Në këtë artikull - informacion të detajuar mbi të cilat metodat mund të përdoren për të kollon fjalëkalime me porosi dhe pse jeni të prekshëm ndaj sulme të tilla. Dhe në fund ju do të gjeni një listë të shërbimeve online që do t'ju lejojë të gjeni nëse fjalëkalimi juaj tashmë është komprometuar. Gjithashtu do të ketë (tashmë) artikullin e dytë mbi temën, por unë rekomandoj leximin e leximit nga rishikimi aktual, dhe pastaj të shkosh në një tjetër.
Update: gati materiale në vijim është siguria e fjalëkalimeve, e cila përshkruan se si të maksimizohen llogaritë dhe fjalëkalimet e tyre.
Cilat metoda përdoren për të hack fjalëkalimet
Për fjalëkalimet e hacking, nuk ka një gamë të tillë të gjerë të teknikave të ndryshme. Pothuajse të gjithë janë të njohur dhe pothuajse çdo kompromis i informacionit konfidencial arrihet përmes përdorimit të metodave ose kombinimeve individuale të tyre.Phishing
Mënyra më e zakonshme për të cilën sot është "udhëheqës" fjalëkalimet e shërbimeve të njohura postare dhe rrjeteve sociale është phishing, dhe kjo metodë punon për një përqindje shumë të madhe të përdoruesve.
Thelbi i metodës është që ju të bini, siç mendoni, një vend i njohur (i njëjti Gmail, VC ose shokët e klasës, për shembull), dhe për një arsye ose një tjetër, ju kërkohet të shkruani emrin e përdoruesit dhe fjalëkalimin (për Hyrja, konfirmimi i diçkaje, për ndryshimin e tij, etj.). Menjëherë pas hyrjes në fjalëkalim rezulton të jetë në ndërhyrës.
Si ndodh kjo: Ju mund të merrni një letër, thuhet se nga shërbimi mbështetës, i cili është raportuar për nevojën për të hyrë në llogarinë dhe lidhja është dhënë, kur shkoni në të cilin hapet faqja, e kopjuar saktësisht origjinale. Një opsion është i mundur kur pas një instalimi të rastësishëm të softuerit të padëshirueshëm në një kompjuter, cilësimet e sistemit ndryshohen në një mënyrë të tillë kur të hyni në shfletuesin e adresës në shiritin e adresës, në të vërtetë bien në faqen e phishing në të njëjtën mënyrë.
Siç e kam vërejtur, shumë përdorues vijnë në këtë, dhe zakonisht është e lidhur me hidhërim:
- Pas marrjes së letrës, e cila në një formë ose në një tjetër ju ofron të futni llogarinë tuaj në një vend të caktuar, t'i kushtoni vëmendje nëse është dërguar nga adresa e postës në këtë faqe: përdoren zakonisht adresa të ngjashme. Për shembull, në vend të mbë[email protected], mund të jetë [email protected] ose diçka e ngjashme. Megjithatë, adresa e saktë nuk garanton gjithmonë se gjithçka është në rregull.
- Para se të shkruani fjalëkalimin tuaj, shikoni me kujdes në shiritin e adresës së shfletuesit. Para së gjithash, duhet të specifikohet se faqja që dëshironi të shkoni. Megjithatë, në rastin e softuerit me qëllim të keq në kompjuter, kjo nuk është e mjaftueshme. Duhet gjithashtu të paguhet në praninë e një encryption lidhje që mund të përcaktohet duke përdorur protokollin HTTPS në vend të HTTP dhe imazhin e "bllokimit" në shiritin e adresës, duke klikuar në të cilën ju mund të siguroheni që jeni në këtë faqe. Pothuajse të gjitha burimet serioze që kërkojnë identifikimin për të përdorur encryption.
Nga rruga, vërej se sulmet phishing dhe metodat e gjenerimit të fjalëkalimeve (të përshkruara më poshtë) nuk do të thotë sot puna e fuqishme e fuqishme e një personi (dmth. Ai nuk ka nevojë për të futur një milion fjalëkalime me dorë) - të gjithë bëjnë të veçantë Programet, shpejt dhe në vëllime të mëdha dhe pastaj raportojnë për suksesin e sulmuesit. Për më tepër, këto programe nuk mund të punojnë në kompjuterin e hacker dhe të fshehur në tuaj dhe mijëra përdorues të tjerë, të cilët herë pas here rritë efektivitetin e piraterisë.
Përzgjedhja e fjalëkalimeve
Sulmet duke përdorur përzgjedhjen e fjalëkalimeve (forca brutale, forca e vrazhdë në rusisht) është gjithashtu mjaft e zakonshme. Nëse disa vjet më parë, shumica e këtyre sulmeve ishin me të vërtetë duke goditur të gjitha kombinimet e një grupi të caktuar të karaktereve për të përpiluar fjalëkalime me një gjatësi të caktuar, pastaj për momentin gjithçka është disi më e thjeshtë (për hakerët).Analiza e populats të rrjedhura në vitet e fundit në vitet e fundit tregon se më pak se gjysma e tyre janë unike, ndërsa në ato vende ku "jetojnë" kryesisht përdoruesit e papërvojë, përqindja është krejtësisht e vogël.
Çfarë do të thotë kjo? Në përgjithësi, fakti që haker nuk ka nevojë për të zgjidhur miliona të jo të rregullt të kombinimeve: duke pasur një bazë prej 10-15 milion fjalëkalime (numri i përafërt, por afër të vërtetës) dhe duke zëvendësuar vetëm këto kombinime, ajo mund të hack pothuajse gjysmën e tyre llogaritë në çdo vend.
Në rastin e një sulmi të fokusuar në një llogari të caktuar, përveç bazës së të dhënave, mund të përdoret busti i thjeshtë dhe softueri modern ju lejon të bëni atë relativisht shpejt: fjalëkalimi prej 8 karakteresh mund të hackohet në një çështje ditësh (dhe Nëse këto karaktere janë një datë ose një kombinim i emrit dhe datave që nuk janë të pazakonta - në minuta).
Shënim: Nëse jeni duke përdorur të njëjtin fjalëkalim për faqet dhe shërbimet e ndryshme, sapo fjalëkalimi juaj dhe adresa e emailit përkatës do të kompromentohen në ndonjë prej tyre, duke përdorur të veçantë për të njëjtën kombinim të identifikimit dhe fjalëkalimit, do të testohet në qindra vende të tjera. Për shembull, menjëherë pas rrjedhjes së disa milion fjalëkalimeve Gmail dhe Yandex në fund të vitit të kaluar, vala e hacking e llogarive të origjinës, avull, betejë.net dhe uplay (unë mendoj, dhe shumë të tjerë, thjesht më bëri thirrje me të specifikuara Shërbimet e lojrave).
Hacking faqet dhe marrjen e fjalëkalimeve hash
Shumica e vendeve të rënda nuk e ruajnë fjalëkalimin tuaj në formën në të cilën e dini. Vetëm hash është ruajtur në bazën e të dhënave - rezultati i aplikimit të një funksioni të pakthyeshëm (që është, nga ky rezultat nuk mund të merret përsëri nga fjalëkalimi juaj) në fjalëkalim. Në hyrjen tuaj në vend, hash është ri-llogaritet dhe, nëse përkon me atë që ruhet në bazën e të dhënave, atëherë ju keni futur fjalëkalimin në mënyrë korrekte.
Pasi që është e lehtë për të supozuar, është Hashi, dhe jo fjalëkalimet vetë vetëm për arsye sigurie - në mënyrë që me një hacking potencial dhe marrjen e sulmuesit të bazës së të dhënave, ai nuk mund të përdorë informacionin dhe të zbulojë fjalëkalimet.
Megjithatë, mjaft shpesh, për të bërë atë mund të:
- Për të llogaritur hash, përdoren disa algoritme, të njohura dhe të zakonshme (i.E. të gjithë mund t'i përdorin ato).
- Duke pasur baza me miliona fjalëkalime (nga pika në lidhje me bustin), sulmuesi gjithashtu ka qasje në hash të këtyre fjalëkalimeve të llogaritur nga të gjitha algoritmet e qasshme.
- Hartimi i informacionit nga baza e të dhënave të pranuara dhe fjalëkalimet e hashing nga baza e vet, ju mund të përcaktoni se cili algoritëm është përdorur dhe njohur fjalëkalimet reale për një pjesë të shënimeve në bazën e të dhënave me krahasim të thjeshtë (për të gjithë undesiotik). Dhe mjetet e shuarjes do t'ju ndihmojnë të gjeni pjesën tjetër të fjalëkalimeve unike, por të shkurtra.
Siç mund ta shihni, tregimet e marketingut për shërbime të ndryshme që ata nuk i ruajnë fjalëkalimet tuaja në faqen e tyre të internetit, nuk ju mbrojnë domosdoshmërisht nga rrjedhja e tij.
Spyware spyware
Spyware ose Spyware - një gamë të gjerë të softuerit me qëllim të keq që është instaluar fshehur në një kompjuter (gjithashtu funksionet e spiunazhit mund të përfshihen në një lloj softueri të nevojshëm) dhe mbledhjen e informacionit për përdoruesit.Ndër të tjera, llojet individuale të spyware, për shembull, keyloggers (programe që ndjekin çelësat që klikoni) ose analizuesit e fshehtë të trafikut mund të përdoren (dhe të përdoren) për të marrë fjalëkalime me porosi.
Inxhinieri Sociale dhe Pyetjet e Rimëkëmbjes së Fjalëkalimit
Sipas Wikipedia, inxhinieri sociale na tregon - metodën e qasjes në informacionin e bazuar në veçoritë e psikologjisë së një personi (këtu mund të atribuohet dhe përmendur më lart phishing). Në internet ju mund të gjeni shumë shembuj të përdorimit të inxhinierisë sociale (unë rekomandoj kërkimin dhe leximin - është interesante), disa prej të cilëve janë të habitur me elegancën e tyre. Në terma të përgjithshëm, metoda është zvogëluar në faktin se pothuajse çdo informacion i nevojshëm për të hyrë në informacionin konfidencial mund të merret duke përdorur dobësinë njerëzore.
Dhe unë do të jap vetëm një shembull të thjeshtë dhe jo veçanërisht elegant të familjes që lidhet me fjalëkalimet. Siç e dini, në shumë vende për të rivendosur fjalëkalimin, është e mjaftueshme për të futur një përgjigje në pyetjen e testimit: Në cilën shkollë keni studiuar, emri i vajzërisë së nënës, pseudonimi i një kafshe ... Edhe nëse keni Nuk e vendosën më këtë informacion në qasje të hapur në rrjetet sociale, pasi mendoni se është e vështirë me ndihmën e të njëjtave rrjete sociale, duke qenë të njohur me ju, ose posaçërisht duke u njohur, duke u njohur në mënyrë të pabarabartë?
Si të gjeni se çfarë është hacked fjalëkalimi juaj
E pra, në fund të artikullit, disa shërbime që ju lejojnë të gjeni nëse fjalëkalimi juaj është hacked duke pajtuar adresën tuaj të postës elektronike ose emrin e përdoruesit me bazat e të dhënave të fjalëkalimeve që kanë qenë në qasje të hakerëve. (Unë më befasoj pak se në mesin e tyre shumë përqindje të bazave të të dhënave nga shërbimet ruse-folëse).
- https://havebeenpwned.com/
- https://breachalarm.com/
- https://pwnedlist.com/query.
A keni zbuluar llogarinë tuaj në listën e hakerëve të famshëm? Ka kuptim për të ndryshuar fjalëkalimin, por më hollësisht për praktikat e sigurta në lidhje me fjalëkalimet e llogarisë unë do të shkruaj në ditët e ardhshme.