במאמר זה - מידע מפורט על אילו שיטות ניתן להשתמש כדי לפרוץ סיסמאות מותאמות אישית ולמה אתה פגיע להתקפות כאלה. ובסופו של דבר תוכלו למצוא רשימה של שירותים מקוונים שיאפשרו לך לגלות אם הסיסמה שלך כבר נפגעת. יהיה גם (כבר שם) את המאמר השני בנושא, אבל אני ממליץ לקרוא קריאה מהסקירה הנוכחית, ולאחר מכן ללכת הבא.
עדכון: מוכן החומר הבא הוא אבטחה של סיסמאות, המתאר כיצד למקסם את החשבונות והסיסמאות שלהם.
אילו שיטות משמשים לפריצת סיסמאות
עבור סיסמאות פריצה, אין כל כך מגוון רחב של טכניקות שונות. כמעט כולם ידועים וכמעט כל פשרה של מידע סודי מושגת באמצעות שימוש בשיטות בודדות או שילובים.דיוג
הדרך הנפוצה ביותר שבה היום היא "מובילה" סיסמאות של שירותי דואר פופולריים ורשתות חברתיות היא דיוג, ושיטה זו פועלת עבור אחוז גדול מאוד של משתמשים.
המהות של השיטה היא כי אתה נופל, כפי שאתה חושב, אתר מוכר (אותו Gmail, VC או לכיתה, למשל), ומסיבה אחת או אחרת, אתה מתבקש להזין את שם המשתמש והסיסמה שלך (עבור כניסה, אישור של משהו, עבור המשמרת שלו, וכו '). מיד לאחר הזנת הסיסמה מתברר להיות פולשים.
איך זה קורה: אתה יכול לקבל מכתב, לכאורה משירות התמיכה, אשר מדווח על הצורך להזין את החשבון ואת הקישור ניתנת, כאשר אתה הולך לאשר האתר נפתח, בדיוק מועתקים המקורי. אפשרות אפשרית בעת התקנה אקראית של תוכנה לא רצויה במחשב, הגדרות המערכת משתנות באופן שכאשר תזין את דפדפן הכתובת בסרגל הכתובת, אתה באמת נופל באתר התחזות בדיוק באותה דרך.
כפי שציינתי, משתמשים רבים מאוד נתקל בזה, ובדרך כלל הוא קשור עם חוסר תשומת לב:
- עם קבלת המכתב, אשר בצורה אחת או אחרת מציעה לך להיכנס לחשבון שלך באתר מסוים, לשים לב אם הוא נשלח מכתובת הדואר באתר זה: כתובות דומות משמשים בדרך כלל. לדוגמה, במקום [email protected], עשוי להיות [email protected] או משהו דומה. עם זאת, הכתובת הנכונה לא תמיד מבטיחה שהכל בסדר.
- לפני שתזין את הסיסמה שלך, תסתכל היטב בשורת הכתובת של הדפדפן. קודם כל, זה צריך להיות מוגדר כי האתר שאתה רוצה ללכת. עם זאת, במקרה של תוכנות זדוניות במחשב, זה לא מספיק. יש לשלם גם לנוכחות של הצפנת חיבור שניתן לקבוע באמצעות פרוטוקול HTTPS במקום HTTP ואת התמונה של "נעילה" בשורת הכתובת, על ידי לחיצה על אשר, אתה יכול לוודא שאתה על זה אֲתַר. כמעט כל המשאבים הרציניים הדורשים התחברות כדי להשתמש בהצפנה.
אגב, אני מציין כי התקפות התחזות ושיטות של הדור הסיסמה (המתואר להלן) לא מתכוון היום את העבודה המרוממת של אדם אחד (כלומר, הוא לא צריך להציג מיליון סיסמאות ביד) - כל לעשות מיוחד תוכניות, במהירות ובנפן גדולים ולאחר מכן מדווחים על ההצלחה של התוקף. יתר על כן, תוכניות אלה לא יכול לעבוד על המחשב של האקר, מוסתר על שלך ואלפי משתמשים אחרים, אשר לפעמים מגביר את האפקטיביות של פריצה.
בחירת סיסמאות
התקפות באמצעות בחירת סיסמה (כוח פראי, כוח גס ברוסית) הוא גם נפוץ מספיק. אם לפני כמה שנים, רוב ההתקפות האלה היו באמת busting של כל שילובים של קבוצה מסוימת של תווים כדי לקמפל סיסמאות של אורך מסוים, אז כרגע הכל קצת יותר פשוט (עבור האקרים).ניתוח הפולטים דלפו בשנים האחרונות בשנים האחרונות מראה כי פחות ממחציתם ייחודיים, ואילו באתרים אלה שבהם משתמשים "חיים" בעיקר לא מנוסחים, האחוז קטן לחלוטין.
מה זה אומר? באופן כללי, העובדה שאקר אינו צריך למיין מיליוני שילובים לא רגילים: בעל בסיס של 10-15 מיליון סיסמאות (מספר משוער, אך קרוב לאמת) ולהחליף רק שילובים אלה, זה יכול לפרוץ כמעט חצי את החשבונות בכל אתר.
במקרה של התקפה ממוקדת על חשבון ספציפי, בנוסף למסד הנתונים, חזה פשוט ניתן להשתמש, ואת התוכנה המודרנית מאפשרת לך לעשות את זה במהירות יחסית: הסיסמה של 8 תווים ניתן לפרוץ בתוך ימים (ו אם תווים אלה הם תאריך או שילוב של שם ותאריכים שאינם נדיר - בתוך דקות).
הערה: אם אתה משתמש באותה סיסמה עבור אתרים ושירותים שונים, ברגע הסיסמה שלך ואת כתובת הדוא"ל המתאימה ייסגרו על כל אחד מהם, באמצעות מיוחד עבור אותו שילוב של כניסה וסיסמה, זה ייבדק על מאות אתרים אחרים. לדוגמה, מיד לאחר דליפה של כמה מיליוני סיסמאות Gmail ו Yandex בסוף השנה שעברה, גל של פריצה של חשבונות מקור, אדים, battle.net ו uplay (אני חושב, ועוד רבים אחרים, פשוט ערערתי לי עם שצוין שירותי משחקים).
פריצה אתרים וקבלת סיסמאות hash
רוב האתרים הרציניים לא לאחסן את הסיסמה שלך בצורה שבה אתה יודע את זה. רק חשיש מאוחסן במסד הנתונים - תוצאה של החלת פונקציה בלתי הפיך (כלומר, מתוך תוצאה זו לא ניתן לקבל מהסיסמה שלך שוב) לסיסמה. בכניסה שלך לאתר, חשיש מחושב מחדש, ואם זה עולה בקנה אחד עם מה מאוחסן במסד הנתונים, אז הזנת את הסיסמה כראוי.
כפי שזה קל לנחש, זה hashi, ולא את הסיסמאות עצמן רק מסיבות אבטחה - כך עם פריצה פוטנציאלית וקבלה של תוקף מסד הנתונים, הוא לא יכול להשתמש במידע ולגלות את הסיסמאות.
עם זאת, לעתים קרובות למדי, לעשות את זה זה יכול:
- כדי לחשב את החשיש, אלגוריתמים מסוימים משמשים, ידוע בעיקר נפוץ (כל אחד יכול להשתמש בהם).
- לאחר בסיסים עם מיליוני סיסמאות (מנקודה על החזה), התוקף יש גם גישה חשיש של סיסמאות אלה שחושבו על ידי כל האלגוריתמים הנגישים.
- מיפוי מידע ממסד הנתונים שהתקבלו סיסמאות ההשתתפות מבסיס משלו, תוכל לקבוע אילו אלגוריתם משמש וסיסמאות אמיתיות עבור חלק מהרשומות במסד הנתונים על ידי השוואה פשוטה (עבור כל הבלתי מתקדם). ואמצעי הכיבוי יעזור לך לגלות את שאר הסיסמאות הייחודיות, אך קצרות.
כפי שאתה יכול לראות, השיווק טענות של שירותים שונים כי הם לא לאחסן את הסיסמאות באתר האינטרנט שלהם, לא בהכרח להגן עליך מפני דליפתו.
תוכנות ריגול
תוכנות ריגול או תוכנות ריגול - מגוון רחב של תוכנות זדוניות כי הוא מותקן באופן מוסמך במחשב (גם פונקציות מרגל יכול להיכלל באיזושה איזה תוכנה הדרושה) ואיסוף מידע על המשתמש.בין היתר, סוגים בודדים של תוכנות ריגול, לדוגמה, keyloggers (תוכניות לעקוב אחר המפתחות שאתה לוחץ) או ניתוחי תנועה מוסתרים ניתן להשתמש (ומשמש) כדי להשיג סיסמאות מותאמות אישית.
הנדסה חברתית ושאלות שחזור סיסמה
לדברי ויקיפדיה, ההנדסה החברתית מספרת לנו - שיטת הגישה למידע המבוסס על המוזרויות של הפסיכולוגיה של אדם (כאן ניתן לייחס ולהזכיר לעיל התחזות). באינטרנט אתה יכול למצוא דוגמאות רבות של שימוש בהנדסה חברתית (אני ממליץ לחפש ולקרוא - זה מעניין), כמה מהם בולטים עם האלגנטיות שלהם. באופן כללי, השיטה מופחתת לעובדה כי כמעט כל מידע הדרוש כדי לגשת למידע סודי ניתן להשיג באמצעות חולשה אנושית.
ואני אתן רק דוגמה ביתית פשוטה ולא אלגנטית במיוחד הקשורים לסיסמאות. כפי שאתה יודע, באתרים רבים כדי לשחזר את הסיסמה, זה מספיק כדי להציג תשובה לשאלת הבדיקה: באיזה בית ספר למדת, שם הנעורים של האם, הכינוי של חיית המחמד ... גם אם יש לך לא הוצב עוד מידע זה בגישה פתוחה ברשתות חברתיות, שכן אתם חושבים שזה יהיה קשה בעזרתם של אותן רשתות חברתיות, להיות מוכר לך, או להיות היכרות במיוחד, לא ברור לקבל מידע כזה?
כיצד לגלות מה הסיסמה שלך נפרצה
ובכן, בסוף המאמר, כמה שירותים המאפשרים לך לברר אם הסיסמה שלך כבר פרוצים על ידי התאמת כתובת הדוא"ל שלך או שם משתמש עם מסדי נתונים סיסמה שהיו בגישה האקר. (אני מפתיע אותי מעט כי ביניהם יותר מדי אחוז ממאגרי מידע משירותים דוברי רוסית).
- https://haveibeenpwned.com/
- https://brachalarm.com/
- https://pwendlist.com/query.
האם גילית את חשבונך ברשימת האקרים המפורסמים? זה הגיוני לשנות את הסיסמה, אבל בפירוט רב יותר על שיטות בטוח ביחס לסיסמאות החשבון אני אכתוב בימים הקרובים.