या लेखात - सानुकूल संकेतशब्द खाच करण्यासाठी आणि आपण अशा हल्ल्यांशी असुरक्षित का आहात याबद्दल तपशीलवार माहिती कोणत्या पद्धतींवर वापरली जाऊ शकते. आणि शेवटी आपल्याला ऑनलाइन सेवांची एक यादी मिळेल जी आपल्याला आपला संकेतशब्द आधीच तडजोड केली गेली आहे की नाही हे शोधण्याची परवानगी देईल. विषयावरील द्वितीय लेख देखील (आधीपासूनच) असेल, परंतु मी वर्तमान पुनरावलोकनातून वाचन वाचण्याची शिफारस करतो आणि नंतर पुढील एक जा.
अद्यतन: सज्ज: खालील सामग्री संकेतशब्दांची सुरक्षा आहे, जे त्यांच्या खात्यांमध्ये आणि संकेतशब्दांना कसे जास्तीत जास्त करायचे याचे वर्णन करते.
संकेतशब्द खाच करण्यासाठी कोणत्या पद्धती वापरल्या जातात
संकेतशब्द हॅकिंगसाठी, विविध तंत्रांची विस्तृत श्रेणी नाही. जवळजवळ सर्वजण ज्ञात आहेत आणि वैयक्तिक पद्धती किंवा संयोजनांच्या वापराद्वारे गोपनीय माहितीचे जवळजवळ कोणतेही तडजोड केले जाते.फिशिंग
आज सर्वात सामान्य मार्ग म्हणजे लोकप्रिय पोस्टल सेवा आणि सामाजिक नेटवर्कचे संकेतशब्द संकेतशब्द फिशिंग आहे आणि ही पद्धत वापरकर्त्यांच्या मोठ्या टक्केवारीसाठी कार्य करते.
पद्धतचा सारांश म्हणजे आपण विचार करता की, एक परिचित साइट (उदाहरणार्थ समान जीमेल, व्हीसी किंवा वर्गमित्र), आणि एक कारणास्तव, आपल्याला आपले वापरकर्तानाव आणि संकेतशब्द प्रविष्ट करण्यास सांगितले जाते (यासाठी प्रवेश, काहीतरी पुष्टीकरण, त्याच्या शिफ्ट इ. साठी. पासवर्ड प्रवेश केल्यानंतर ताबडतोब घुसखोरांवर वळले.
हे कसे होते: आपण समर्थन सेवेमधून एक पत्र प्राप्त करू शकता, जे खाते प्रविष्ट करण्याची आवश्यकता आहे आणि दुवा दिलेला आहे, जेव्हा आपण साइट उघडता तेव्हा, मूळ कॉपी करा. एक पर्याय शक्य आहे जेव्हा संगणकावर अवांछित सॉफ्टवेअरची यादृच्छिक स्थापना झाल्यानंतर, अशा प्रकारे सिस्टम सेटिंग्ज बदलल्या जातात की जेव्हा आपण अॅड्रेस बारमधील अॅड्रेस ब्राउझर प्रविष्ट करता तेव्हा आपण प्रत्यक्षात फिशिंग साइटवर त्याच प्रकारे पडतो.
मी लक्षात घेतल्याप्रमाणे, बर्याच वापरकर्त्यांना यामधून येतात आणि सहसा ते अंतःकरणासह संबद्ध असतात:
- पत्र मिळाल्यानंतर, एका स्वरूपात किंवा दुसर्या एका फॉर्ममध्ये आपण एखाद्या विशिष्ट साइटवर आपले खाते प्रविष्ट करण्यास ऑफर करतो, तो या साइटवरील मेलच्या पत्त्यावरून पाठविला गेला आहे का ते लक्षात ठेवा: समान पत्ते सामान्यतः वापरल्या जातात. उदाहरणार्थ, [email protected] ऐवजी [email protected] किंवा काहीतरी समान असू शकते. तथापि, योग्य पत्ता नेहमीच हमी देत नाही की सर्वकाही क्रमाने आहे.
- आपण आपला संकेतशब्द प्रविष्ट करण्यापूर्वी, ब्राउझरच्या अॅड्रेस बारमध्ये काळजीपूर्वक पहा. सर्वप्रथम, आपण ज्या साइटवर जाऊ इच्छिता ती ती निर्दिष्ट केली पाहिजे. तथापि, संगणकावर दुर्भावनायुक्त सॉफ्टवेअरच्या बाबतीत, हे पुरेसे नाही. एचटीटीपीएस प्रोटोकॉलचा वापर करून हे निर्धारित केले जाऊ शकते जे अॅड्रेस बारमध्ये "लॉक" ची प्रतिमा, त्यावर क्लिक करून, आपण यावर अवलंबून असल्याची खात्री करुन घेऊ शकता. जागा. एनक्रिप्शन वापरण्यासाठी लॉगिन आवश्यक असलेल्या जवळजवळ सर्व गंभीर संसाधने.
तसे, मला हे लक्षात ठेवा की पासवर्ड जनरेशनचे फिशिंग हल्ले आणि पद्धती (खाली वर्णन केलेले) याचा अर्थ असा नाही की आज एक व्यक्तीच्या वेदनादायक काम (म्हणजेच तो हाताने लाखो संकेतशब्द सादर करण्याची गरज नाही) - सर्व विशेष बनवा कार्यक्रम, त्वरीत आणि मोठ्या खंडांमध्ये आणि नंतर आक्रमणकर्त्याच्या यशस्वीतेबद्दल अहवाल द्या. शिवाय, हे प्रोग्राम हॅकरच्या संगणकावर कार्य करू शकत नाहीत आणि आपल्या आणि हजारो वापरकर्त्यांवर लपलेले नाही, जे कधीकधी हॅकिंगची प्रभावीता वाढवते.
संकेतशब्द निवड
पासवर्ड सिलेक्शन वापरून हल्ले (रशियन मधील ब्रुट फोर्स, अधार्मिक सामर्थ्य) देखील पुरेसे सामान्य आहे. काही वर्षांपूर्वी, यापैकी बहुतांश हल्ले खरोखरच विशिष्ट लांबीचे संकेतशब्द संकलित करण्यासाठी काही वर्णांच्या सर्व संयोजनांचे बस्टिंग होते, त्यानंतर प्रत्येक गोष्ट थोडक्यात सोपे आहे (हॅकर्ससाठी).अलिकडच्या वर्षांत अलिकडच्या वर्षांत झालेल्या लोकसंख्येचे विश्लेषण दर्शविते की त्यापैकी अर्ध्यापेक्षा कमी अद्वितीय आहेत, तर त्या साइटवर मुख्यतः अनुभवहीन वापरकर्ते, टक्केवारी पूर्णपणे लहान आहे.
याचा अर्थ काय आहे? सर्वसाधारणपणे, हॅकरला नियमित लाखो संयोजनांचे निराकरण करण्याची आवश्यकता नाही: 10-15 दशलक्ष संकेतशब्द (अंदाजे क्रमांक, परंतु सत्य जवळ) एक आधार असणे आणि केवळ या संयोजनांचे पुनर्स्थित करणे आवश्यक आहे, ते जवळजवळ अर्धा खाच करू शकते. कोणत्याही साइटवरील खाती.
विशिष्ट खात्यावर लक्ष केंद्रित केलेल्या हल्ल्याच्या बाबतीत, साधी दिवाळे वापरल्या जाऊ शकतात आणि आधुनिक सॉफ्टवेअर आपल्याला ते तुलनेने द्रुतपणे करण्यास अनुमती देते: दिवसांच्या बाबतीत (आणि जर हे वर्ण एक तारीख किंवा नावाचे संयोजन किंवा तारखांचे संयोजन असले तरी - मिनिटांत - काही मिनिटांत).
टीपः आपण विविध साइट्स आणि सेवांसाठी समान संकेतशब्द वापरत असल्यास, आपला संकेतशब्द आणि संबंधित ईमेल पत्त्यासह तडजोड लॉगिन आणि पासवर्डच्या समान संयोजनासाठी विशेष वापरत असेल तर ते शेकडोवर चाचणी घेण्यात येईल. इतर साइट्स. उदाहरणार्थ, गेल्या वर्षीच्या अखेरीस जीमेल आणि यान्डेक्सच्या रिसावानंतर लगेच, मूळ खात्यांच्या हॅकिंगची लहर, स्टीम, बॅटल आणि अप्ले (मला वाटते, आणि इतर बर्याचजणांनी मला निर्दिष्ट केले आहे. गेमिंग सेवा).
हॅकिंग साइट आणि हॅश संकेतशब्द प्राप्त
बहुतेक गंभीर साइट्स आपल्या संकेतशब्दामध्ये आपला संकेतशब्द संचयित करीत नाहीत. केवळ हॅश डेटाबेसमध्ये संग्रहित केले आहे - एक अपरिवर्तनीय कार्य लागू करण्याचा परिणाम - हा परिणाम म्हणजे या परिणामातून पुन्हा आपल्या संकेतशब्दावरून प्राप्त केला जाऊ शकत नाही). साइटच्या प्रवेशद्वारावर, हॅश पुन्हा गणना केली जाते आणि, डेटाबेसमध्ये संग्रहित केले असल्यास, आपण योग्यरित्या संकेतशब्द प्रविष्ट केला आहे.
अंदाज करणे सोपे आहे, ते हसी आहे आणि केवळ सुरक्षिततेच्या कारणास्तव संकेतशब्दांचे संकेतशब्द नाही - जेणेकरून डेटाबेस आक्रमणकर्त्या संभाव्य हॅकिंग आणि पावतीसह, तो माहिती वापरू शकला नाही आणि संकेतशब्द शोधू शकला नाही.
तथापि, बर्याचदा हे करण्यासाठी हे करू शकते:
- हॅशची गणना करण्यासाठी, काही अल्गोरिदम वापरल्या जातात, बहुतेक ज्ञात आणि सामान्य (उदा. प्रत्येकजण त्यांचा वापर करू शकतो).
- लाखो संकेतशब्दांसह (दिवाळ्यांपासून बिंदूपासून) असल्याने, हल्लेखोरांना सर्व प्रवेशयोग्य अल्गोरिदमद्वारे मोजलेल्या या संकेतशब्दांच्या हॅशमध्ये प्रवेश आहे.
- प्राप्त झालेल्या डेटाबेस आणि हॅशिंग संकेतशब्दांमधून स्वत: च्या बेसवरून संकेतशब्द आणि हॅशिंग संकेतशब्द मॅपिंग, आपण निर्धारित करू शकता की डेटाबेसमधील एंट्रीजना साध्या तुलनेत (सर्व अनावश्यक) साठी वास्तविक संकेतशब्द वापरला जातो. आणि बुडबुद्धीचे साधन आपल्याला उर्वरित अद्वितीय, परंतु लहान संकेतशब्द शोधण्यात मदत करेल.
आपण पाहू शकता की, त्यांच्या वेबसाइटवर आपले संकेतशब्द संग्रहित करणार्या विविध सेवांचे विपणन करणारे आरोप, आपल्या लीकेजपासून आपल्याला संरक्षित करू नका.
स्पायवेअर स्पायवेअर
स्पायवेअर किंवा स्पायवेअर - संगणकावर लपविलेल्या दुर्भावनायुक्त सॉफ्टवेअरची विस्तृत श्रेणी (देखील गुप्तचर कार्ये काही आवश्यक सॉफ्टवेअरमध्ये समाविष्ट केल्या जाऊ शकतात) आणि वापरकर्त्याबद्दल माहिती एकत्रित केल्या जाऊ शकतात.इतर गोष्टींबरोबरच, स्पायवेअरचे वैयक्तिक प्रकार, उदाहरणार्थ, कीलॉगर्स (आपण क्लिक केलेल्या की मागोवा घेणार्या प्रोग्राम्स किंवा लपविलेल्या वाहतूक विश्लेषकांना सानुकूल संकेतशब्द प्राप्त करण्यासाठी (आणि वापरलेले) वापरले जाऊ शकते.
सोशल अभियांत्रिकी आणि संकेतशब्द पुनर्प्राप्ती प्रश्न
विकिपीडियाच्या म्हणण्यानुसार, सामाजिक अभियांत्रिकी आम्हाला सांगत आहे - एखाद्या व्यक्तीच्या मनोविज्ञानाच्या विशिष्टतेच्या आधारावर माहितीमध्ये प्रवेश करण्याची पद्धत (येथे फिशिंगचे श्रेय आणि उल्लेख केले जाऊ शकते). इंटरनेटवर आपण सामाजिक अभियांत्रिकी वापरण्याचे अनेक उदाहरण शोधू शकता (मी शोधण्याची आणि वाचण्याची शिफारस करतो - ते मनोरंजक आहे), त्यापैकी काही त्यांच्या सुरेखतेसह मारले आहेत. सर्वसाधारणपणे, ही पद्धत पूर्णपणे कमी केली गेली आहे की गोपनीय माहितीमध्ये प्रवेश करण्यासाठी आवश्यक असलेली कोणतीही कोणतीही माहिती मानवी दुर्बलता वापरून प्राप्त केली जाऊ शकते.
आणि मी केवळ संकेतशब्दांशी संबंधित फक्त एक सोपा आणि विशेषतः मोहक घरगुती उदाहरण देऊ. आपल्याला माहित आहे की, बर्याच साइटवर संकेतशब्द पुनर्संचयित करण्यासाठी, चाचणी प्रश्नाचे उत्तर सादर करणे पुरेसे आहे: आपण कोणत्या शाळेत, आईचे पहिले नाव, एक पाळीव प्राणी, एक पाळीव प्राणी च्या टोपणनाव ... जरी आपल्याकडे आहे यापुढे ही माहिती सोशल नेटवर्क्सवर ओपन प्रवेशात ठेवली जात नाही, कारण आपल्याला वाटते की त्याच सामाजिक नेटवर्कच्या मदतीने, आपल्याशी परिचित असणे, किंवा विशेषतः परिचित होणे, अनावश्यकपणे अशा माहिती मिळते?
आपला संकेतशब्द कसा हॅक झाला ते कसे शोधायचे
शेवटी, लेखाच्या शेवटी, हॅकर प्रवेशामध्ये आपला ईमेल पत्ता किंवा वापरकर्तानावासह वापरकर्तानाव पुनर्निर्मित करून आपला संकेतशब्द हॅक झाल्यास आपल्या संकेतशब्दाचा संकेतशब्द हॅक झाल्यास आपल्याला अनेक सेवा शोधण्याची परवानगी देतात. (मी थोडासा आश्चर्यचकित करतो की त्यांच्यापैकी त्यांच्यापैकी लोक रशियन भाषेच्या सेवांपासून डेटाबेसचे बरेच टक्केवारी आहे).
- https://haveibeenpwned.com/
- https://breachalarm.com/
- https://pwnedlist.com/query.
आपण प्रसिद्ध हॅकर्सच्या सूचीमध्ये आपले खाते शोधले आहे का? हे संकेतशब्द बदलणे अर्थपूर्ण आहे, परंतु खाते संकेतशब्दांशी संबंधित सुरक्षित पद्धतींबद्दल अधिक तपशीलवार मी आगामी दिवसात लिहितो.