В тази статия - подробна информация, на която може да се използва методи, за да проникна потребителски пароли и защо сте уязвими за подобни атаки. И в края ще намерите списък на онлайн услуги, които ще ви позволи да разберете дали вашата парола вече е компрометирана. Ще има и (вече е там) втората статия по темата, но аз препоръчвам четене четене от настоящото преразглеждане, а след това преминете към следващата.
Update: Готов Настоящият материал е сигурността на паролите, която описва как да увеличите своите акаунти и пароли за тях.
Какви методи се използват за хак пароли
За хакване на пароли, няма такова голямо разнообразие от различни техники. Почти всички от тях са известни и почти всеки компромис на поверителна информация се постига чрез използването на индивидуални методи или комбинации от тях.Phishing
Най-разпространеният начин за която днес е "водещ" пароли на популярни пощенски услуги и социални мрежи е фишинг, и този метод работи за един много голям процент от потребителите.
Същността на метода е, че можете да падне върху, колкото си мислиш, познато място (една и съща Gmail, VC или съученици, например), и по една или друга причина, ще бъдете помолени да въведете вашето потребителско име и парола (за влизане, потвърждение за нещо, за неговата смяна и т.н.). Веднага след влизането завои с парола, за да бъде най-нарушители.
Как се случи това: Можете да получите писмо, уж от поддръжка на услугата, която се съобщава за необходимостта да влезе в сметката и връзката се дава, когато отидете в които обектът се отваря, точно копират оригинални. Един вариант е възможно, когато след случаен монтаж на нежелан софтуер на компютъра, системните настройки са променени по такъв начин, че когато въведете адрес браузъра в адресната лента, всъщност попада на сайта на фишинг по абсолютно същия начин.
Както отбелязах, много много потребители как могат това, и обикновено това е свързано с разсеяност:
- При получаване на писмото, което в една или друга форма оферти можете да влезете в профила си в даден сайт, обърнете внимание на това дали тя е била изпратена от адреса на пощата на този сайт: обикновено се използват подобни адреси. Например, вместо да [email protected], може да бъде [email protected] или нещо подобно. Въпреки това, правилния адрес, не винаги е гаранция, че всичко е в ред.
- Преди да въведете паролата си, погледнете внимателно в адресната лента на браузъра. На първо място, следва да се уточни, че сайта, който искате да отидете. Въпреки това, в случай на злонамерен софтуер на компютъра, това не е достатъчно. Също така трябва да се обърне на наличието на криптиране връзка, която може да се определи с помощта на HTTPS протокола вместо HTTP и имиджа на "заключване" в адресната лента, като кликнете върху които можете да се уверите, че сте на това сайт. Почти всички сериозни ресурси, изискващи влизане, за да използвате криптиране.
Между другото, аз се отбележи, че фишинг атаки и начините за генериране на парола (описани по-долу) не означават, днес е трудна енергично работата на един човек (който е, той не е необходимо да се въведе един милион пароли на ръка) - всички грим специален програми, бързо и в големи количества и след това докладва за успеха на нападателя. Освен това, тези програми не могат да работят на компютър за хакерите, и скрити от вашите и хиляди други потребители, които от време на време повишава ефективността на хакерство.
Избор на пароли
Атаките използващи избор парола (груба сила, груб сила на руски) също е достатъчно чести. Ако преди няколко години, повечето от тези атаки са били наистина бюст на всички комбинации от определен набор от символи за съставяне на пароли на определена дължина, след това в един момент всичко е малко по-лесно (за хакери).Анализът на populats изтекла през последните години през последните години показва, че по-малко от половината от тях са уникални, а на тези сайтове, където е "на живо" предимно неопитни потребители, процентът е напълно малък.
Какво означава това? Като цяло, фактът, че хакер не е необходимо да се оправи нередовните милиони комбинации: с основа от 10-15 милиона пароли (приблизителен брой, но близо до истината) и заместване само тези комбинации, тя може да проникна почти половината от сметките на всеки сайт.
В случай на целенасочена атака срещу конкретен профил, в допълнение към базата данни, просто бюст може да се използва, и модерен софтуер ви позволява да го направи сравнително бързо: паролата на 8 символа може да бъде опростен в рамките на няколко дни (и ако тези герои са актуални или комбинация от име и дати, които не са рядкост - в минути).
Забележка: Ако използвате една и съща парола за различни сайтове и услуги, веднага след като парола и съответния имейл адрес ще бъде компрометирана върху някоя от тях, с помощта на специално създаден за същата комбинация от потребителско име и парола, той ще бъде тестван на стотици други сайтове. Например, веднага след изтичане на няколко милиона пароли в Gmail и Yandex в края на миналата година, вълна от хакерски за произход сметки, Steam, Battle.net и Uplay (мисля, че и много други, просто се обърнаха към мен с определения хазартни услуги).
Хакерски сайтове и получаване на пароли хеш
Повечето от сериозните сайтове не съхраняваме вашата парола във формата, в която вие го знаете. Базата данни се съхраняват само хеша - в резултат на прилагането на необратима функция (т.е. от този резултат, не можете да получите паролата си отново) на паролата. На входа си към сайта, хеша се преизчислява и, ако той съвпада с това, което се съхранява в базата данни, след като сте въвели паролата правилно.
Тъй като е лесно да се отгатне, че е Хаши, а не самите пароли само от съображения за сигурност - така че с потенциал хакерство и получаване на нападателя на базата данни, той не може да използва информацията и да разберете паролите.
Въпреки това, доста често, за да го направя това може да:
- За изчисляване на хеша, се използват определени алгоритми, известен най-вече и общо (т.е. всеки може да ги използвате).
- Като бази с милиони пароли (от точката за бюста), нападателя има достъп и до хеша на тези пароли, изчислени от всички достъпни алгоритми.
- Картографиране на информация от получените бази данни и хеширане пароли от собствената си база, можете да определите кой алгоритъм се използва и призната реални пароли за част от текстовете, публикувани в базата данни чрез просто сравнение (за всички undesiotic). А средствата за гасене ще ви помогнат да разберете останалата част от уникалните, но къси пароли.
Както можете да видите, маркетинг твърдения за различни услуги, че те не се съхраняват паролите си на своя уебсайт, не е задължително да ви предпази от изтичане му.
Spyware шпионски софтуер
Spyware или шпионски софтуер - широка гама от зловреден софтуер тайно инсталиран на компютър (като шпионски функции могат да бъдат включени в някои необходимия софтуер) и събира информация за потребителя.Наред с другите неща, индивидуални видове Spyware, например, могат да бъдат използвани кийлогъри (програми, които следят кои клавиши клик) или скрити анализаторите трафик (и употребявани), за да получи потребителски пароли.
Социално инженерство и парола за възстановяване Въпроси
Според Уикипедия, социално инженерство ни казва - метода на достъп до информация, въз основа на особеностите на психологията на човек (тук може да се дължи и споменатите по-горе фишинг). В интернет можете да намерите много примери за използване на социалното инженерство (I препоръчваме да потърсите и прочетете - това е интересно), някои от които са поразително със своята елегантност. В общи линии, методът се свежда до факта, че почти всяка информация, необходима за достъп поверителна информация може да бъде получена с помощта на човешката слабост.
И ще дам само един прост и не особено елегантен пример домакинство, свързани с пароли. Както знаете, на много места за възстановяване на паролата, че е достатъчно да се въведе отговор на този контролен въпрос: в какво училище Учил ли моминското име на майката, псевдоним на домашен любимец ... Дори и да имате вече не се поставя тази информация в свободния достъп до социални мрежи, тъй като мисля, че е трудно Will с помощта на същите социални мрежи, които са запознати с вас, или специално запознаване, ненатрапчиво да получите тази информация?
Как да разберете какво е хакнат паролата си
Е, в края на статията, няколко услуги, които ви позволяват да разберете дали вашата парола е променен от съчетаването на вашия имейл адрес или потребителско име с бази данни с пароли, които са били в достъп хакер. (I ме изненада леко, че сред тях твърде много процент от бази данни от рускоговорящите услуги).
- https://haveibeenpwned.com/
- https://breachalarm.com/
- https://pwnedlist.com/query
Били ли сте открили сметката си в списъка на известните хакери? Логично е да промените паролата, но по-подробно за безопасни практики по отношение на паролите за профилите ще напиша в следващите дни.