التقنية عندما يحصل المتسلل (من خلال خرق البيانات) على تجزئة كلمة مرور النص العادي. نظرًا لأنه لا يمكن التراجع عن ذلك ، فإن الهدف هو تجزئة أكبر عدد ممكن من كلمات المرور ذات النص العادي ومحاولة البحث عن تطابق. توجد جداول قوس قزح التي تسرد تجزئات عبارات المرور الشائعة لتسريع هذه العملية.

أحد الأسباب التي تجعل اختراق كلمة المرور ليس أسلوبًا قابلاً للتطبيق مثل بعض الأساليب الأخرى التي ذكرناها هو أن كلمات المرور المشفرة عادةً ما تستخدم أضافات عليها. هذه بعض البيانات العشوائية المستخدمة في عملية التشفير والتي تضمن عدم إنتاج كلمتين من كلمات المرور ذات النص العادي نفس التجزئة. ومع ذلك ، فإن الأخطاء التي يرتكبها مسؤولو الموقع عند استخدام أو تخزين الاضافات وكلمات المرور يمكن أن تجعل من الممكن اختراق بعض كلمات المرور المشفرة.

كيف يمكنك البقاء بأمان؟
مفتاح البقاء في مأمن من هجمات القوة الغاشمة هو التأكد من استخدام كلمات مرور ذات طول كافٍ. يجب أن يكون أي شيء مكون من 16 حرفًا أو أكثر كافيًا نظرًا للتقنية الحالية ، ولكن من الأفضل إثبات نفسك في المستقبل باستخدام عبارة مرور طالما كان الحد الأقصى الذي تسمح به الخدمة التي تشترك فيها. تجنب استخدام أي خدمة لا تتيح لك إنشاء كلمة مرور أطول من 8 أو 10 أحرف. هل تقلق بشأن كيفية تذكر كلمة المرور الطويلة جدًا؟ انظر قسم النصائح أدناه.

6. الاكتشاف المحلي " Local Discovery "

مستوى المخاطرة: منخفض
في الغالب هو أسلوب يستخدم فقط في هجوم مستهدف ، إما عن طريق أحد المعارف أو الأقارب أو الزملاء أو تطبيق القانون.

ما هذا؟
يحدث الاكتشاف المحلي عندما تكتب كلمة مرورك أو تستخدمها في مكان ما حيث يمكن رؤيتها بنص عادي. يجد المهاجم كلمة المرور ويستخدمها ، غالبًا بدون علمك بتسريب كلمة المرور.


كيف يعمل؟
لقد رأيت تلك الأفلام حيث يذهب رجال ** عبر سلة المهملات الخاصة بالشخص السيئ بحثًا عن أدلة على ما كان عليه؟ نعم ، يعد الغوص في القمامة طريقة صالحة للحصول على كلمة مرور من خلال الاكتشاف المحلي. هل لديك ملاحظة Post-It على الشاشة ، أو مفكرة في درج المكتب مع بيانات اعتماد Paypal الخاصة بك؟ هناك المزيد من الوسائل السرية للاكتشاف المحلي ، بما في ذلك استنشاق اتصالات البلوتوث أو العثور على كلمات مرور ذات نص عادي في السجلات أو عناوين url. ركوب الأمواج على الكتف ليس معروفًا أيضًا. يمكن أن يكون هذا أي شيء من زميل يتسكع خلسة خلف مكتبك عند تسجيل الدخول ، إلى الدوائر التلفزيونية المغلقة في المقاهي والأماكن العامة الأخرى التي يمكن أن تلتقط فيديو للمستخدمين وهم يكتبون بيانات اعتماد تسجيل الدخول الخاصة بهم في موقع ويب على أجهزة الكمبيوتر المحمولة الخاصة بهم.

كيف يمكنك البقاء بأمان؟
لا داعي لأن تكون مصابًا بجنون العظمة ، ولكن عليك ممارسة القدر المناسب من الحذر. في حين أن المخاطر منخفضة بشكل عام ، إذا جعلت من نفسك الثمرة السهلة من خلال ترك سجلات يمكن اكتشافها بسهولة لكلمة المرور الخاصة بك ، فلا تتفاجأ إذا استفاد شخص ما من ذلك.

7. الابتزاز " Extortion "


مستوى المخاطرة: منخفض
ربما تكون الأقل على مقياس المخاطر ، ولكن لم يسمع بها من قبل.

ما هذا؟
شخص ما يطلب منك منحهم أوراق اعتمادك. لا داعي للقلق. الصفقة هي أنك تتخلى عن كلمة مرورك أو يفعلون شيئًا لا تحبه.قد لا تكون بالمواجهه الفعليه و أنما عن طريق مثلا تشفير ملفاتك علي الهاتف بالكامل و طلب منك مقابل مادي أو حسابك الشخصي في أمر ما مقابك فك التشفير عن هذه البيانات.


كيف يعمل؟
تقنية الابتزاز المباشر التي تعتمد على طبيعة العلاقة بين المهاجم والهدف. قد يطلب شخص ما كلمة مرورك إذا كان لديه وسائل لإيذاءك أو إحراجك إذا لم تلتزم ، مثل الكشف عن معلومات أو صور أو مقاطع فيديو حساسة عنك ، أو تهديد سلامتك الجسدية أو سلامة أحبائك. يمكن لبرامج RAT الضارة التي تسمح للمتسللين بالتجسس عليك عبر الويب أو كاميرا الفيديو أن تعرضك لهذا النوع من الابتزاز.

كيف يمكنك البقاء بأمان؟
نظرًا لأن ضحايا برامج الفدية يكتشفون ذلك بشكل يومي تقريبًا ، لا يوجد دليل قواعد لكيفية التعامل مع طلبات الابتزاز. إنها مقايضة بين قيمة ما يريدون مقابل قيمة الضرر الذي يمكن أن يفعلوه.

هل كلمات المرور مهمة؟
البعض لا يعتقد ، لكن نعم . ستحمي كلمات المرور القوية الخاصة بك من تقنيات مثل رش كلمات المرور وهجمات القوة الغاشمة ، بينما تحمي كلمات المرور الفريدة من حشو بيانات الاعتماد ، مما يضمن أن الضرر الناجم عن التسريب في موقع ما لن يؤثر عليك سلبًا في أي مكان آخر.

راجع المواضيع التاليه فهي تعطيك حول تجنب مشاكل كلمه المرور :


نصائح حول كيفية تأمين هواتف شاومي

خاتمة
لن يتم التخلص من كلمات المرور في أي وقت قريبًا ، وهناك أيضًا حجج جيدة تشير إلى أنه لا ينبغي ذلك. بينما تلعب جميع البيانات الحيوية ومسح الوجه وبصمات الأصابع دورًا في المساعدة على الوصول الآمن إلى الخدمات ، إلا أن جمال كلمة المرور هو "الشيء الذي تعرفه" وليس "الشيء الذي لديك". يمكن أن يُسحب الأخير منك ، في بعض الحالات قانونيًا ، لكن الأول لا يمكن ، طالما أنك تتأكد من أنه معقد وفريد وسري بدرجة كافية. قم بدمج ذلك مع المصادقة الثنائية أو متعددة العوامل واحتمالات تعرضك لفقدان البيانات من خلال اختراق كلمة المرور منخفضة للغاية - والأهم من ذلك - محدودة للغاية. إذا قام أحد المواقع غير الآمنة بتسريب بيانات الاعتماد الخاصة بك ، فيمكنك أن تكون على ثقة من أنه لن يؤثر عليك بخلاف تلك الخدمة المعينة.

2020-11-11 06:30:00
Favorites10 RateRate

Master Bunny

شاذلي | from Redmi Note 9S

#1

مشكور
2020-11-11 07:31:26

Grand Master Bunny

Ta ta for now | from Redmi Note 9S

#2

شكرا لك يا صديقى العزيز على هذا الموضوع المهم وبارك الله فيك
2020-11-11 07:43:36

Grand Master Bunny

WL MR TV | from MI MAX 3

#3

تخطيت مرحلة الابداع إلى مرحلة الابهار ، شكرا لك
2020-11-11 07:47:38

Rookie Bunny

6378948167 | from Mi Note 10 Lite

#4

جيد
2020-11-11 08:54:39
موسوعة المعلومات الجميلة لديك دائما ياصديقى ..... شكرا لك
2020-11-11 16:43:31
Ti Too

Moderatore

A Shimi Author | from Redmi 8

#6

WL MR TV
تخطيت مرحلة الابداع إلى مرحلة الابهار ، شكرا لك

الشكر لله صديقي العزيز
2020-11-12 02:17:54
مَّا يَلْفِظُ مِن قَوْلٍ إِلَّا لَدَيْهِ رَقِيبٌ عَتِيدٌ (18)(سورة ق)

Moderatore

A Shimi Author | from Redmi 8

#7

Ta ta for now
شكرا لك يا صديقى العزيز على هذا الموضوع المهم وبارك الله فيك

بارك الله فيكم و بكم صديقي العزيز
2020-11-12 02:18:19
مَّا يَلْفِظُ مِن قَوْلٍ إِلَّا لَدَيْهِ رَقِيبٌ عَتِيدٌ (18)(سورة ق)

Rookie Bunny

MR.ink | from Redmi Note 8 Pro

#8

في الحقيقية سوف القي بقلمي قليلا احتراما وتقديرا لما تقدمه من ابداع لا يوصف ادهشتني يارجال إلى الامام شكرا لك وجزاك الله خيرا
2020-11-27 11:21:29

Rookie Bunny

aldengoan | from Redmi Note 9S

#9

<p dir="rtl">اوك
2021-04-12 07:34:49

Advanced Bunny

GUARDIIA | from app

#10

❤️❤️
2021-04-27 07:20:30
please sign in to reply.
Sign In Sign Up

A Shimi

Moderatore

3 Days Check-In
7 Days Check-In
21 Days Check-In
40 Days Check-In
70 Days Check-In
100 Days Check-In
1 Year Check-In
البحث عن أرانب Mi
مسابقة تغليف الهدايا
منتجات شاومي في حياتك
أمنياتكم للعام الميلادى الجديد
استطلاع مجتمع شاومي
MI Note 10 Lite
محترف Miui
Miecostory
Miui12
RedmiSales
2020
Note Color
New emoji
Band
Redmi Note 9
10 years
First Anniversary
10th
Hallewen
POCO
FastCharge

Read moreGet new

Mi Comm APP

Stay updated on Mi Products and MIUI

Copyright©2010-2021 Xiaomi.com, All Rights Reserved
Quick Reply To Top Return to the list