V tomto článku - podrobné informácie o tom, ktoré metódy môžu byť použité na hack vlastné heslá a prečo ste zraniteľní na takéto útoky. A na konci nájdete zoznam online služieb, ktoré vám umožnia zistiť, či vaše heslo už bolo ohrozené. Tam bude tiež (už tam) druhý článok o téme, ale odporúčam čítanie čítania z aktuálneho prehľadu a potom prejdite na nasledujúci.
Aktualizácia: Ready Nasledujúci materiál je bezpečnosť hesiel, ktoré opisujú, ako im maximalizovať svoje účty a heslá.
Aké metódy sa používajú na zaseknutie hesiel
Na hackovanie hesiel nie je taký široký rozsah rôznych techník. Takmer všetky z nich sú známe a takmer akýkoľvek kompromis dôverných informácií sa dosiahne prostredníctvom individuálnych metód alebo ich kombinácií.Phishing
Najbežnejším spôsobom, ktorým je dnes "vedúci" heslá populárnych poštových služieb a sociálnych sietí, a táto metóda funguje pre veľmi veľké percento užívateľov.
Podstatou spôsobu je, že spadnete, ako si myslíte, známy miesto (rovnaký gmail, vc alebo spolužiaci, napríklad), a z jedného dôvodu alebo druhého, ste vyzvaní, aby ste zadali svoje používateľské meno a heslo (pre vstup, potvrdenie niečoho, pre jeho zmenu atď.). Ihneď po zadaní hesla sa ukáže, že je na votrelcov.
Ako sa to stane: môžete získať list, údajne od podpornej služby, ktorý je uvedený v potrebe zadať účet a odkaz je uvedený, keď idete, na ktoré sa stránka otvorí, presne kopírovaný originál. Možná možnosť je možná, keď po náhodnej inštalácii nežiaduceho softvéru na počítači sa systémové nastavenia zmenia takým spôsobom, že keď zadáte prehliadač adries v paneli s adresou, skutočne padnete na lokalitu phishingu presne rovnakým spôsobom.
Ako som zaznamenal, veľmi veľa používateľov narazia a zvyčajne je spojené s nepozornosťou:
- Po obdržaní listu, ktorý v jednej forme alebo inej ponuky ponúka zadávať svoj účet na konkrétnom mieste, venovať pozornosť tomu, či bola odoslaná z adresy pošty na tejto stránke: Obvykle sa používajú podobné adresy. Napríklad namiesto [email protected], môže byť [email protected] alebo niečo podobné. Správna adresa však vždy nezaručuje, že všetko je v poriadku.
- Skôr ako zadáte heslo, pozrite sa pozorne do panela s adresou prehliadača. Po prvé, malo by byť špecifikované, že stránka, ktorú chcete ísť. Avšak v prípade škodlivého softvéru na počítači, to nestačí. Malo by sa tiež vyplatiť prítomnosť šifrovania pripojenia, ktoré možno určiť pomocou protokolu HTTPS namiesto HTTP a obrazu "LOCK" v paneli s adresou, kliknutím na ktoré sa môžete uistiť, že ste na tom stránky. Takmer všetky závažné zdroje vyžadujúce prihlásenie používajú šifrovanie.
Mimochodom, všimnem si, že phishingové útoky a metódy generácie hesiel (popísané nižšie) neznamenajú dnes starostlivá intenzívna práca jednej osoby (to znamená, že nemusí zaviesť milión hesiel ručne) - všetko programy, rýchlo a vo veľkom objeme a potom nahlásiť úspech útočníka. Okrem toho tieto programy nemôžu fungovať na počítači hackerov a ukrytý na vaše a tisíce iných používateľov, ktoré občas zvyšujú účinnosť hackingu.
Výber hesiel
ATTAKTY POUŽÍVAŤ VEĽKOSŤ HLAVY (Brute Force, Rude Sila v ruštine) je tiež dostatočne časté. Ak pred niekoľkými rokmi, väčšina týchto útokov bola skutočne bustovať všetky kombinácie určitého množstva znakov na kompiláciu hesiel určitej dĺžky, potom v súčasnosti je všetko trochu jednoduchšie (pre hackerov).Analýza populácií unikli v posledných rokoch v posledných rokoch ukazuje, že menej ako polovica z nich je jedinečná, zatiaľ čo na týchto stránkach, kde "žijú" prevažne neskúsení používatelia, percento je úplne malé.
Čo to znamená? Všeobecne platí, že skutočnosť, že hacker nemusí vyriešiť nezdravé milióny kombinácií: mať základňu 10-15 miliónov hesiel (približné číslo, ale blízko pravdy) a nahradí len tieto kombinácie, môže hack takmer polovica účtovných účtov.
V prípade cieľavého útoku na konkrétny účet, okrem databázy, jednoduchý bust môže byť použitý a moderný softvér vám umožní to urobiť relatívne rýchlo: heslo 8 znakov môže byť hacknuté v priebehu niekoľkých dní (a Ak sú tieto znaky dátum alebo kombinácia mena a dátumov, ktoré nie sú nezvyčajné - v minútach).
Poznámka: Ak používate rovnaké heslo pre rôzne stránky a služby, akonáhle vaše heslo a zodpovedajúca e-mailová adresa bude ohrozená na niektorom z nich, pomocou špeciálneho pre rovnakú kombináciu prihlásenia a hesla, bude testovaný na stovkách iné stránky. Napríklad, bezprostredne po úniku niekoľkých miliónov hesiel Gmail a YANDEX na konci minulého roka, vlna hackovanie pôvodných účtov, pary, bitky.net a uplay (myslím, a mnoho ďalších, jednoducho na mňa príťažil so špecifikovanými herných služieb).
Hacking stránky a prijímanie hash hesiel
Väčšina vážnych stránok nekladá vaše heslo vo forme, v ktorom ju poznáte. Iba hash je uložený v databáze - výsledok aplikácie ireverzibilnej funkcie (to znamená, že z tohto výsledku nie je možné získať z vášho hesla znova) na heslo. Na svojom vstupe na stránku je Hash re-vypočítaná a ak sa zhoduje s tým, čo je uložené v databáze, potom ste zadali heslo správne.
Ako je ľahké uhádnuť, je to Hashi, a nie hesám sami len z bezpečnostných dôvodov - takže s potenciálnym hackovaním a prijatím databázového útočníka nemohol použiť informácie a zistiť heslá.
Avšak, pomerne často, môže to:
- Na výpočet hash sa používajú určité algoritmy, väčšinou známe a bežné (t.j. každý môže použiť).
- S bázou s miliónmi hesiel (z bodu o bustoch) má útočník tiež prístup k hash týchto hesiel vypočítaných všetkými prístupnými algoritmami.
- Mapovanie informácií z prijatých databázových a hashových hesiel z vlastnej základne môžete určiť, ktorý algoritmus sa používa a rozpoznáva skutočné heslá pre časť položiek v databáze jednoduchým porovnaním (pre všetky undesiotické). A prostriedky hasenia vám pomôžu zistiť zvyšok jedinečných, ale krátkych hesiel.
Ako môžete vidieť, marketingové obvinenia z rôznych služieb, ktoré nebudú ukladať vaše heslá na svojich webových stránkach, nemusí vás nevyhnutne chrániť pred jeho únikom.
Spyware spyware
Spyware alebo spyware - široká škála škodlivého softvéru, ktorý je ukrytý na počítači (aj špionážne funkcie, je možné zahrnúť do určitého potrebného softvéru) a zhromažďovanie informácií o používateľovi.Okrem iných vecí môžu byť použité individuálne typy spyware, napríklad keyloggers (programy, ktoré sledujú tlačidlá, kliknete) alebo skryté analyzátory dopravy môžu byť použité (a použiť) na získanie vlastných hesiel.
Sociálne inžinierstvo a otázky zhodnocovania hesiel
Podľa Wikipédie nám sociálne inžinierstvo hovoria - spôsob prístupu k informáciám založeným na zvláštnych psychológie osoby (tu možno pripísať a spomínaný nad phishingom). Na internete nájdete mnoho príkladov použitia sociálneho inžinierstva (odporúčam hľadať a čítať - je to zaujímavé), z ktorých niektorí sú zarážajúce s ich eleganciou. Všeobecne platí, že metóda sa zníži na skutočnosť, že takmer všetky informácie potrebné na prístup k dôverným informáciám možno získať pomocou ľudskej slabosti.
A ja dávam len jednoduchý a nie najmä elegantný príklad domácnosti súvisiacich s heslami. Ako viete, na mnohých stránkach, aby ste obnovili heslo, stačí predstaviť odpoveď na test na test: v ktorej škole ste študovali, rodné meno matky, prezývku domáceho maznáčika ... Aj keď máte Už tieto informácie neplatíte do otvoreného prístupu na sociálnych sieťach, pretože si myslíte, že je to ťažká s pomocou tých istých sociálnych sietí, oboznámení sa s vami, alebo sa osobitne stáva zoznámiteľom, nedostupne získate takéto informácie?
Ako zistiť, aké bolo vaše heslo hacknuté
No, na konci článku, niekoľko služieb, ktoré vám umožnia zistiť, či vaše heslo bolo hacknuté zmierením vašej e-mailovej adresy alebo používateľského mena s databázami hesiel, ktoré boli v Access hacker. (Mierne ma prekvapím, že medzi nimi medzi nimi príliš veľa percentuálneho podielu databáz z ruských hovorov).
- https://haveibeenpwned.com/
- https://breachalarm.com/
- https://pwnedlist.com/Query.
Zistili ste svoj účet v zozname slávnych hackerov? Má zmysel zmeniť heslo, ale podrobnejšie o bezpečných postupoch v súvislosti s heslami účtu budem písať v najbližších dňoch.