Í þessari grein - nákvæmar upplýsingar um hvaða aðferðir geta verið notaðir til að hakka sérsniðin lykilorð og hvers vegna þú ert viðkvæm fyrir slíkum árásum. Og í lokin finnur þú lista yfir netþjónustu sem leyfir þér að finna út hvort lykilorðið þitt hafi þegar verið í hættu. Það mun einnig vera (nú þegar) seinni grein um efnið, en ég mæli með að lesa lestur frá núverandi endurskoðun, og þá fara til næsta.
UPDATE: Tilbúinn eftirfarandi efni er öryggi lykilorðs, sem lýsir því hvernig á að hámarka reikninga sína og lykilorð til þeirra.
Hvaða aðferðir eru notaðar til að hakk lykilorð
Fyrir reiðhestur lykilorð er ekki svo mikið úrval af ýmsum aðferðum. Næstum allir eru þekktir og næstum allir málamiðlun um trúnaðarupplýsingar eru náð með því að nota einstök aðferðir eða samsetningar þeirra.Phishing.
Algengasta leiðin til að í dag er "leiðandi" lykilorð vinsælra póstþjónustu og félagslegra neta er phishing, og þessi aðferð virkar fyrir mjög mikið hlutfall af notendum.
Kjarni aðferðarinnar er að þú fallir á, eins og þú heldur, kunnuglegt vefsvæði (sama Gmail, VC eða bekkjarfélaga, til dæmis), og af einum ástæðum eða öðrum ertu beðinn um að slá inn notandanafnið þitt og lykilorð (fyrir innganga, staðfesting á eitthvað, fyrir breytingu hans, osfrv.). Strax eftir að slá inn lykilorðið virðist vera á boðflenna.
Hvernig þetta gerist: Þú getur fengið bréf, sögn frá stuðningsþjónustunni, sem er tilkynnt um nauðsyn þess að slá inn reikninginn og tengilinn er gefinn, þegar þú ferð sem vefsvæðið opnar, nákvæmlega afritað frumrit. Valkostur er möguleg þegar eftir handahófi uppsetningu óæskilegra hugbúnaðar á tölvu eru kerfisstillingarnir breyst þannig að þegar þú slærð inn vafrann í vafranum í veffangastikunni, fellur þú í raun á vefsvæðinu á nákvæmlega sama hátt.
Eins og ég benti á, koma mjög margir notendur yfir þetta, og venjulega er það tengt við óánægju:
- Við móttöku bréfsins, sem á einni formi eða annar býður þér að slá inn reikninginn þinn á tilteknu vefsvæði skaltu fylgjast með því hvort það hafi verið sent frá heimilisfangi póstsins á þessari síðu: Svipaðar heimilisföng eru venjulega notuð. Til dæmis, í stað [email protected], getur verið [email protected] eða eitthvað svipað. Hins vegar er rétt heimilisfang ekki alltaf tryggt að allt sé í lagi.
- Áður en þú slærð inn lykilorðið þitt skaltu líta vel út í netfangastikunni í vafranum. Fyrst af öllu, það ætti að vera tilgreint að vefsvæðið sem þú vilt fara. Hins vegar, þegar um er að ræða illgjarn hugbúnað á tölvunni, er þetta ekki nóg. Það skal einnig greiddur til að koma í veg fyrir tengsl dulkóðun sem hægt er að ákvarða með því að nota HTTPS siðareglur í stað HTTP og myndina af "Lock" í heimilisfangastikunni, með því að smella á sem þú getur tryggt að þú sért á þessu síða. Næstum allar alvarlegar auðlindir sem krefjast innskráningar til að nota dulkóðun.
Við the vegur, ég minnist þess að phishing árásir og aðferðir við lykilorð kynslóð (lýst hér að neðan) þýðir ekki í dag sársaukafullt öflugt verk eins manns (það er, hann þarf ekki að kynna milljón lykilorð fyrir hendi) - allir gera sérstakt Forrit, fljótt og í stórum bindi og þá tilkynna um árangur árásarmannsins. Þar að auki geta þessi forrit ekki unnið á tölvu tölvusnápur og falin á og þúsundum annarra notenda, sem stundum eykur skilvirkni reiðhestur.
Val á lykilorðum
Árásir með lykilorði (brute force, dónalegur styrkur á rússnesku) er einnig nægilega algengt. Ef fyrir nokkrum árum síðan voru flestar þessar árásir í raun brjósti af öllum samsettum ákveðnum stöfum til að safna saman lykilorði á ákveðnum lengd, þá í augnablikinu er allt nokkuð einfaldara (fyrir tölvusnápur).Greiningin á populats lekið á undanförnum árum á undanförnum árum sýnir að minna en helmingur þeirra er einstakt, en á þeim stöðum þar sem "lifandi" aðallega óreyndur notandi, er hlutfallið alveg lítið.
Hvað þýðir þetta? Almennt er sú staðreynd að tölvusnápur þarf ekki að raða út óreglulegum milljónum samsetningar: að hafa grunn 10-15 milljónir lykilorð (áætluð númer, en nálægt sannleikanum) og skipta aðeins þessum samsetningum, það getur hakk næstum helmingi af reikninga á hvaða vefsvæði sem er.
Ef um er að ræða einbeitt árás á tiltekna reikning, auk gagnagrunnsins, er hægt að nota einfalda brjóstmynd og nútíma hugbúnað gerir þér kleift að gera það tiltölulega fljótt: Lykilorðið 8 stafir geta verið tölvusnápur á nokkrum dögum (og Ef þessi stafir eru dagsetning eða samsetning af nafni og dagsetningar sem eru ekki óalgengt - í mínútum).
Athugaðu: Ef þú notar sama lykilorð fyrir ýmsar síður og þjónustu, um leið og lykilorðið þitt og samsvarandi netfang verður í hættu á einhverjum af þeim, með því að nota sérstakt fyrir sömu samsetningu innskráningar og lykilorðs, verður það prófað á hundruðum aðrar síður. Til dæmis, strax eftir leka á nokkrum milljón lykilorð Gmail og Yandex í lok síðasta árs, bylgja reiðhestur uppruna reikninga, gufu, bardaga.net og uplay (ég held og margir aðrir, einfaldlega áfrýjað mér með tilgreindum gaming þjónusta).
Hacking Sites og móttöku Hash lykilorð
Flestar alvarlegar síður geyma ekki lykilorðið þitt í formi sem þú þekkir það. Aðeins HASH er geymt í gagnagrunninum - afleiðingin af því að beita óafturkræfum hlutverki (það er ekki hægt að fá af þessu niðurstöðum úr lykilorðinu þínu aftur) í lykilorðið. Við innganginn á síðuna er kjötkásinn endurreiknað og, ef það fellur saman við það sem er geymt í gagnagrunninum, þá hefurðu slegið inn lykilorðið rétt.
Eins og auðvelt er að giska á, er það HASHI, og ekki lykilorðin sjálfir af öryggisástæðum - þannig að með hugsanlegum reiðhestur og kvittun gagnagrunns árásarmannsins gat hann ekki notað upplýsingarnar og fundið út lykilorðin.
Hins vegar, frekar oft, að gera það sem það getur:
- Til að reikna út kjötkásinn eru ákveðnar reiknirit notuð, aðallega þekkt og algengar (þ.e. allir geta notað þau).
- Having bases með milljónum lykilorð (frá því að benda á brjóstið), árásarmaðurinn hefur einnig aðgang að kjötkássa þessara lykilorð sem reiknað er með öllum aðgengilegum reikniritum.
- Kortlagningsupplýsingar frá mótteknum gagnagrunni og Hashing Lykilorð frá eigin stöð, getur þú ákveðið hvaða reiknirit er notað og viðurkennt alvöru lykilorð fyrir hluta af færslunum í gagnagrunninum með einföldum samanburði (fyrir alla ósnortið). Og leiðin til að slökkva mun hjálpa þér að finna út afganginn af einstökum, en stuttum lykilorðum.
Eins og þú sérð, markaðssetningar ásakanir um ýmsa þjónustu sem þeir geyma ekki lykilorðin þín á heimasíðu sinni, vertu ekki endilega að vernda þig frá leka hans.
Spyware Spyware.
Spyware eða Spyware - fjölbreytt úrval af illgjarnum hugbúnaði sem er falin uppsett á tölvu (einnig njósnari aðgerðir geta verið með í einhvers konar nauðsynlegum hugbúnaði) og safna upplýsingum um notandann.Meðal annars er hægt að nota einstakar tegundir af spyware, til dæmis keyloggers (forrit sem fylgjast með lyklunum sem þú smellir) eða falinn umferðartækni (og notuð) til að fá sérsniðna lykilorð.
Félagsverkfræði og lykilorð bati spurningar
Samkvæmt Wikipedia er félagsverkfræði að segja okkur - aðferðin við aðgang að upplýsingum sem byggjast á sérkennum sálfræði manneskju (hér má rekja og nefndi fyrir ofan phishing). Á Netinu er hægt að finna mörg dæmi um að nota félagsverkfræði (ég mæli með að leita og lesa - það er áhugavert), sum þeirra eru sláandi með glæsileika þeirra. Almennt er aðferðin lækkuð við þá staðreynd að nánast allar upplýsingar sem þarf til að fá aðgang að trúnaðarupplýsingum er hægt að nálgast með því að nota mönnum veikleika.
Og ég mun gefa aðeins einfalt og ekki sérstaklega glæsilegt heimili dæmi sem tengist lykilorðum. Eins og þú veist, á mörgum stöðum til að endurheimta lykilorðið er nóg að kynna svar við prófunarspurningunni: Í hvaða skóla lærði þú, móðir móðurinnar, gælunafn gæludýr ... jafnvel þótt þú hafir Ekki lengur sett þessar upplýsingar í opnum aðgangi á félagslegur net, eins og þú heldur að það sé erfitt að vilja með hjálp sömu félagslegra neta, sem þekkir þig, eða sérlega að kynnast, unobtrusively fá slíkar upplýsingar?
Hvernig á að finna út hvað lykilorðið þitt var hakkað
Jæja, í lok greinarinnar, nokkrir þjónustur sem leyfa þér að finna út hvort lykilorðið þitt hafi verið tölvusnápur með því að sætta netfangið þitt eða notandanafn með lykilorðum sem hafa verið í Hacker aðgangi. (Ég á óvart mér örlítið að meðal þeirra of mikið hlutfall af gagnagrunni frá rússneskumælum).
- https://haveiBeenpwned.com/
- https://breachalarm.com/
- https://pwnedlist.com/query.
Hefur þú uppgötvað reikninginn þinn á listanum yfir fræga tölvusnápur? Það er skynsamlegt að breyta lykilorðinu, en nánar um örugga venjur í tengslum við lykilorð reikninga mun ég skrifa á næstu dögum.