Бұл мақалада - жеке парольдерді бұзуға және неге мұндай шабуылдарға осал болу үшін әдістерді қолдануға болатындығы туралы толық ақпарат. Ал соңында сіз өзіңіздің пароліңіздің сақталғанын білуге мүмкіндік беретін онлайн-қызметтердің тізімі таба аласыз. Тақырып бойынша екінші мақала болады (қазірдің өзінде), бірақ мен оқуды оқуды оқуды ұсынамын, содан кейін келесіге өтіңіз.
Жаңарту: дайын: келесі материалдар - бұл парольдердің қауіпсіздігі, олар өздерінің есептік жазбалары мен парольдерін қалай арттыру керектігін сипаттайды.
Құпия сөздерді бұзу үшін қандай әдістер қолданылады
Құпия сөздерді бұзу үшін әртүрлі әдістердің кең ауқымы жоқ. Олардың барлығы дерлік құпия ақпараттың кез-келген ымыралануы жеке әдістерді немесе олардың комбинацияларын қолдану арқылы қол жеткізілгені белгілі.Фишиннаж
Бүгінгі таңда танымал почта байланысы мен әлеуметтік желілердің «жетекші» парольдері фишинг болып табылады және бұл әдіс қолданушылардың өте үлкен пайыздық пайыздық мөлшерінде жұмыс істейді.
Әдістің мәні, сіз ойлағандай, сіз ойлағандай, таныс сайт (мысалы, Gmail, vc немесе сыныптастары, мысалы, мысалы, мысалы) және бір себептермен және басқа себептермен, сізден логин мен парольді енгізу сұралады (үшін) кіру, бір нәрсені растау, оның ауысымы үшін және т.б.). Пароль енгізгеннен кейін дереу зиянкестерге айналады.
Мұның қалай болады: сіз Support Sense, сіз тіркелгіге кіру керек деп болжай аласыз, ол есептік жазбаны енгізу қажеттілігі туралы және сілтеме беріледі, ол сайт ашылады, оған барған кезде, дәл көшірілген, дәл көшірілген. Компьютерде кездейсоқ орнатылғаннан кейін, жүйелік параметрлер мекен-жайы мекен-жайы бойынша мекен-жай жолағына енгізілген кезде, сіз файлдық сайтқа кіргенде, сіз фишингтік сайтқа дәл осылай түсесіз.
Мен атап өткендей, бұл өте көп қолданушылар осылай, әдетте, ол анық емес:
- Бір пішінде немесе басқа формада белгілі бір сайтқа кіруді ұсынған хат алған кезде, оның осы сайттағы пошта мекенжайынан жіберілгеніне назар аударыңыз: ұқсас мекенжайлар қолданылады. Мысалы, [email protected] орнына, [email protected] немесе ұқсас нәрсе болуы мүмкін. Дегенмен, дұрыс мекен-жайы әрқашан бәрі тәртіпке келтірілгеніне кепілдік бермейді.
- Құпия сөзді енгізбес бұрын, шолғыштың мекен-жай жолында мұқият қараңыз. Ең алдымен, сіз барғыңыз келетін сайтты көрсету керек. Алайда, компьютердегі зиянды бағдарламалық жасақтама жағдайында бұл жеткіліксіз. Ол сонымен қатар HTTP-дің орнына HTTP және «құлыптау» арқылы HTTPS протоколының болуына және мекен-жай жолағындағы «құлыптау» кескінін қолдана отырып, оны «құлыптау» кескінін қолдана отырып, анықтауға болады, оны нұқу арқылы, сіз осыған байланысты екеніңізге көз жеткізе аласыз сайт. Шифрлауды пайдалану үшін кіруді қажет ететін барлық маңызды ресурстар.
Айта кетей отырып, мен фишингтік шабуылдар мен парольді құру әдістері (төменде сипатталған) бүгінде бір адамның ауыр жұмысын білдірмейді (ол, ол миллион парольді қолмен енгізудің қажеті жоқ) дегенді білдірмейді - бәрі ерекше Бағдарламалар, тез және үлкен көлемде, содан кейін шабуылдаушының жетістігі туралы есеп береді. Сонымен қатар, бұл бағдарламалар хакердің компьютерінде жұмыс істей алмайды және сіздің және мыңдаған басқа пайдаланушыларда жасырын, олар кейде бұзылудың тиімділігін арттырады.
Парольдерді таңдау
Құпия сөзді таңдауды қолдана отырып, шабуылдар (қатал күш, орысша дөрекі күш) да жеткілікті. Егер бірнеше жыл бұрын болса, бұл шабуылдардың көпшілігі белгілі бір ұзындықтағы парольдерді құрастыру үшін белгілі бір таңбалар жиынтығының барлық комбинацияларымен айналысқан, содан кейін бәрі біршама қарапайым (хакерлер үшін).Соңғы жылдары соңғы жылдары ағып кеткен популяттарды талдау олардың жартысынан азы ерекше, ал «Live» тәжірибесіз пайдаланушылар, пайызы толығымен аз.
Бұл нені білдіреді? Жалпы алғанда, хакерге тұрақты емес миллиондаған комбинацияларды сұрыптаудың қажеті жоқ: 10-15 миллион пароль базасы (шамамен сан, бірақ шындыққа жақын) және тек осы комбинацияларды алмастыру, ол жартысын бұзуы мүмкін кез келген сайттағы шоттар.
Деректер базасына бағытталған шабуыл жасалған жағдайда, қарапайым бюст қолдануға болады, ал заманауи бағдарламалық жасақтама оны тезірек жасауға мүмкіндік береді, ал 8 таңбадан тұратын парольді бірнеше күн ішінде бұзуға болады (және Егер бұл таңбалар күн немесе күн мен күндердің жиынтығы немесе күндер жиынтығы болса, бірнеше минут ішінде).
Назар аударыңыз: Егер сіз әр түрлі сайттар мен қызметтер үшін бірдей құпия сөзді қолдансаңыз, пароль және тиісті электрондық пошта мекенжайыңыз олардың ешқайсысына сәйкес келсе, арнайы логин мен парольдің үйлесімі үшін арнайы пайдаланыңыз, ол жүздегенде тексеріледі Басқа сайттар. Мысалы, бірнеше миллион парольдер gmail және yandex парольдері болғаннан кейін, өткен жылдың аяғында, боран, бу, ұрыс.net және uplay (бу, ұрыс.NET) толқыны (менің ойымша, басқалар маған қатысты », жай ғана маған жүгінді Ойын қызметтері).
Хэш парольдерін бұзу және қабылдау
Көптеген елеулі сайттар пароліңізді сіз білетін формада сақтамайды. Тек хэш дерекқорда сақталады - қайтымсыз функцияны қолдану нәтижесі (яғни бұл нәтижеден құпия сөзден басқа) құпия сөзге дейін. Сайтқа кіре берісте хэш қайта есептеледі және, егер ол дерекқорда сақталған нәрсеге сәйкес келсе, онда сіз парольді дұрыс енгіздіңіз.
Бұл оңай емес, бұл хэши емес, парольдердің өздері ғана емес, сонымен қатар қауіпсіздік себептері үшін емес, дерекқордың шабуылдаушысының бұзылуымен және қолхатпен, ол ақпаратты пайдалана алмады және парольдерді біле алмады.
Алайда, мұны жиі жасауға болады:
- Хэшті есептеу үшін белгілі бір алгоритмдер қолданылады, көбінесе белгілі және жалпы (i.e. оларды қолдана алады).
- Негіздер үшін миллиондаған парольдер бар (бюст туралы нүктеден), шабуылдаушы да барлық қол жетімді алгоритмдермен есептелген осы парольдердің хэшіне қол жеткізе алады.
- Қабылданған мәліметтер базасынан және HERGE парольдерінен алынған ақпаратты картаға түсіру, сіз өзіңіздің базасынан қандай алгоритм қолданылып, дерекқордағы жазбалардың нақты парольдерін қарапайым салыстыру арқылы анықтай аласыз (барлық undipiotiot). Және сөндіру құралы сізге бірегей, бірақ қысқа парольдерді білуге көмектеседі.
Көріп отырғаныңыздай, олар сіздің веб-сайттарыңыздағы парольдеріңізді сақтамайтын түрлі қызметтердің арыздары, олар сізді ағып кетуінен қорғауға міндетті емес.
Шпиондық шпиондық бағдарлама
Шпиондық бағдарламалар немесе шпиондық бағдарламалар - компьютерге жасырылған зиянды бағдарламалық қамтамасыздандырудың кең спектрі (сонымен қатар тыңшылық функциялары кейбір бағдарламалық жасақтаманың кейбір түрлеріне қосыла алады) және пайдаланушы туралы ақпарат жинау.Басқа заттардың, мысалы, шпиондық бағдарламалардың жекелеген түрлері, мысалы, кілтсөздер (сіз нұқыңыз) немесе жеке парольдерді алу үшін жасырын трафик анализаторларын қолдануға болады (және пайдаланылады).
Әлеуметтік инженерия және парольді қалпына келтіру мәселелері
Википедияның айтуынша, әлеуметтік инженерия бізге - адам психологиясының ерекшеліктеріне негізделген ақпаратқа қол жеткізу әдісі (мұнда сезіліп, фишингтен жоғары болуы мүмкін). Интернетте сіз әлеуметтік инженерияны қолданудың көптеген мысалдарын таба аласыз (іздеуді және оқуға кеңес беремін - бұл қызықты), олардың кейбіреулері олардың талғампаздарымен таң қалдырады. Жалпы алғанда, әдіс құпия ақпаратты қол жеткізу үшін қажет кез-келген ақпаратты адамның әлсіздікімен алуға болатындығына дейін азайтылады.
Мен парольдермен байланысты қарапайым және ерекше емес кешенді жай ғана беремін. Парольді қалпына келтіру үшін көптеген сайттарда көптеген сайттардан жауап беру жеткілікті, сіз қандай мектепте оқып, қай мектепте оқып, ананың аты-жөні, үй жануарларының лақап аты ... Тіпті болса да Енді бұл ақпаратты әлеуметтік желілерде ашық қол жетімділікке орналастырмайды, өйткені сіз әлеуметтік желілердің көмегімен, сіздермен таныс немесе арнайы танысу қиындаймыз деп ойлайсыз, немесе таныс болып, осындай ақпаратты бейросивті түрде ала алмайсыз ба?
Парольді қалай бұзғанын қалай білуге болады
Мақаланың соңында, сіз өзіңіздің пароліңіздің бұзылғанын білуге мүмкіндік беретін бірнеше қызметтер, егер сіздің электрондық пошта мекенжайын немесе пайдаланушы аты аласыз, Hacker Access бағдарламаларымен танысыңыз. (Мені сәл таң қалдыруы, олардың арасында орыс тілді қызметтерден мәліметтер базасының көп пайызы).
- https://haveibeenpwned.com/
- https://breachalarm.com/
- https://pwnnedlist.com/query.
Сіз өзіңіздің есептік жазбаңызды әйгілі хакерлер тізімінде таптыңыз ба? Парольді өзгерту мағынасы бар, бірақ есептік жазбаның парольдеріне қатысты қауіпсіз тәжірибелер туралы толығырақ мен алдағы күндерде жазамын.