U ovom članku - detaljne informacije o tome koje se metode mogu koristiti za hakiranje prilagođenih lozinki i zašto ste osjetljivi na takve napade. Na kraju ćete naći popis online usluga koje će vam omogućiti da saznate je li vaša lozinka već kompromitirana. Također će biti (već postoji) drugi članak o toj temi, ali preporučujem čitanje čitanja od trenutnog pregleda, a zatim idite na sljedeći.
Ažuriranje: Spremni materijal je sigurnost lozinki, koje opisuju kako ih povećati njihove račune i lozinke.
Koje se metode koriste za hakiranje lozinki
Za hakiranje lozinki ne postoji tako širok raspon različitih tehnika. Gotovo svi su poznati i gotovo svaki kompromis povjerljivih informacija postiže se korištenjem pojedinačnih metoda ili njihovih kombinacija.Phishing
Najčešći način na koji je danas "vodeće" lozinke popularnih poštanskih usluga i društvenih mreža je phishing, a ova metoda radi za vrlo veliki postotak korisnika.
Suština metode je da padnete, kao što mislite, poznata stranica (isti Gmail, Vc ili kolege, na primjer), i iz jednog ili drugog razloga, od vas se traži da unesete svoje korisničko ime i zaporku (za ulazak, potvrda o nečemu, za njegov smjena, itd.). Odmah nakon ulaska u lozinku ispada da je u uljezima.
Kako se to dogodi: možete primiti pismo, navodno od usluge podrške, koja se prijavljuje na potrebi za unosom računa i da je link dan kada odete na koje se stranica otvara, točno kopirao originalan. Opcija je moguća kada nakon slučajnog instalacije nepoželjnog softvera na računalu, postavke sustava se mijenjaju na takav način da kada unesete preglednik adresa u adresnu traku, zapravo padnete na web-lokaciju za krađu identiteta na isti način.
Kao što sam istaknuo, vrlo mnogo korisnici nailaze na to, a obično je povezan s nepažnjom:
- Po primitku pisma, koji u jednom obliku ili drugi nudimo da unesete svoj račun na određenom mjestu, obratite pozornost na to je li poslana s adrese pošte na ovoj stranici: obično se koriste slične adrese. Na primjer, umjesto [email protected], može biti [email protected] ili nešto slično. Međutim, ispravna adresa ne jamči uvijek da je sve u redu.
- Prije nego što unesete lozinku, pažljivo pogledajte u adresnu traku preglednika. Prije svega, treba navesti da web-lokacija želite ići. Međutim, u slučaju zlonamjernog softvera na računalu, to nije dovoljno. Trebalo bi također biti isplaćeno na prisutnost šifriranja veze koja se može odrediti pomoću HTTPS protokola umjesto http i sliku "brave" u adresnoj traci, klikom na koji možete osigurati da ste na tome mjesto. Gotovo svi ozbiljni resursi koji zahtijevaju prijavu za korištenje šifriranja.
Usput, napominjem da napada phishing i metode generiranja lozinke (opisani u nastavku) ne znače danas mukotrpno snažan rad jedne osobe (to jest, ne mora uvesti milijun lozinki ručno) - svi čine posebne programe, brzo iu velikim količinama, a zatim izvješće o uspjehu napadača. Štoviše, ovi programi ne mogu raditi na hakerskim računalu i skriveni na vašem i tisućama drugih korisnika, što ponekad povećava učinkovitost hakiranja.
Odabir lozinki
Napadi pomoću odabira lozinki (brutalna sila, ruba čvrstoća na ruskom) je također dovoljno uobičajena. Ako je prije nekoliko godina, većina tih napada doista je razbila sve kombinacije određenog skupa znakova kako bi sastavljali lozinke određene duljine, a zatim u ovom trenutku sve je nešto jednostavnije (za hakere).Analiza populacija procurila posljednjih godina u posljednjih nekoliko godina pokazuje da je manje od polovice njih jedinstveno, dok je na tim stranicama gdje "živi" pretežno neiskusni korisnici, postotak je potpuno mali.
Što to znači? Općenito, činjenica da haker ne mora izdvojiti neredovito milijune kombinacija: imati bazu od 10-15 milijuna lozinki (približan broj, ali blizu istine) i zamjenjujući samo ove kombinacije, može hakirati gotovo polovicu Računi na bilo kojem mjestu.
U slučaju fokusiranog napada na određeni račun, osim baze podataka, može se koristiti jednostavna poprsje, a moderni softver vam omogućuje da to učinite relativno brzo: lozinka od 8 znakova može biti hakirana za nekoliko dana (i Ako su ti znakovi datum ili kombinacija imena i datuma koji nisu neuobičajeni - u minutama).
Bilješka: Ako koristite istu lozinku za razne web-lokacije i usluge, čim se vaša lozinka i odgovarajuća adresa e-pošte kompromitiraju na bilo kojem od njih, koristeći posebnu za istu kombinaciju prijave i lozinke, testirat će se na stotinama Ostale web-lokacije. Na primjer, odmah nakon propuštanja nekoliko milijuna lozinki Gmail i Yandex na kraju prošle godine, val hakiranja podrijetla račune, paru, bitku.net i uplay (mislim, i mnogi drugi, jednostavno mi se svirali s navedenim usluge igre).
Sjeckanje i primanje hash lozinke
Većina ozbiljnih mjesta ne pohranjuje vašu lozinku u obliku u kojem to znate. Samo hash je pohranjen u bazi podataka - rezultat primjene nepovratne funkcije (to jest, iz tog rezultata ne može se ponovno dobiti s vaše lozinke) na lozinku. Na ulazu u stranicu, hash se ponovno izračunava i, ako se podudara s onim što je pohranjeno u bazi podataka, tada ste unijeli lozinku ispravno.
Budući da je lako pogoditi, to je Hashi, a ne lozinke samo iz sigurnosnih razloga - tako da s potencijalnim hakiranjem i primitkom napadača baze podataka nije mogao koristiti informacije i saznati lozinke.
Međutim, često, to može učiniti:
- Da bi se izračunali hash, koriste se određeni algoritmi, uglavnom poznati i uobičajeni (tj. Svatko ih može koristiti).
- Imajući baze s milijunima lozinki (od točke o poprsju), napadač također ima pristup hash ovih lozinki izračunatih svim dostupnim algoritmima.
- Mapiranje informacija iz primljenih baza podataka i lozinki iz vlastite baze, možete odrediti koji se algoritam koristi i prepoznaje stvarne lozinke za dio unosa u bazi podataka jednostavnom usporedbom (za sve necesiotike). A sredstva za gašenje pomoći će vam da saznate ostatak jedinstvenih, ali kratkih lozinki.
Kao što možete vidjeti, marketinške tvrdnje o raznim uslugama koje ne pohranjuju vaše lozinke na svojoj web-lokaciji, nemojte vas nužno štititi od njegovog curenja.
Spyware spyware
Spyware ili spyware - širok raspon zlonamjernog softvera koji je skriven instaliran na računalu (također špijunske funkcije mogu biti uključene u neku vrstu potrebnog softvera) i prikupljanje informacija o korisniku.Između ostalog, pojedinačne vrste spywarea, na primjer, keyloggers (programi koji prate tipke koje kliknete) ili se mogu koristiti analizatori skrivenog prometa (i koristiti) za dobivanje prilagođenih lozinki.
Pitanja o socijalnom inženjeringu i oporavak lozinke
Prema Wikipediji, socijalno inženjerstvo nam govori - način pristupa informacijama na temelju posebnosti psihologije osobe (ovdje se može pripisati i spomenuti iznad phishing). Na internetu možete pronaći mnogo primjera korištenja socijalnog inženjeringa (preporučujem pretraživanje i čitanje - zanimljivo je), od kojih su neki upečatljivi s njihovom elegancijom. Općenito, metoda se svede na činjenicu da se gotovo sve informacije potrebne za pristup povjerljivim informacijama mogu dobiti pomoću ljudske slabosti.
I dat ću samo jednostavan i ne osobito elegantan primjer kućanstva koji se odnosi na lozinke. Kao što znate, na mnogim web-lokacijama za vraćanje lozinke, dovoljno je uvesti odgovor na ispitno pitanje: u kojoj ste školi učili, djevojačko prezime majke, nadimak kućnog ljubimca ... čak i ako imate Više ne postavljaju ove informacije u otvorenom pristupu društvenim mrežama, kao što mislite da je to teško uz pomoć istih društvenih mreža, poznavanje s vama, ili posebno postaje upoznati, nenametljivo dobiti takve informacije?
Kako saznati što je vaša lozinka bila hakirana
Pa, na kraju članka, nekoliko usluga koje vam omogućuju da saznate je li vaša lozinka hakirana pomirenjem vaše adrese e-pošte ili korisničkog imena s lozinkom bazama podataka koje su bile u hakerski pristup. (Neznato me iznenadite da je među njima previše postotak baza podataka iz ruskih usluga).
- https://havebeenpwned.com/
- https://breachalarm.com/
- https://pwnedlist.com/query.
Jeste li otkrili svoj račun na popisu poznatih hakera? Ima smisla promijeniti lozinku, ali detaljnije o sigurnim praksama u odnosu na račune lozinke ću pisati u nadolazećim danima.