在本文中 - 有关哪些方法可用于攻击自定义密码的详细信息以及为什么您容易受到此类攻击的影响。最后,您将找到一个在线服务列表,可以允许您了解您的密码是否已被泄露。还有(已经存在)关于该主题的第二篇文章,但我建议阅读从当前审查的阅读,然后转到下一个。
更新:READY以下材料是密码的安全性,介绍如何将其帐户和密码最大化到它们。
用哪些方法用于破解密码
对于黑客密码,没有这种多种各种技术。几乎所有这些都是已知的,并且通过使用单独的方法或其组合来实现机密信息的任何折衷。网络钓鱼
今天是流行邮政服务和社交网络的“领先”密码的最常见方式是网络钓鱼,并且这种方法为一大百分比的用户工作。
该方法的本质是您认为,如您所熟悉的站点(例如,相同的Gmail,VC或同学),以及一个原因,您被要求输入您的用户名和密码(用于进入,确认某事,为他的转移等)。进入密码后立即生成入侵者。
怎么发生以下情况:您可以收到一封信,据称从支持服务中报告的是输入帐户的需要,并且当您转到该网站打开时,恰好复制原稿时,给出了链接。在计算机上随机安装在计算机上的不良软件之后,系统设置会以这样的方式更改,即在地址栏中输入地址浏览器时,您实际上以完全相同的方式落在网络钓鱼网站上。
正如我所指出的那样,很多用户遇到了这一点,通常它与疏忽有关:
- 收到这封信后,其中以一种形式或其他形式提供您在特定网站上输入您的帐户,请注意它是否已从本网站上的邮件的地址发送:通常使用类似的地址。例如,而不是[email protected],可能是[email protected]或类似的东西。但是,正确的地址并不总是保证一切都是有序的。
- 在输入密码之前,请仔细查看浏览器的地址栏。首先,应该指定您要去的网站。但是,在计算机上的恶意软件的情况下,这还不够。它也应该支付给连接加密的存在,这些连接加密可以使用HTTPS协议而不是HTTP和地址栏中“锁定”的图像来确定,通过单击,您可以确保您正在进行中网站。几乎所有需要登录以使用加密的严重资源。
顺便说一下,我注意到,网络钓鱼攻击和密码生成方法(下面描述)并不意味着今天一个人的艰苦工作(即,他不需要用手介绍一百万个密码) - 所有人都是特别的节目,快速和大卷,然后报告攻击者的成功。此外,这些程序无法在黑客计算机上工作,并隐藏在您和数千个其他用户身上,有时会增加黑客攻击的有效性。
选择密码
使用密码选择的攻击(蛮力,俄罗斯的粗鲁强度)也充分普遍。如果几年前,大多数这些攻击都是真正破坏了一组字符的所有组合来编制一定长度的密码,然后在一切都有点简单(黑客)。近年来泄漏的人口泄露的分析表明,少于一半是独一无二的,而在“生活”主要是经验丰富的用户的那些网站上,百分比是完全小的。
这是什么意思?一般来说,黑客不需要整理非规则数百万组合的事实:具有10-15万密码的基础(近似数量,但接近真相)并仅代替这些组合,它可以破解几乎一半任何网站上的帐户。
在专注于特定账户的攻击的情况下,除了数据库之外,还可以使用简单的胸像,而现代软件允许您相对迅速地进行:8个字符的密码可以在几天内被攻击(和如果这些字符是日期或名称和日期的组合,在几分钟内)。
注意:如果您使用的是各种站点和服务的相同密码,就在密码和相应的电子邮件地址将受到损害,则使用特殊的登录名和密码组合,它将在数百个中进行测试其他网站。例如,在去年年底泄露了数百万密码Gmail和Yandex的泄露后,蒸汽,蒸汽,Battle.net和Uplay(我想,以及许多其他人的浪潮只是向我呼吁指定游戏服务)。
黑客网站和接收哈希密码
大多数严重站点不会以您了解的形式存储您的密码。只有哈希存储在数据库中 - 应用不可逆转函数的结果(即,从此结果中不能再次从您的密码获取密码)。在您的入口处,哈希被重新计算,如果它与存储在数据库中的内容一致,那么您已正确输入密码。
由于很容易猜到,它是Hashi,而不是用于安全原因的密码,因此在潜在的黑客攻击和收到数据库攻击者,他无法使用这些信息并找出密码。
但是,经常是这样做它可以:
- 为了计算哈希,使用某些算法,大多是已知和常见的(即每个人都可以使用它们)。
- 具有数百万密码的基础(从胸围的点),攻击者还可以访问由所有可访问算法计算的这些密码的散列。
- 从收到的数据库和散列密码从自己的基础映射信息,您可以通过简单的比较(适用于所有未使用的未使用性)来确定将哪些算法用于数据库中的一部分条目的真实密码。灭火的手段将有助于您了解其余的独特但短的密码。
正如您所看到的,营销对他们网站上密码存储密码的各种服务的营销指控,并不一定保护您免受泄漏。
间谍软件间谍软件
间谍软件或间谍软件 - 在计算机上隐藏的广泛的恶意软件(也可以包含在某种必要的软件中的间谍功能)并收集有关用户的信息。除此之外,可以使用单独的间谍软件,例如键盘转换器(跟踪您单击的键的程序)或隐藏的流量分析器的程序(和使用)以获取自定义密码。
社会工程和密码恢复问题
根据维基百科的说法,社会工程正在告诉我们 - 基于人心理学的特性获取信息的方法(这里可以归因于上述网络钓鱼)。在互联网上,您可以找到许多使用社交工程的例子(我建议在搜索和阅读 - 它很有趣),其中一些人以他们的优雅引人注目。通常,该方法减少到可以使用人类弱点获得访问机密信息所需的几乎任何信息的事实。
我将只提供与密码相关的简单而不是特别优雅的家庭示例。如您所知,在许多站点恢复密码时,它足以向测试问题引入答案:在您学习的哪个学校,母亲的少女姓名,宠物的昵称...即使您有不再将这些信息放在社交网络上的开放式访问中,如您愿意在同一社交网络的帮助下,熟悉您的困难,或者特别熟悉,不引人注目地获得此类信息?
如何了解您的密码被黑客攻击
嗯,在文章的末尾,几个服务允许您通过在黑客访问中的密码数据库重新调用您的电子邮件地址或用户名来查找您的密码。 (我略微惊喜,其中俄语服务中的数据库百分比太大)。
- https://haveibeenpwned.com/
- https://breachalarm.com/
- https://pwnedlist.com/query。
您是否在着名黑客列表中发现了您的帐户?更改密码是有道理的,但更详细地了解有关帐户密码的安全实践我将在未来几天写入。