يقوم المهاجم هنا بمحاولة اختراق حساب الضحية المحمي بكلمة سرّ Password ما عبر تخمين كلمة السرّ. كأن يحاول تركيبات من معلومات يعرفها عن الضحية، كرقم هاتفه أو تاريخ ميلاده أو اسم الزوجة أو الحبيبة، أو أسماء أفراد العائلة أو عبارات تملك معنى عاطفيا ما للضحية، أو الكلمات الشائعة، مثل 123456 و password و qwerty. أي تماما ما تعنيه تسمية هذه الطريقة حرفيا: تخمين كلمات السرّ.
أيضا قد يحاول المهاجم تجربة كلمة سرّ لك يعرفها على حساب آخر لك على الانترنت فيما يسمى باختراق بسبب إعادة استعمال كلمة السرّ Password Reuse Hack.
طرق لتخمين كلمات السرّ
يمكن لتخمين كلمة سرّ الضحية استخدام عدة طرق نذكر منها الطرق التالية:
كلمات السرّ الشائعة
يحدث أحيانا أن يقوم المخترقون بنشر كلمات سرّ استطاعوا الحصول عليها سواء عبر اختراق الحسابات أو عن طريق اختراق خدمة ما تتضمن حسابات محمية بكلمات السرّ.
يقوم الخبراء والباحثون والمخترقون عند نشر هذه الكلمات بتحليل تكرارها وتنوعها وطولها وصعوبة تخمينها، ويقومون بترتيبها حسب درجة تكرارها ونشر النتائج لكي يستفيد الآخرون من نتائج الدراسة.
فيما يلي لائحة لكلمات السرّ الخمس وعشرون الأولى الأكثر انتشارا لما نشر من الكلمات المخترقة عام 2015:
- 123456
- password
- 12345678
- qwerty
- 12345
- 123456789
- football
- 1234
- 1234567
- baseball
- welcome
- 1234567890
- abc123
- 111111
- 1qaz2wsx
- dragon
- master
- monkey
- letmein
- login
- princess
- qwertyuiop
- solo
- passw0rd
- starwars
لاحظ أن الكلمات الأكثر انتشارا ليست كلمات سرّ جيدة ما يفسر بشكل عام انتشار اختراق الاختراقات للحسابات على خدمات الانترنت المختلفة
مراقبة إدخال الضحية لكلمة السرّ
يمكن للمهاجم في حال وجوده بقرب الضحية أن يراقب الضحية أثناء إدخال كلمة سرّه لحساب ما فيحفظ بضعة رموز وأحرف لبدايتها مثلا، أو لنهايتها أو ينصت السمع عند النقر على لوحة المفاتيح ليقدر طولها، ويستخدم هذه المعلومات الهامة في حصر الاحتمالات عند تخمين كلمة السرّ
يمكن أيضا لمهاجم صبور أن يقوم بذلك على مراحل, كأن يراقب في أول مرة أول رمزين أو ثلاثة من كلمة السرّ، ثم بعد عدة أيام إن تسنى له الأمر، الحرفان الأخيران وهكذا حتى تصبح كلمة السرّ واضحة لديه.
معرفة معلومات شخصية عن الضحية
يستخدم الكثير من الأشخاص معلومات ترتبط بشخصيتهم عند انشاء كلمة السرّ، لغرض بسيط هو ضرورة حفظها. وهذا يعني أن المعلومات التي يعرفها المهاجم عن الضحية قد تؤدي إلى تخمين كلمة السرّ بشكل صحيح لو لم يتبع الضحية خطوات انشاء كلمة سرّ جيدة وخاصة البند الخاص بعدم ذكر معلومات شخصية عند انشاء الكلمة.