Այս հոդվածում. Մանրամասն տեղեկություններ, որոնց վերաբերյալ մեթոդները կարող են օգտագործվել անհատական գաղտնաբառերը թալանելու համար եւ ինչու եք խոցելի նման գրոհների համար: Եվ վերջում դուք կգտնեք առցանց ծառայությունների ցուցակ, որոնք թույլ կտան պարզել, թե արդյոք ձեր գաղտնաբառն արդեն վարկաբեկվել է: Թեմայի երկրորդ հոդվածը (արդեն կա) երկրորդ հոդվածը, բայց ես խորհուրդ եմ տալիս կարդալ ընթերցանություն ընթացիկ վերանայումից, այնուհետեւ գնալ հաջորդին:
Թարմացում. Պատրաստ է հետեւյալ նյութը գաղտնաբառերի անվտանգությունն է, որը նկարագրում է, թե ինչպես առավելագույնի հասցնել դրանց հաշիվներն ու գաղտնաբառերը նրանց:
Ինչ մեթոդներ են օգտագործվում գաղտնաբառերը թալանելու համար
Գաղտնաբառերը թալանելու համար չկա տարբեր տեխնիկայի այդպիսի լայն տեսականի: Նրանց գրեթե բոլորը հայտնի են, եւ գաղտնի տեղեկատվության գրեթե ցանկացած փոխզիջում է ձեռք բերվում դրանց առանձին մեթոդների կամ համադրությունների օգտագործման միջոցով:Ֆիշինգ
Այսօրվա փոստային ծառայությունների եւ սոցիալական ցանցերի «առաջատար» գաղտնաբառերը «առաջատար» են, ֆիշինգը, եւ այս մեթոդը աշխատում է օգտագործողների շատ մեծ տոկոսով:
Մեթոդի էությունը այն է, որ դուք ընկնում եք, ինչպես կարծում եք, ծանոթ կայք (նույն gmail, vc կամ դասընկերներ, օրինակ), եւ ձեզանից պահանջվում է մուտքագրել ձեր անունը եւ գաղտնաբառը ( Մուտք, ինչ-որ բանի հաստատում, նրա հերթափոխի եւ այլնի համար): Մուտք գործելուց անմիջապես հետո պարզվում է, որ ներխուժում է:
Ինչպես է դա տեղի ունենում. Դուք կարող եք նամակ ստանալ, ենթադրաբար, աջակցության ծառայությունից, որը հաղորդվում է հաշիվ մուտք գործելու անհրաժեշտության մասին, եւ հղումը, երբ գնում եք, թե ինչ է բացվում կայքը, ճշգրտորեն պատճենված: Ընտրանքը հնարավոր է, երբ համակարգչում անցանկալի ծրագրակազմի պատահական տեղադրումից հետո համակարգի պարամետրերը փոխվում են այնպես, որ հասցեների բարում մուտքագրեք Հասցեային զննարկիչը, դուք իրականում ընկնում եք ֆիշինգի կայքում:
Ինչպես ես նշեցի, շատ օգտվողներ բախվում են դրան, եւ սովորաբար այն կապված է աննկատելիության հետ.
- Նամակը ստանալուց հետո, որը մեկ ձեւով կամ մեկ այլ ձեւով առաջարկում է մուտքագրել ձեր հաշիվը որոշակի կայքում, ուշադրություն դարձրեք, թե արդյոք այն ուղարկվել է այս կայքում ուղարկված փոստի հասցեով: Օրինակ, @ [email protected] ի փոխարեն կարող է լինել [email protected] կամ նման բան: Այնուամենայնիվ, ճիշտ հասցեն միշտ չէ, որ երաշխավորում է, որ ամեն ինչ կարգին է:
- Նախքան ձեր գաղտնաբառ մուտքագրեք, ուշադիր նայեք զննարկչի հասցեի բարում: Առաջին հերթին պետք է հստակեցվի, որ կայքը, որը ցանկանում եք գնալ: Այնուամենայնիվ, համակարգչում վնասակար ծրագրաշարի դեպքում դա բավարար չէ: Այն պետք է վճարվի նաեւ կապի կոդավորման առկայությանը, որը կարող է որոշվել HTTPS արձանագրության միջոցով `Հասցեների բարում HTTP- ի եւ« կողպեքի »պատկերների փոխարեն, սեղմելով, որ դուք կարող եք համոզվել, որ դուք կարող եք համոզվել, որ դուք կարող եք համոզվել, որ դուք կարող եք համոզվել, որ դուք կարող եք համոզվել կայքը: Գրեթե բոլոր լուրջ ռեսուրսները, որոնք պահանջում են մուտք օգտագործել կոդավորումը:
Ի դեպ, ես նշում եմ, որ գաղտնաբառի ստեղծման ֆիշինգի հարձակումներն ու մեթոդները (նկարագրված են ստորեւ) Այսօրվա ցավոտ եռանդուն գործը (այսինքն, նա պետք չէ ձեռքով ներդնել մեկ միլիոն գաղտնաբառ) - բոլորը հատուկ են դարձնում Ծրագրեր, արագ եւ մեծ ծավալներ, այնուհետեւ զեկուցում հարձակվողի հաջողության մասին: Ավելին, այս ծրագրերը չեն կարող աշխատել հաքերի համակարգչի վրա եւ թաքնված ձեր եւ հազարավոր այլ օգտվողների վրա, որոնք երբեմն մեծացնում են հակերության արդյունավետությունը:
Գաղտնաբառերի ընտրություն
Գաղտնաբառի ընտրության (կոպիտ ուժի, ռուսերենի կոպիտ ուժը ռուսերեն) գրոհները նույնպես բավարար չափով ընդհանուր են: Եթե մի քանի տարի առաջ այդ հարձակումների մեծ մասը իսկապես ցնցում էին որոշակի շարք նիշերի բոլոր կոմբինացիաները, որոշակի երկարության գաղտնաբառերը կազմելու համար, ապա այս պահին ամեն ինչ ինչ-որ ավելի պարզ է (հաքերների համար):Վերջին տարիներին վերջին տարիներին թափվող պոպուլատների վերլուծությունը ցույց է տալիս, որ դրանց կեսից ցածր է եզակի, իսկ այն վայրերում, որտեղ գտնվում է «կենդանի» գերակշռող օգտվողներ, տոկոսն ամբողջովին փոքր է:
Ինչ է սա նշանակում? Ընդհանրապես, այն փաստը, որ հակերուն անհրաժեշտ չէ դասակարգել ոչ կանոնավոր միլիոնավոր համադրություններ. 10-15 միլիոն գաղտնաբառով հիմք ունենալը (մոտավոր համար, բայց մոտ ճշմարտություն) եւ փոխարինել միայն այս համադրությունները հաշիվները ցանկացած վայրում:
Հատուկ հաշվի վրա կենտրոնացած գրոհի դեպքում, բացի տվյալների բազայից, պարզ կադրեր կարող են օգտագործվել, եւ ժամանակակից ծրագրակազմը թույլ է տալիս դա անել համեմատաբար արագ. 8 նիշի գաղտնաբառ կարող է թալանվել (եւ Եթե այս կերպարները ամսաթիվ են կամ անվանման եւ ամսաթվերի համադրություն, որոնք հազվադեպ չեն, րոպեներով):
Նշում: Եթե նույն գաղտնաբառ եք օգտագործում տարբեր կայքերի եւ ծառայությունների համար, հենց որ ձեր գաղտնաբառը եւ համապատասխան էլփոստի հասցեն կզիջվեն դրանցից որեւէ մեկի վրա, օգտագործելով հատուկ մուտքի եւ գաղտնաբառի նույն համադրությամբ, այն փորձարկվելու է հարյուրավոր կերպով այլ կայքեր: Օրինակ, անցած տարվա վերջին մի քանի միլիոն գաղտնաբառերի արտահոսքից անմիջապես հետո Gmail- ը եւ Yandex- ը, ծագման հաշիվների, գոլորշի, մարտական. Խաղային ծառայություններ):
Հակերային կայքեր եւ Hash գաղտնաբառեր ստանալը
Լուրջ կայքերի մեծ մասը չի պահում ձեր գաղտնաբառը այն ձեւով, որտեղ դուք գիտեք դա: Միայն Hash- ը պահվում է տվյալների բազայում `անդառնալի գործառույթի կիրառման արդյունքը (այսինքն, այս արդյունքից հնարավոր չէ կրկին ստանալ ձեր գաղտնաբառից): Ձեր մուտքի տեղում, Hash- ը վերահաշվարկվում է, եւ եթե այն համընկնում է տվյալների բազայում պահվածի հետ, ապա գաղտնաբառ ճիշտ եք մուտքագրել:
Քանի որ հեշտ է կռահել, դա Hashi է, եւ ոչ թե գաղտնաբառերն իրենք են պարզապես անվտանգության նկատառումներից ելնելով, այնպես որ տվյալների բազայի հարձակվողի հավանական հաքերի եւ ստացման միջոցով նա չկարողացավ օգտագործել տեղեկատվությունը եւ պարզել գաղտնաբառերը:
Այնուամենայնիվ, բավականին հաճախ, դա անելու համար կարող է.
- Հաշիվը հաշվարկելու համար օգտագործվում են որոշակի ալգորիթմներ, հիմնականում հայտնի եւ տարածված (այսինքն, բոլորը կարող են օգտագործել դրանք):
- Միլիոնավոր գաղտնաբառերով հիմքեր ունենալով (կիսանդրին վերաբերող կետից), հարձակվողը ունի նաեւ մուտք դեպի այս գաղտնաբառերի հաշմանդամները, որոնք հաշվարկվում են բոլոր մատչելի ալգորիթմների կողմից:
- Ստացված տվյալների բազայից եւ սեփական բազայից ստացված գաղտնաբառերից տպագրելը կարող եք որոշել, թե որ ալգորիթմը օգտագործվում է եւ ճանաչվում է իրական գաղտնաբառերը տվյալների բազայում գրառումների մի մասի համար (բոլոր աննկատելի): Եվ մարելու միջոցները կօգնեն ձեզ պարզել եզակի, բայց կարճ գաղտնաբառերը:
Ինչպես տեսնում եք, տարբեր ծառայությունների շուկայավարման մեղադրանքներ, որոնք նրանք չեն պահում ձեր գաղտնաբառերը իրենց կայքում, անպայման չեն պաշտպանում ձեզ նրա արտահոսքից:
Լրտեսող ծրագրերից լրտեսող ծրագրերից
Լրտեսող ծրագրերից կամ լրտեսող ծրագրերից - վնասակար ծրագրակազմի լայն տեսականի, որը թաքնված է համակարգչի վրա (նաեւ լրտես գործառույթները կարող են ներառվել որոշ տեսակի անհրաժեշտ ծրագրաշարի մեջ) եւ օգտագործողի մասին տեղեկատվություն հավաքելը:Ի թիվս այլ բաների, լրտեսող ծրագրերի առանձին տեսակներ, օրինակ, առանցքային գաղտնաբառեր կամ թաքնված երթեւեկության անալիզատորներ, որոնք հետեւում են բանալիներով) կամ թաքնված երթեւեկության անալիզատորների համար:
Սոցիալական ինժեներ եւ գաղտնաբառի վերականգնման հարցեր
Ըստ Վիքիպեդիայի, սոցիալական ճարտարագիտությունը մեզ ասում է. Անձի հոգեբանության առանձնահատկությունների հիման վրա տեղեկատվության մատչելիության եղանակը (այստեղ կարելի է վերագրել եւ նշվել ֆիշինգի վերեւում): Ինտերնետում կարող եք գտնել սոցիալական ճարտարագիտության օգտագործման բազմաթիվ օրինակներ (խորհուրդ եմ տալիս որոնել եւ կարդալ, դա հետաքրքիր է), որոնցից մի քանիսը հարվածում են իրենց նրբագեղությամբ: Ընդհանուր առմամբ, մեթոդը կրճատվում է այն փաստի, որ գաղտնի տեղեկատվություն մուտք գործելու համար անհրաժեշտ է ձեռք բերել գրեթե ցանկացած տեղեկատվություն մարդկային թուլության միջոցով:
Եվ ես կտամ միայն պարզ եւ ոչ առանձնապես էլեգանտ կենցաղային օրինակ, որը կապված է գաղտնաբառերի հետ: Ինչպես գիտեք, գաղտնաբառը վերականգնելու համար շատ կայքերում բավական է թեստի հարցի պատասխանը ներկայացնել. Որ դպրոցում եք սովորել, մայրիկի օրիորդը, եթե ունեք Այլեւս այս տեղեկատվությունը տեղադրեց սոցիալական ցանցերում բաց մատչելիության մեջ, քանի որ կարծում եք, որ նույն սոցիալական ցանցերի օգնությամբ դժվար կլինի, կամ ծանոթանալով, աննկատելիորեն ծանոթանալով:
Ինչպես պարզել, թե ինչ է թալանվել ձեր գաղտնաբառը
Հոդվածի վերջում, մի քանի ծառայություններ, որոնք թույլ են տալիս պարզել, թե արդյոք ձեր գաղտնաբառը թալանվել է ձեր էլփոստի հասցեն կամ գաղտնաբառի տվյալների շտեմարանների անունը հաշտեցնելով: (Ես ինձ մի փոքր զարմացնում եմ, որ դրանց մեջ չափազանց շատ տոկոսներ ռուսախոս ծառայություններիցից):
- https://haveibeenpwned.com/
- https://breachalarm.com/
- https://pwnedlist.com/query.
Դուք հայտնաբերել եք ձեր հաշիվը հայտնի հակերների ցանկում: Իմաստ է փոխել գաղտնաբառը, բայց ավելի մանրամասն մանրամասն տեղեկություններ ստանալու մասին հաշվի գաղտնաբառերի հետ կապված, ես կգրեմ առաջիկա օրերին: