U ovom članku - detaljne informacije o tome koje metode se mogu koristiti za hack običaj lozinke i zašto ste osjetljivi na takve napade. I na kraju ćete naći spisak online usluga koje će vam omogućiti da saznate da li je lozinka je već ugrožen. Tu će biti (već postoji) drugi članak na tu temu, ali preporučujem Reading sa sadašnjih pregled, a zatim idite na sljedeći jedan.
Update: Spremni Sljedeći materijal je sigurnost lozinki, koji opisuje kako maksimizirati svoje račune i lozinke za njih.
Koje metode se koriste za hack lozinke
Razbijanje lozinki se ne koristi mnogo širokog spektra različitih tehnika. Gotovo svi od njih su poznati i gotovo svaki kompromis povjerljivih informacija se postiže kroz upotrebu pojedinih metoda ili kombinacija istih.phishing
Najčešći način na koji se danas "vodi" lozinke popularne poštanskih usluga i društvenih mreža je phishing, i ova metoda radi za veoma veliki procenat korisnika.
Suština metode je u tome što padaju na, kao što ti misliš, poznati stranice (isti Gmail, VC ili drugova, na primjer), a za jednog ili drugog razloga, od vas se traži da unesete svoje korisničko ime i lozinku (za ulaska, potvrda za nešto, za njegove smjene, itd.) Odmah nakon ulaska pojavljuje lozinku na uljeze.
Kako se to dogodi: Možete dobiti pismo, navodno iz službe za podršku, koji se prijavio na potrebu da uđe u račun i link je dat, kada odete, što otvara stranice, upravo kopirati original. Opcija je moguća kada je nakon slučajne instalacije nepoželjnog softvera na računalu, postavke sistem se mijenjaju na takav način da kada unosite adresu pretraživač u adresnu traku, zapravo pada na phishing stranice na potpuno isti način.
Kao što sam napomenuo, vrlo veliki broj korisnika dolazi preko ovog, a obično se povezuje sa nepažnje:
- Po prijemu pisma, koja je u jednom ili drugom obliku ponude da unesete vaš račun na određenom mjestu, obratite pozornost na to da li ga je poslao iz adresu poštom na ovom sajtu: Slično adrese se obično koriste. Na primjer, umjesto [email protected], može biti [email protected] ili nešto slično. Međutim, tačna adresa ne garantuje uvijek da je sve u redu.
- Prije nego što unesete lozinku, pažljivo pogledate u adresnoj traci pretraživača. Prije svega, treba biti navedeno da je sajt želite ići. Međutim, u slučaju maliciozni softver na računalu, to nije dovoljno. Također treba obratiti na prisustvo enkripcije veze koje mogu utvrditi putem HTTPS protokola umjesto HTTP i imidža "lock" u adresnu traku, klikom na koji možete biti sigurni da ste na ovom stranica. Gotovo svi ozbiljni resursi koji zahtijevaju prijavu za upotrebu šifriranja.
Ovdje napomim da se na napadima životinja i grubih sila (opisane dolje) ne znače da se danas turobno mukotrpno radno djelo jedne osobe (tj. Ne treba ući u lozinke ručno milion) - sve to čini poseban program, brzo i u velikoj mjeri količinama i onda izvještaj o uspjehu napadača. Osim toga, ovi programi ne mogu raditi na računaru hakera, i skrivene na i hiljade drugih korisnika, koji povremeno povećava efikasnost hakiranju.
Izbor lozinke
Napadi pomoću odabira lozinke (Brute Force, rude snage na ruskom) je također dovoljno česta. Ako je prije nekoliko godina, većina tih napada zaista je provalila sve kombinacije određenog skupa znakova koji će sastaviti lozinke određene dužine, a zatim u trenutku sve je nešto pomalo jednostavnije (za hakere).Analiza populata procurila je posljednjih godina u posljednjih nekoliko godina pokazuje da je manje od polovine jedinstvene, dok su na tim web lokacijama gdje "žive" pretežno neiskusne korisnike, postotak je potpuno mali.
Šta to znači? U principu, činjenica da ne treba haker da sredim vanredna milijune kombinacija: imaju bazu 10-15000000 lozinki (približan broj, ali blizu istini) i zamjenom samo ove kombinacije, može hack gotovo polovina računi na bilo koje lokacije.
U slučaju fokusirane napad na određeni račun, osim u bazu podataka, jednostavno bista se može koristiti i moderan softver omogućava vam da ga relativno brzo učiniti: lozinku 8 znakova može biti sjeckan u roku od nekoliko dana (i ako su ti likovi su datum ili kombinacija imena i datumi koji nisu neuobičajene - u minutama).
Bilješka: Ako ste koristeći istu lozinku za različite lokacije i usluge, čim lozinku i odgovarajući e-mail adresa će biti ugrožen na bilo koji od njih, koristeći specijalne Za istu kombinaciju ime i lozinku, ona će biti testiran na stotine drugim lokacijama. Na primjer, odmah nakon curenja od nekoliko milijuna lozinki Gmail i Yandex na kraju prošle godine, talas hacking podrijetla računa, Steam, Battle.net i Uplay (mislim, i mnogi drugi, jednostavno me je privlačila sa navedenim gaming usluge).
Hacking stranicama i primanje hash lozinke
Većina ozbiljnih sajtova ne čuvaju svoju lozinku u obliku u kojem ste to znaju. Samo hash je pohranjena u bazi podataka - rezultat primjene nepovratna funkcija (to jest, od ovaj rezultat ne može ponovo dobiti iz lozinku) u lozinku. Na svoj ulaz na gradilište, hash se ponovno obračunava i, ako se poklapa sa onim što se čuva u bazi podataka, onda ste ispravno upisali lozinku.
Kao što je lako pogoditi, to je Hashi, a ne i same lozinke samo iz sigurnosnih razloga - tako da sa potencijalnim hacking i prijema napadača baze podataka, nije mogao koristiti informacije i otkriti lozinke.
Međutim, vrlo često, to učiniti što može:
- Da bi se izračunao hash, određeni algoritmi se koriste, uglavnom poznate i česte (i.e. svako može da ih koristi).
- Imajući baze s milijunima lozinki (sa stanovišta o poprsje), napadač ima pristup hash od ovih lozinki izračunava sve dostupne algoritama.
- informacije mapiranje iz primili lozinke baze podataka i hash iz vlastitih baza, možete odrediti koji algoritam se koristi i priznata u realnom lozinke za dio unosa u bazu podataka jednostavno poređenje (za sve undesiotic). I sredstava za gašenje će vam pomoći da saznate ostatak jedinstven, ali kratko lozinke.
Kao što možete vidjeti, marketing odobrenje razne usluge koje oni ne pohraniti svoje lozinke na svom mjestu ne nužno zaštititi od curi.
spyware sPYWARE
Spyware ili spyware - širok spektar maliciozni softver koji je hiddenly instaliran na kompjuteru (takođe špijunira funkcije mogu biti uključeni u neku vrstu potrebne programe) i prikupljanje informacija o korisniku.Između ostalog, pojedine vrste Spyware, na primjer, na tastaturi (programi koji prate ključeve kliknete) ili skriveni saobraćaj analizatora mogu se koristiti (i koriste) za dobijanje običaj lozinke.
Socijalni inženjering i Password Recovery pitanja
Prema Wikipediji, socijalni inženjering nam govori - način pristupa informacijama na osnovu specifičnosti psihologije osoba (ovdje se može pripisati i gore navedeni phishing). možete pronaći na internetu brojni primjeri korištenja socijalnog inženjeringa (preporučujem da potrazi i čitati - zanimljivo je), od kojih su neki upečatljiv sa svojim eleganciju. U opštem smislu, metoda se svodi na činjenicu da gotovo sve informacije potrebne za pristup povjerljivim informacije mogu se dobiti pomoću ljudske slabosti.
I ja ću dati samo jednostavan i nije posebno elegantan primjer domaćinstva koje se odnose na lozinke. Kao što znate, na mnogim lokacijama za vraćanje lozinku, dovoljno je da se uvede odgovor na test pitanje: u koju školu ste studirali, ime djevojačko majke, nadimak kućnog ljubimca ... Čak i ako imate više ne stavlja ove informacije u otvorenom pristupu na društvenim mrežama, kao što ti misliš da je teško Will uz pomoć istih društvenih mreža, budući da poznaju tebe, ili posebno postaje upoznat, nenametljivo dobiti takve informacije?
Kako saznati šta je hakovan lozinku
Pa, na kraju članka, nekoliko usluga koje omogućuju vam da saznate da li ste lozinku je hakovan od strane pomire svoju e-mail adresa ili korisničko ime sa lozinkom baze podataka koje su u pristupu haker. (I iznenaditi mene malo da je među njima previše postotak baza podataka iz ruskog govornog područja usluge).
- https://haveibeenpwned.com/
- https://breachalarm.com/
- https://pwnedlist.com/query.
Jeste li otkrili svoj račun u listi poznatih hakera? Ima smisla za promjenu lozinke, ali više detalja o sigurnom prakse u odnosu na račun lozinke u ću pisati u narednim danima.