V tem članku - podrobne informacije o tem, na katerih metode se lahko uporabljajo za kramp po meri gesla in zakaj ste ranljivi za takšne napade. Na koncu boste našli seznam spletnih storitev, ki vam bodo omogočili, da ugotovite, ali je vaše geslo že ogroženo. Prav tako bo (že tam) drugi članek na temo, vendar priporočam branje od trenutnega pregleda, nato pa pojdite na naslednjo.
Posodobitev: Pripravljen je naslednji material varnost gesel, ki opisuje, kako maksimirati svoje račune in gesla zanje.
Katere metode se uporabljajo za hack gesla
Za hekejska gesla ni tako široke palete različnih tehnik. Skoraj vsi so znani in skoraj vsak kompromis zaupnih informacij se doseže z uporabo posameznih metod ali kombinacij.Phishing.
Najpogostejši način, na katerega je danes "vodilno" gesla priljubljenih poštnih storitev in socialnih omrežij, je predstavljanje lažnega predstavljanja, ta metoda pa za zelo velik odstotek uporabnikov.
Bistvo metode je, da padete, kot mislite, poznano spletno mesto (isti Gmail, VC ali sošolci, na primer), in iz enega ali drugega razloga, vas prosimo, da vnesete svoje uporabniško ime in geslo (za vnos, potrditev nečesa, za njegovo premik itd.). Takoj po vnosu gesla se izkaže za vsiljivce.
Kako se to zgodi: lahko prejmete pismo, domnevno od podporne storitve, ki se poroča o potrebi po vstopu na račun, in povezava je podana, ko greste na katero mesto odpre, natančno kopirajo izvirnik. Možnost je možna, ko po naključnem namestitvi nezaželene programske opreme na računalniku, se sistemske nastavitve spremenijo tako, da ko vnesete brskalnik naslova v naslovni vrstici, dejansko padete na spletnem mestu lažnega predstavljanja na popolnoma na enak način.
Kot sem opazil, mnogi uporabniki naletijo na to, običajno pa je povezana z nepazljivostjo:
- Po prejemu pisma, ki ga v eni obliki ali drugem ponuja, da vnesete svoj račun na določenem spletnem mestu, bodite pozorni na to, ali je bila poslana z naslova pošte na tem spletnem mestu: Podobni naslovi se običajno uporabljajo. Na primer, namesto [email protected], je lahko [email protected] ali nekaj podobnega. Vendar pravilen naslov ne zagotavlja vedno, da je vse v redu.
- Preden vnesete geslo, natančno poglejte v naslovni vrstici brskalnika. Najprej je treba določiti, da želite, da želite iti. Vendar pa v primeru zlonamerne programske opreme na računalniku to ni dovolj. Prav tako je treba plačati prisotnosti šifriranja povezave, ki se lahko določi z uporabo protokola HTTPS namesto HTTP in podobo "zaklepanja" v naslovni vrstici, s klikom na katero, se lahko prepričate, da ste na tem mesto. Skoraj vsa resna sredstva, ki zahtevajo prijavo, da uporabljajo šifriranje.
Mimogrede, opažam, da napadi v lažnem predstavljanju in metode generiranja gesla (opisano spodaj) ne pomenijo danes, da se slikarsko močno delo ene osebe (to pomeni, da ni treba uvesti milijon gesel z roko) - vse je posebno Programi, hitro in v velikih količinah in nato poročajo o uspehu napadalca. Poleg tega ti programi ne morejo delati na hackerjevem računalniku in skriti na vaših in tisočih drugih uporabnikov, ki včasih povečuje učinkovitost hekanja.
Izbira gesel.
Napadi z izbiro gesla (Brute sila, nesramna moč v ruščini) je prav tako dovolj pogosta. Če pred nekaj leti je bilo večina teh napadov resnično razbijanje vseh kombinacij določenega sklopa znakov, da se zberejo gesla določene dolžine, potem pa trenutno je vse nekoliko enostavnejše (za hekerje).Analiza populatov, ki se je v zadnjih letih v zadnjih letih, kaže, da je manj kot polovica, so edinstvene, na teh mestih, kjer "živijo" večinoma neizkušenih uporabnikov, je odstotek popolnoma majhen.
Kaj to pomeni? Na splošno, dejstvo, da Hacker ni treba razvrstiti ne-rednih milijonov kombinacij: z bazo 10-15 milijonov gesel (približno število, vendar blizu resnice) in nadomeščanje samo te kombinacije, lahko kramp skoraj polovico račune na katerem koli spletnem mestu.
V primeru osredotočenega napada na določen račun, poleg baze podatkov, se lahko uporabi enostaven prsi, in sodobna programska oprema vam omogoča, da to storite relativno hitro: geslo 8 znakov se lahko vdrti v nekaj dneh (in Če so ti znaki datum ali kombinacija imena in datumov, ki niso redki - v minutah).
Opomba: Če uporabljate isto geslo za različna mesta in storitve, takoj ko bo vaše geslo in ustrezni e-poštni naslov ogroženi na kateri koli od njih, z uporabo posebnega za isto kombinacijo prijave in gesla, bo testiran na stotine drugih spletnih mest. Na primer, takoj po uhajanju več milijonov gesel Gmail in Yandex ob koncu lanskega leta, val hekiranja izvora računov, pare, Battle.net in Uplay (mislim, in mnogi drugi, preprosto se mi z navedeno Igralne storitve).
Hekerji in prejemajo hash gesla
Večina resnih spletnih mest ne shranjuje vašega gesla v obliki, v kateri veste. V bazi podatkov je shranjen samo hash - rezultat uporabe nepopravljive funkcije (to je iz tega rezultata ni mogoče pridobiti iz svojega gesla) na geslo. Na vhodu na spletno mesto se je hash ponovno izračuna in, če sovpada s tem, kar je shranjeno v bazi podatkov, potem ste pravilno vnesli geslo.
Ker je enostavno uganiti, je hashi, in ne gesla sami samo iz varnostnih razlogov - tako da s potencialnim hekanjem in prejemanjem napadalca baze podatkov, ni mogel uporabiti informacij in izvedeti gesla.
Vendar pa je pogosto, da to storimo:
- Za izračun hash se uporabljajo nekateri algoritmi, večinoma znan in pogost (tj. Vsi jih lahko uporabijo).
- Ob bazah z milijoni gesel (od točke o prsi) je napadalca dostop tudi do kašenja teh gesel, izračunanih z vsemi dostopnimi algoritmi.
- Preslikavajte informacije iz prejete baze podatkov in gesla iz lastne baze, lahko določite, kateri algoritem se uporablja in prepoznana resnična gesla za del vnosov v bazi podatkov s preprosto primerjavo (za vse nedeljak). In sredstvo za gašenje vam bo pomagalo najti preostale edinstvene, vendar kratke gesla.
Kot lahko vidite, trženje obtožb različnih storitev, ki jih ne shranjujejo vaših gesel na svoji spletni strani, ne nujno varujejo pred njegovim uhajanjem.
Spyware Spyware.
Spyware ali Spyware - široko paleto zlonamerne programske opreme, ki je v računalniku (tudi vohunske funkcije lahko vključena v nekakšno potrebno programsko opremo) in zbiranje informacij o uporabniku.Med drugim se lahko uporabijo posamezne vrste vohunske programske opreme (programi, ki sledijo tipkam, ki jih želite klikniti) ali skrite analizatorje prometa (in uporabiti), da dobijo gesla po meri.
Socialna inženiring in vprašanja o obnovitvi gesla
Po Wikipediji nam družbeni inženiring pripoveduje - način dostopa do informacij, ki temeljijo na posebnosti psihologije osebe (tukaj je mogoče pripisati in omeniti zgornji phishing). Na internetu lahko najdete veliko primerov uporabe socialnega inženiringa (priporočam iskanje in branje - zanimivo je), od katerih so nekateri presenetljivi s svojo eleganco. Na splošno se metoda zmanjša na dejstvo, da je mogoče doseči skoraj vse informacije, potrebne za dostop do zaupnih informacij, ki se lahko pridobijo z uporabo šibkosti ljudi.
In dal bom le preprost in ne posebej eleganten gospodinjski primer, ki se nanaša na gesla. Kot veste, na številnih spletnih mestih za obnovitev gesla, je dovolj, da uvede odgovor na testno vprašanje: na kateri šoli ste študirali, dekliško ime matere, vzdevek hišnega ljubljenčka ... Tudi če imate Ne daljših teh informacij na odprt dostop na socialnih omrežjih, kot mislite, da je težko volja s pomočjo istih socialnih omrežij, ki se seznanijo z vami, ali posebej postanejo seznanjeni, nepopustljivo dobili takšne informacije?
Kako ugotoviti, kaj je bilo vaše geslo hacked
No, na koncu članka, več storitev, ki vam omogočajo, da ugotovite, ali je bilo vaše geslo vdrto z usklajevanjem e-poštnega naslova ali uporabniškega imena z geslom podatkovnih baz, ki so bili v Hacker Access. (Jaz me nekoliko presenetim, da je med njimi preveč odstotkov baz podatkov iz rusko govorečih storitev).
- https://haveibeenpwned.com/
- https://breachalm.com/
- https://pwnedlist.com/query.
Ali ste odkrili svoj račun na seznamu znanih hekerjev? Smiselno je, da spremenite geslo, vendar podrobneje o varnih praksah v zvezi z gesla računa bom pisala v prihodnjih dneh.