ในบทความนี้ - ข้อมูลรายละเอียดเกี่ยวกับวิธีการที่สามารถใช้ในการแฮ็ครหัสผ่านที่กำหนดเองและทำไมคุณถึงเสี่ยงต่อการโจมตีดังกล่าว และในตอนท้ายคุณจะพบรายการบริการออนไลน์ที่จะช่วยให้คุณทราบว่ารหัสผ่านของคุณถูกบุกรุกแล้วหรือไม่ นอกจากนี้ยังมี (มีอยู่แล้ว) บทความที่สองในหัวข้อ แต่ฉันแนะนำให้อ่านอ่านจากการตรวจสอบปัจจุบันแล้วไปที่ถัดไป
อัปเดต: พร้อมวัสดุต่อไปนี้คือความปลอดภัยของรหัสผ่านซึ่งอธิบายวิธีการเพิ่มบัญชีและรหัสผ่านให้กับพวกเขา
วิธีการที่ใช้ในการแฮ็ครหัสผ่าน
สำหรับการแฮ็ครหัสผ่านไม่มีเทคนิคต่าง ๆ ที่หลากหลาย เกือบทั้งหมดของพวกเขาเป็นที่รู้จักและการประนีประนอมข้อมูลที่เป็นความลับเกือบจะเกิดขึ้นได้จากการใช้วิธีการหรือการรวมกันของแต่ละคนการฟิชชิ่ง
วิธีที่พบมากที่สุดในวันนี้คือรหัสผ่าน "ชั้นนำ" ของบริการไปรษณีย์ยอดนิยมและเครือข่ายสังคมออนไลน์คือฟิชชิงและวิธีนี้ใช้ได้กับผู้ใช้ที่มีขนาดใหญ่มาก
สาระสำคัญของวิธีการคือคุณตกอยู่ในขณะที่คุณคิดว่าเว็บไซต์ที่คุ้นเคย (ตัวอย่างเช่น Gmail, VC หรือเพื่อนร่วมชั้นเดียวกัน) และด้วยเหตุผลหนึ่งหรืออีกเหตุผลหนึ่งคุณจะถูกขอให้ป้อนชื่อผู้ใช้และรหัสผ่านของคุณ (สำหรับ รายการยืนยันบางสิ่งบางอย่างสำหรับการเปลี่ยนของเขา ฯลฯ ) ทันทีหลังจากป้อนรหัสผ่านกลายเป็นที่ผู้บุกรุก
วิธีนี้เกิดขึ้น: คุณสามารถรับจดหมายได้ซึ่งถูกกล่าวหาว่าจากบริการสนับสนุนซึ่งมีรายงานว่าจำเป็นต้องเข้าสู่บัญชีและลิงค์จะได้รับเมื่อคุณไปที่ไซต์จะเปิดขึ้นเป็นต้นฉบับที่คัดลอกมาอย่างแน่นอน ตัวเลือกเป็นไปได้เมื่อหลังจากการติดตั้งซอฟต์แวร์ที่ไม่พึงประสงค์แบบสุ่มบนคอมพิวเตอร์การตั้งค่าระบบจะมีการเปลี่ยนแปลงในลักษณะที่เมื่อคุณป้อนเบราว์เซอร์ที่อยู่ในแถบที่อยู่คุณจะตกอยู่ในไซต์ฟิชชิ่งในลักษณะเดียวกัน
ดังที่ฉันได้กล่าวไว้ผู้ใช้จำนวนมากเจอสิ่งนี้และมักจะเกี่ยวข้องกับการไม่ตั้งใจ:
- เมื่อได้รับจดหมายซึ่งในรูปแบบเดียวหรืออีกข้อเสนอให้คุณป้อนบัญชีของคุณในเว็บไซต์เฉพาะให้ความสนใจว่าจะถูกส่งจากที่อยู่ของจดหมายในเว็บไซต์นี้: มักใช้ที่อยู่ที่คล้ายกัน ตัวอย่างเช่นแทนที่จะ [email protected] อาจเป็น [email protected] หรือสิ่งที่คล้ายกัน อย่างไรก็ตามที่อยู่ที่ถูกต้องไม่รับประกันเสมอว่าทุกอย่างเป็นระเบียบ
- ก่อนที่คุณจะป้อนรหัสผ่านของคุณดูอย่างระมัดระวังในแถบที่อยู่ของเบราว์เซอร์ ก่อนอื่นควรระบุว่าเว็บไซต์ที่คุณต้องการไป อย่างไรก็ตามในกรณีของซอฟต์แวร์ที่เป็นอันตรายในคอมพิวเตอร์นี้ไม่เพียงพอ มันควรจะจ่ายให้กับการปรากฏตัวของการเข้ารหัสการเชื่อมต่อที่สามารถกำหนดได้โดยใช้โปรโตคอล HTTPS แทน HTTP และรูปภาพของ "Lock" ในแถบที่อยู่โดยคลิกที่คุณสามารถตรวจสอบให้แน่ใจว่าคุณอยู่ในนี้ งาน. ทรัพยากรที่ร้ายแรงเกือบทั้งหมดที่ต้องการเข้าสู่ระบบเพื่อใช้การเข้ารหัส
โดยวิธีการที่ฉันทราบว่าการโจมตีแบบฟิชชิ่งและวิธีการสร้างรหัสผ่าน (อธิบายไว้ด้านล่าง) ไม่ได้หมายความว่าวันนี้ความอุตสาหะที่พยายามอย่างหนักของคนคนหนึ่ง (นั่นคือเขาไม่จำเป็นต้องแนะนำรหัสผ่านล้านด้วยมือ) - ทั้งหมดทำพิเศษ โปรแกรมอย่างรวดเร็วและในปริมาณมากและรายงานความสำเร็จของผู้โจมตี นอกจากนี้โปรแกรมเหล่านี้ไม่สามารถทำงานกับคอมพิวเตอร์ของแฮ็กเกอร์และซ่อนอยู่ในผู้ใช้งานอื่น ๆ ของคุณและหลายพันคนซึ่งในบางครั้งจะเพิ่มประสิทธิภาพของการแฮ็ค
การเลือกรหัสผ่าน
การโจมตีโดยใช้การเลือกรหัสผ่าน (กำลังดุร้ายความแข็งแรงที่หยาบคายในรัสเซีย) ก็เป็นเรื่องธรรมดาอย่างเพียงพอ หากไม่กี่ปีที่ผ่านมาการโจมตีเหล่านี้ส่วนใหญ่มักจะจับการผสมกันทั้งหมดของอักขระชุดหนึ่งเพื่อรวบรวมรหัสผ่านที่มีความยาวแน่นอนแล้วในขณะนี้ทุกอย่างค่อนข้างง่ายกว่า (สำหรับแฮกเกอร์)การวิเคราะห์ของประชาธิปไตยรั่วไหลออกมาในช่วงไม่กี่ปีที่ผ่านมาในปีที่ผ่านมาแสดงให้เห็นว่าน้อยกว่าครึ่งหนึ่งของพวกเขามีเอกลักษณ์ในขณะที่อยู่ในเว็บไซต์เหล่านั้นที่ "สด" ผู้ใช้ที่ไม่มีประสบการณ์ส่วนใหญ่เปอร์เซ็นต์นั้นมีขนาดเล็กอย่างสมบูรณ์
สิ่งนี้หมายความว่า? โดยทั่วไปแล้วความจริงที่ว่าแฮ็กเกอร์ไม่จำเป็นต้องแยกแยะการผสมผสานหลายล้านครั้งต่อเนื่อง: มีฐาน 10-15 ล้านรหัสผ่าน (จำนวนโดยประมาณ แต่ใกล้กับความจริง) และแทนที่เฉพาะชุดค่าผสมเหล่านี้เท่านั้นมันสามารถแฮ็คได้เกือบครึ่งหนึ่งของ บัญชีในเว็บไซต์ใด ๆ
ในกรณีของการโจมตีที่มุ่งเน้นในบัญชีเฉพาะนอกเหนือไปจากฐานข้อมูลหน้าอกที่เรียบง่ายสามารถใช้งานได้ง่ายและซอฟต์แวร์ที่ทันสมัยช่วยให้คุณสามารถทำได้อย่างรวดเร็ว: รหัสผ่านของ 8 ตัวอักษรสามารถแฮ็กในเวลาไม่กี่วัน (และ หากอักขระเหล่านี้เป็นวันที่หรือการรวมกันของชื่อและวันที่ที่ไม่ใช่เรื่องแปลก - ในไม่กี่นาที)
บันทึก:หากคุณใช้รหัสผ่านเดียวกันสำหรับไซต์และบริการต่าง ๆ ทันทีที่รหัสผ่านของคุณและที่อยู่อีเมลที่เกี่ยวข้องจะถูกประนีประนอมกับพวกเขาใด ๆ โดยใช้ชุดพิเศษสำหรับการเข้าสู่ระบบและรหัสผ่านเดียวกันมันจะถูกทดสอบในหลายร้อยของ เว็บไซต์อื่น ๆ ตัวอย่างเช่นทันทีหลังจากการรั่วไหลของรหัสผ่านหลายล้านรหัส Gmail และ Yandex ในตอนท้ายของปีที่แล้วคลื่นของการแฮ็คบัญชีต้นทาง, Steam, Battle.net และ Uplay (ฉันคิดว่าและอื่น ๆ อีกมากมายพูดถึงฉันด้วยการระบุ บริการเล่นเกม.
เว็บไซต์แฮ็คและรับรหัสผ่านแฮช
เว็บไซต์ที่จริงจังส่วนใหญ่ไม่เก็บรหัสผ่านของคุณในแบบฟอร์มที่คุณรู้ มีเพียงแฮชเท่านั้นที่เก็บไว้ในฐานข้อมูล - ผลลัพธ์ของการใช้ฟังก์ชั่นที่ไม่สามารถย้อนกลับได้ (นั่นคือจากผลลัพธ์นี้ไม่สามารถรับได้จากรหัสผ่านของคุณอีกครั้ง) ไปยังรหัสผ่าน ที่ทางเข้าเว็บไซต์ของคุณแฮชจะถูกคำนวณใหม่และหากสอดคล้องกับสิ่งที่เก็บไว้ในฐานข้อมูลแล้วคุณป้อนรหัสผ่านอย่างถูกต้อง
เนื่องจากเป็นเรื่องง่ายที่จะคาดเดามันคือ Hashi และไม่ใช่รหัสผ่านของตัวเองเพียงเพื่อเหตุผลด้านความปลอดภัย - เพื่อให้มีการแฮ็คที่มีศักยภาพและการรับผู้โจมตีฐานข้อมูลเขาไม่สามารถใช้ข้อมูลและค้นหารหัสผ่านได้
อย่างไรก็ตามค่อนข้างบ่อยที่จะทำมันสามารถ:
- ในการคำนวณแฮชอัลกอริทึมบางอย่างจะถูกใช้เป็นที่รู้จักและทั่วไปส่วนใหญ่ (I. ทุกคนสามารถใช้งานได้)
- มีฐานที่มีรหัสผ่านนับล้าน (จากจุดหนึ่งเกี่ยวกับหน้าอก) ผู้โจมตียังสามารถเข้าถึงแฮชของรหัสผ่านเหล่านี้ที่คำนวณโดยอัลกอริทึมที่เข้าถึงได้ทั้งหมด
- ข้อมูลการทำแผนที่จากฐานข้อมูลที่ได้รับและการแฮชรหัสผ่านจากฐานของตัวเองคุณสามารถกำหนดอัลกอริทึมที่ใช้และรับรู้รหัสผ่านจริงสำหรับส่วนหนึ่งของรายการในฐานข้อมูลโดยการเปรียบเทียบอย่างง่าย (สำหรับ undesiotic ทั้งหมด) และวิธีการดับไฟจะช่วยให้คุณค้นหาส่วนที่เหลือของรหัสผ่านที่ไม่เหมือนใคร แต่สั้น
อย่างที่คุณเห็นข้อกล่าวหาการตลาดของบริการต่าง ๆ ที่พวกเขาไม่เก็บรหัสผ่านของคุณบนเว็บไซต์ของพวกเขาไม่จำเป็นต้องปกป้องคุณจากการรั่วไหลของเขา
สปายแวร์สปายแวร์
สปายแวร์หรือสปายแวร์ - ซอฟต์แวร์ที่เป็นอันตรายที่หลากหลายที่ติดตั้งในคอมพิวเตอร์ (นอกจากนี้ยังสามารถรวมฟังก์ชั่นสอดแนมได้ในซอฟต์แวร์ที่จำเป็นบางประเภท) และรวบรวมข้อมูลเกี่ยวกับผู้ใช้เหนือสิ่งอื่นใดสปายแวร์แต่ละประเภทเช่น Keyloggers (โปรแกรมที่ติดตามกุญแจที่คุณคลิก) หรือสามารถใช้เครื่องวิเคราะห์การจราจรที่ซ่อนอยู่ (และใช้งาน) เพื่อรับรหัสผ่านที่กำหนดเอง
คำถามการกู้คืนวิศวกรรมสังคมและรหัสผ่าน
ตามที่ Wikipedia วิศวกรรมโซเชียลกำลังบอกเรา - วิธีการเข้าถึงข้อมูลตามลักษณะเฉพาะของจิตวิทยาของบุคคล (ที่นี่สามารถนำมาประกอบและกล่าวถึงฟิชชิ่งที่สูงกว่า) บนอินเทอร์เน็ตคุณสามารถค้นหาตัวอย่างมากมายของการใช้ Social Engineering (ฉันแนะนำให้ค้นหาและอ่าน - น่าสนใจ) บางคนที่โดดเด่นด้วยความสง่างามของพวกเขา ในแง่ทั่วไปวิธีการลดลงถึงความจริงที่ว่าเกือบทุกข้อมูลที่จำเป็นในการเข้าถึงข้อมูลที่เป็นความลับสามารถรับได้โดยใช้ความอ่อนแอของมนุษย์
และฉันจะให้เพียงตัวอย่างในครัวเรือนที่เรียบง่ายและไม่เป็นพิเศษที่เกี่ยวข้องกับรหัสผ่าน อย่างที่คุณทราบว่าในหลาย ๆ ไซต์เพื่อกู้คืนรหัสผ่านก็เพียงพอที่จะแนะนำคำตอบสำหรับคำถามการทดสอบ: ที่โรงเรียนที่คุณเรียนนามสกุลของแม่ชื่อเล่นของสัตว์เลี้ยง ... แม้ว่าคุณจะมี ไม่ได้วางข้อมูลนี้อีกต่อไปในการเข้าถึงเครือข่ายโซเชียลอย่างที่คุณคิดว่ามันเป็นเรื่องยากที่จะได้รับความช่วยเหลือจากเครือข่ายสังคมเดียวกันที่คุ้นเคยกับคุณหรือเป็นพิเศษการทำความคุ้นเคยกับการได้รับข้อมูลดังกล่าวโดยไม่ได้รับข้อมูลดังกล่าว
วิธีการค้นหารหัสผ่านของคุณถูกแฮ็ก
ในตอนท้ายของบทความบริการหลายอย่างที่ช่วยให้คุณทราบว่ารหัสผ่านของคุณถูกแฮ็คโดยการคืนดีที่อยู่อีเมลหรือชื่อผู้ใช้ด้วยฐานข้อมูลรหัสผ่านที่อยู่ในการเข้าถึงแฮกเกอร์ (ฉันทำให้ฉันประหลาดใจเล็กน้อยในหมู่พวกเขามากเกินไปร้อยละของฐานข้อมูลจากบริการที่ใช้ภาษารัสเซีย)
- https://haveibeenpwned.com/
- https://breachalarm.com/
- https://pwnedlist.com/query
คุณค้นพบบัญชีของคุณในรายการแฮกเกอร์ที่มีชื่อเสียงหรือไม่? มันสมเหตุสมผลที่จะเปลี่ยนรหัสผ่าน แต่ในรายละเอียดเพิ่มเติมเกี่ยวกับการปฏิบัติที่ปลอดภัยเกี่ยวกับรหัสผ่านของบัญชีฉันจะเขียนในอีกไม่กี่วันข้างหน้า