ამ სტატიაში - დეტალური ინფორმაცია, რომელზეც მეთოდები შეიძლება გამოყენებულ იქნას საბაჟო პაროლებზე და რატომ არის დაუცველი ასეთი თავდასხმები. და ბოლოს თქვენ იხილავთ სიას ონლაინ სერვისების, რომელიც საშუალებას მოგცემთ გაირკვეს თუ არა თქვენი პაროლი უკვე კომპრომეტირებული. ასევე იქნება (უკვე იქ) მეორე სტატია თემაზე, მაგრამ მე ვურჩევ კითხულობს კითხულობს მიმდინარე მიმოხილვას, შემდეგ კი წასვლა მომდევნო ერთი.
განახლება: მზად არის შემდეგი მასალა არის პაროლების უსაფრთხოება, რომელიც აღწერს მათ ანგარიშებსა და პაროლებს მათთვის.
რა მეთოდები გამოიყენება hack პაროლები
პაროლების გატარებისთვის, არ არსებობს ასეთი ფართო სპექტრი სხვადასხვა ტექნიკა. თითქმის ყველა მათგანი ცნობილია და კონფიდენციალური ინფორმაციის თითქმის ნებისმიერი კომპრომისს მიღწეულია ინდივიდუალური მეთოდების ან კომბინაციების გამოყენებით.ფიშინგი
ყველაზე გავრცელებული გზა, რომელიც დღეს არის "წამყვანი" პოპულარული საფოსტო მომსახურების და სოციალური ქსელების პაროლები არის ფიშინგი და ეს მეთოდი მუშაობს მომხმარებლების ძალიან დიდი პროცენტული მაჩვენებლებისთვის.
მეთოდის არსი ის არის, რომ თქვენ ფიქრობთ, როგორც თქვენ ფიქრობთ, ნაცნობი საიტი (იგივე Gmail, VC ან თანაკლასელები, მაგალითად), და ერთი მიზეზით ან სხვა, თქვენ სთხოვეთ შეიყვანოთ თქვენი სახელი და პაროლი (ამისთვის შესვლის, რაღაცის დადასტურება, მისი ცვლაზე და ა.შ.). პაროლის შესვლისთანავე დაუყოვნებლივ აღმოჩნდება intruders.
როგორ ხდება ეს: თქვენ შეგიძლიათ მიიღოთ წერილი, სავარაუდოდ, დახმარების სამსახურისგან, რომელიც ანგარიშზე ანგარიშის შესახებ იტყობინება და ბმული მოცემულია, როდესაც მიდიხარ, სადაც საიტი იხსნება, ზუსტად გადაწერა ორიგინალს. ვარიანტი შესაძლებელია, როდესაც კომპიუტერზე არასასურველი პროგრამული უზრუნველყოფის შემთხვევითი დამონტაჟების შემდეგ, სისტემის პარამეტრები შეიცვალა ისე, რომ როდესაც მისამართების ბრაუზერში ჩაწერეთ მისამართების ბარი, თქვენ რეალურად დაეცემა ფიშინგს საიტზე ზუსტად ისევე.
როგორც მე აღვნიშნე, ძალიან ბევრი მომხმარებელი გვხვდება, და, როგორც წესი, ეს უკავშირდება უყურადღებობას:
- წერილის მიღებისთანავე, რომელიც ერთ ფორმაში ან სხვა გთავაზობთ თქვენს ანგარიშზე კონკრეტულ საიტზე, ყურადღება მიაქციეთ თუ არა ეს წერილი ფოსტის მისამართიდან: მსგავსი მისამართები, როგორც წესი, გამოიყენება. მაგალითად, ნაცვლად [email protected], შეიძლება იყოს [email protected] ან რაღაც მსგავსი. თუმცა, სწორი მისამართი ყოველთვის არ იძლევა გარანტიას, რომ ყველაფერი წესრიგშია.
- სანამ შეიყვანეთ თქვენი პაროლი, დააკვირდით ბრაუზერის მისამართით. უპირველეს ყოვლისა, უნდა აღინიშნოს, რომ საიტი გსურთ წასვლა. თუმცა, კომპიუტერზე მუქარის პროგრამული შემთხვევაში, ეს არ არის საკმარისი. იგი ასევე უნდა გადაიხადოს კავშირის დაშიფვრის არსებობისას, რომელიც შეიძლება განისაზღვროს HTTPS პროტოკოლის გამოყენებით HTTP- ის ნაცვლად HTTP- ის ნაცვლად და "დაბლოკვის" გამოსახულება, ღილაკზე დაჭერით, შეგიძლიათ დარწმუნდეთ, რომ თქვენ ამის გაკეთება საიტი. თითქმის ყველა სერიოზული რესურსი, რომელიც მოითხოვს დაშიფვრის გამოყენებას.
სხვათა შორის, მე აღვნიშნავ, რომ პაროლის თაობის ფიშინგსები და მეთოდები (ქვემოთ აღწერილი) არ ნიშნავს იმას, რომ დღეს არ ნიშნავს იმას, რომ ერთ ადამიანს (ანუ, მას არ სჭირდება მილიონი პაროლის დანერგვა) - ყველა განსაკუთრებული პროგრამები, სწრაფად და დიდი მოცულობით და შემდეგ შეატყობინეთ თავდამსხმელთა წარმატებას. უფრო მეტიც, ეს პროგრამები ვერ მუშაობენ ჰაკერების კომპიუტერზე და იმალება თქვენს და ათასობით სხვა მომხმარებლებს, რომლებიც ზოგჯერ ზრდის ეფექტურობას გარჩევაში.
პაროლის შერჩევა
შერჩეული პაროლის შერჩევისას (უხეში ძალა, რუსულ ენაზე უხეში ძალა). თუ რამდენიმე წლის წინ, ამ თავდასხმების უმრავლესობა მართლაც გარკვეულ სიგრძის გარკვეულ კომპლექტთა ყველა კომბინაციას მართლაც გარკვეულ სიგრძის შესაქმნელად, მაშინ ყველაფერი გარკვეულწილად უფრო მარტივია (ჰაკერებისათვის).ბოლო წლებში ბოლო წლებში პოპულატების ანალიზმა აჩვენა, რომ მათგან ნახევარზე ნაკლები უნიკალურია, ხოლო იმ ადგილებში, სადაც "ცოცხალი" უმეტესად გამოუცდელი მომხმარებელია, პროცენტული მაჩვენებელი სრულიად მცირეა.
Რას ნიშნავს ეს? ზოგადად, ის ფაქტი, რომ ჰაკერს არ სჭირდება არარეგულარული მილიონობით კომბინაციების დასალაგებლად: 10-15 მილიონი პაროლის მქონე ბაზა (სავარაუდო ნომერი, მაგრამ სიმართლის სიახლოვეს) და მხოლოდ ამ კომბინაციების შემცვლელი, მას შეუძლია თითქმის ნახევარი ანგარიშები ნებისმიერ საიტზე.
კონკრეტულ ანგარიშზე ორიენტირებული თავდასხმის შემთხვევაში, მონაცემთა ბაზის გარდა, მარტივი ბიუსტი შეიძლება გამოყენებულ იქნას და თანამედროვე პროგრამული უზრუნველყოფა საშუალებას გაძლევთ ამის გაკეთება შედარებით სწრაფად: 8 სიმბოლოს პაროლი შეიძლება გატეხოს დღეებში (და თუ ეს პერსონაჟი არის თარიღი ან კომბინაცია სახელი და თარიღები, რომლებიც არ არის იშვიათია - წუთებში).
Შენიშვნა: თუ თქვენ იყენებთ იმავე პაროლს სხვადასხვა საიტებისა და მომსახურებისათვის, როგორც კი თქვენი პაროლი და შესაბამისი ელექტრონული ფოსტის მისამართი იქნება კომპრომეტირებული რომელიმე მათგანზე, სპეციალური კომბინაციისთვის შესვლისა და პაროლის გამოყენებით, ის შემოწმდება ასობით სხვა საიტები. მაგალითად, გასული წლის ბოლომდე რამდენიმე მილიონი პაროლის გაჟონვის შემდეგ, გასული წლის ბოლოს, წარმოშობის ანგარიშების, ორთქლის, ბრძოლისას და უპატრეიტის (მე ვფიქრობ, რომ მე უბრალოდ მიმართა სათამაშო მომსახურება).
Hacking საიტები და მიღების hash პაროლები
ყველაზე სერიოზული საიტების უმრავლესობა არ შეინახავს თქვენს პაროლს იმ სახით, რომელშიც თქვენ იცით. მხოლოდ HASH ინახება მონაცემთა ბაზაში - შეუქცევადი ფუნქციის გამოყენების შედეგი (ანუ, ამ შედეგისგან არ შეიძლება მიიღოთ თქვენი პაროლით). თქვენს შესასვლელთან ადგილზე, hash არის ხელახლა გათვლილი და, თუ იგი ემთხვევა რა ინახება მონაცემთა ბაზაში, მაშინ თქვენ შევიდა პაროლი სწორად.
როგორც ადვილი გამოსადეგია, ეს არის Hashi, და არა პაროლები მხოლოდ უსაფრთხოების მიზეზების გამო, ისე, რომ მონაცემთა ბაზის თავდამსხმელთა პოტენციურ გარჩევაში და მიღებას, მას არ შეუძლია გამოიყენოს ინფორმაცია და გაეცათ პაროლები.
თუმცა, საკმაოდ ხშირად, ამის გაკეთება მას შეუძლია:
- გამოვთვალოთ hash, გარკვეული ალგორითმები გამოიყენება, ძირითადად ცნობილია და საერთო (ანუ ყველას შეუძლია გამოიყენოს ისინი).
- მილიონობით პაროლის მქონე ბაზები (ბიუსტის შესახებ), თავდამსხმელს ასევე აქვს ხელმისაწვდომი ყველა პაროლის ჰაშქვი, რომელიც გამოითვლება ყველა ხელმისაწვდომი ალგორითმებით.
- რუკების ინფორმაცია მიღებული მონაცემთა ბაზიდან და საკუთარი ბაზისგან პაროლების დამონტაჟება, შეგიძლიათ განსაზღვროთ, რომელი ალგორითმი გამოიყენება და აღიარებულია რეალურ პაროლებზე მონაცემთა ბაზაში მონაცემთა ბაზაში (ყველა უსესოფიკაციისთვის). და ჩაქრობის საშუალება დაგეხმარებათ გაარკვიოთ დანარჩენი უნიკალური, მაგრამ მოკლე პაროლები.
როგორც ხედავთ, სხვადასხვა სერვისების მარკეტინგული ბრალდებები, რომლებსაც არ აკეთებენ თქვენი პაროლების ნახვა, არ არის აუცილებელი მისი გაჟონვისგან.
Spyware Spyware
Spyware ან Spyware - ფართო სპექტრი მუქარის პროგრამული უზრუნველყოფა, რომელიც იმალება კომპიუტერზე (ასევე ჯაშუში ფუნქციები შეიძლება იყოს გარკვეული სახის აუცილებელი პროგრამული უზრუნველყოფა) და შეგროვება ინფორმაცია მომხმარებლის შესახებ.სხვა საკითხებთან ერთად, ინდივიდუალური ტიპები spyware, მაგალითად, keyloggers (პროგრამები, რომლებიც აკონტროლოთ გასაღებები თქვენ დააჭირეთ) ან ფარული ტრაფიკის ანალიზატორები შეიძლება გამოყენებულ იქნას (და გამოყენებული) მიიღოს საბაჟო პაროლები.
სოციალური საინჟინრო და პაროლის აღდგენის კითხვები
ვიკიპედია, სოციალური ინჟინერია გვეუბნება - ინფორმაციის ფსიქოლოგიის თავისებურებებზე დაფუძნებული ინფორმაციის ხელმისაწვდომობის მეთოდი (აქ შეიძლება აღინიშნოს ზემოთ ფიშინგი). ინტერნეტში შეგიძლიათ იპოვოთ სოციალური საინჟინრო გამოყენების მრავალი მაგალითი (ვურჩევ ეძებს და წაიკითხავს - საინტერესოა), რომელთაგან ზოგიერთი მათგანია მათი ელეგანტურობით. ზოგადი თვალსაზრისით, მეთოდი მცირდება იმ ფაქტზე, რომ კონფიდენციალური ინფორმაციის ხელმისაწვდომობის თითქმის ნებისმიერი ინფორმაცია შეიძლება მიიღოთ ადამიანის სისუსტის გამოყენებით.
და მე მივცემ მხოლოდ მარტივი და არა განსაკუთრებით ელეგანტური საყოფაცხოვრებო მაგალითს პაროლებთან. როგორც მოგეხსენებათ, ბევრ საიტებზე პაროლის აღდგენა, საკმარისია გამოცდის კითხვაზე პასუხის გაცემა: რა სკოლაში სწავლობდით, დედის ქალიშვილს, პეტას მეტსახელად ... მაშინაც კი, თუ თქვენ გაქვთ აღარ არის განთავსებული ეს ინფორმაცია სოციალური ქსელების ღია ხელმისაწვდომობისას, როგორც ფიქრობთ, რომ ეს რთული იქნება იმავე სოციალური ქსელების დახმარებით, რომელიც იცნობს თქვენ, ან სპეციალურად გაეცნოს, გაეცნოს ასეთი ინფორმაცია?
როგორ გაირკვეს, რა თქვენი პაროლი გატეხილია
კარგად, სტატიის დასასრულს, რამდენიმე სერვისი, რომელიც საშუალებას გაძლევთ გაირკვეს, თუ თქვენი პაროლი გატეხილია თქვენი ელ.ფოსტის მისამართის ან მომხმარებლის სახელით პაროლით, რომლებიც ჰაკერის ხელმისაწვდომობაშია. (მე გაოცება ჩემთვის ოდნავ, მათ შორის მათ შორის ბევრი პროცენტული მონაცემთა ბაზების რუსულენოვანი მომსახურება).
- https://haveibeenpwned.com/
- https://breachalarm.com/
- https://pwnedlist.com/query.
აღმოაჩინეთ თქვენი ანგარიში ცნობილი ჰაკერების სიაში? ეს აზრი აქვს შეცვალოს პაროლი, მაგრამ უფრო დეტალურად უსაფრთხო პრაქტიკის შესახებ ანგარიშზე პაროლები მე დავწერ მომდევნო დღეებში.