Dalam perbincangan Reddit ini, soalan utamanya ialah mengapa sistem yang mengehadkan percubaan kata laluan (contohnya, tiga kali sebelum terkunci) tidak menghalang penggodam daripada mencuba jutaan kombinasi kata laluan. Beberapa teori utama dan penjelasan yang diketengahkan termasuk:
{tocify} $title={Isi Kandungan}
1. Percubaan Kata Laluan Secara Offline
Brute force attack (serangan kekerasan) secara offline dilakukan apabila penggodam mencuri pangkalan data yang mengandungi kata laluan yang telah di-hash (proses menukar kata laluan kepada unique string yang sukar untuk di-reverse bagi tujuan keselamatan).
Mereka kemudian menjalankan ujian jutaan kombinasi kata laluan menggunakan perisian khas. Oleh sebab ini berlaku secara offline, tiada sekatan automatik dibuat oleh sistem.
2. Password Spraying dan Credential Stuffing (Penyemburan Kata Laluan dan Pengisian Credential)
Teknik ini mencuba kata laluan popular pada pelbagai akaun. Serangan ini memanfaatkan kata laluan yang sering digunakan pengguna, seperti "password123" atau nama pertama ditambah nombor.
Sebagai contoh, mereka mungkin mencuba kata laluan "JohnDoe123" pada ribuan akaun yang berkaitan dengan nama pengguna "JohnDoe". Jika ada yang menggunakan kata laluan ini, penggodam berjaya mendapatkan akses.
3. Penggunaan Botnet dan Proxy
Penggodam menggunakan rangkaian komputer yang dikawal secara automatik (botnet) atau proxy untuk mengelak sekatan sistem. Botnet ini membolehkan mereka mencuba percubaan log masuk dari pelbagai alamat IP, menjadikan serangan kelihatan seperti datang dari banyak pengguna berbeza.
Sebagai contoh, program botnet boleh mencuba tiga kata laluan dari satu IP, kemudian menukar IP dengan proxy untuk mencuba lebih banyak kata laluan. Dengan cara ini, setiap percubaan kelihatan seperti dari peranti yang berlainan, mengelak sistem sekatan.
4. Kelemahan dalam Rekaan Sistem
Kadangkala, kelemahan sistem terletak pada cara sekatan diterapkan. Contohnya, ada sistem yang hanya mengehadkan percubaan log masuk di laman utama tetapi tidak pada API atau subsistem lain seperti aplikasi mudah alih. Penggodam mengeksploitasi kelemahan ini untuk mencuba kata laluan tanpa had.
Kesimpulan
Kebanyakan teknik serangan mengeksploitasi kelemahan dalam sistem keselamatan. Penggodam memanfaatkan kata laluan yang lemah dan amalan keselamatan yang buruk untuk mendapatkan akses tidak sah.
Oleh itu, langkah perlindungan terbaik adalah menggunakan kata laluan yang unik dan panjang, serta mengelakkan penggunaan semula kata laluan yang serupa di laman web berbeza. Dengan memahami teknik-teknik ini, pengguna dapat mengambil langkah-langkah yang lebih berkesan untuk melindungi akaun mereka daripada penggodam.
Sumber: Perbincangan Reddit
Baca juga: The Security Benefits of Password Managers
good info. kena waspada scammer
BalasPadam