在本文中 - 有關哪些方法可用於攻擊自定義密碼的詳細信息以及為什麼您容易受到此類攻擊的影響。最後,您將找到一個在線服務列表,可以允許您了解您的密碼是否已被洩露。還有(已經存在)關於該主題的第二篇文章,但我建議閱讀從當前審查的閱讀,然後轉到下一個。
更新:READY以下材料是密碼的安全性,介紹如何將其帳戶和密碼最大化到它們。
用哪些方法用於破解密碼
對於黑客密碼,沒有這種多種各種技術。幾乎所有這些都是已知的,並且通過使用單獨的方法或其組合來實現機密信息的任何折衷。網絡釣魚
今天是流行郵政服務和社交網絡的“領先”密碼的最常見方式是網絡釣魚,並且這種方法為一大百分比的用戶工作。
該方法的本質是您認為,如您所熟悉的站點(例如,相同的Gmail,VC或同學),以及一個原因,您被要求輸入您的用戶名和密碼(用於進入,確認某事,為他的轉移等)。進入密碼後立即生成入侵者。
怎麼發生以下情況:您可以收到一封信,據稱從支持服務中報告的是輸入帳戶的需要,並且當您轉到該網站打開時,恰好複製原稿時,給出了鏈接。在計算機上隨機安裝在計算機上的不良軟件之後,系統設置會以這樣的方式更改,即在地址欄中輸入地址瀏覽器時,您實際上以完全相同的方式落在網絡釣魚網站上。
正如我所指出的那樣,很多用戶遇到了這一點,通常它與疏忽有關:
- 收到這封信後,其中以一種形式或其他形式提供您在特定網站上輸入您的帳戶,請注意它是否已從本網站上的郵件的地址發送:通常使用類似的地址。例如,而不是[email protected],可能是[email protected]或類似的東西。但是,正確的地址並不總是保證一切都是有序的。
- 在輸入密碼之前,請仔細查看瀏覽器的地址欄。首先,應該指定您要去的網站。但是,在計算機上的惡意軟件的情況下,這還不夠。它也應該支付給連接加密的存在,這些連接加密可以使用HTTPS協議而不是HTTP和地址欄中“鎖定”的圖像來確定,通過單擊,您可以確保您正在進行中地點。幾乎所有需要登錄以使用加密的嚴重資源。
順便說一下,我注意到,網絡釣魚攻擊和密碼生成方法(下面描述)並不意味著今天一個人的艱苦工作(即,他不需要用手介紹一百萬個密碼) - 所有人都是特別的節目,快速和大卷,然後報告攻擊者的成功。此外,這些程序無法在黑客計算機上工作,並隱藏在您和數千個其他用戶身上,有時會增加黑客攻擊的有效性。
選擇密碼
使用密碼選擇的攻擊(蠻力,俄羅斯的粗魯強度)也充分普遍。如果幾年前,大多數這些攻擊都是真正破壞了一組字符的所有組合來編制一定長度的密碼,然後在一切都有點簡單(黑客)。近年來洩漏的人口洩露的分析表明,少於一半是獨一無二的,而在“生活”主要是經驗豐富的用戶的那些網站上,百分比是完全小的。
這是什麼意思?一般來說,黑客不需要整理非規則數百萬組合的事實:具有10-15萬密碼的基礎(近似數量,但接近真相)並僅代替這些組合,它可以破解幾乎一半任何網站上的帳戶。
在專注於特定賬戶的攻擊的情況下,除了數據庫之外,還可以使用簡單的胸像,而現代軟件允許您相對迅速地進行:8個字符的密碼可以在幾天內被攻擊(和如果這些字符是日期或名稱和日期的組合,在幾分鐘內)。
筆記:如果您使用的是各種站點和服務的相同密碼,就在密碼和相應的電子郵件地址將受到損害,則使用特殊的登錄名和密碼組合,它將在數百個中進行測試其他網站。例如,在去年年底洩露了數百萬密碼Gmail和Yandex的洩露後,蒸汽,蒸汽,Battle.net和Uplay(我想,以及許多其他人的浪潮只是向我呼籲指定遊戲服務)。
黑客網站和接收哈希密碼
大多數嚴重站點不會以您了解的形式存儲您的密碼。只有哈希存儲在數據庫中 - 應用不可逆轉函數的結果(即,從此結果中不能再次從您的密碼獲取密碼)。在您的入口處,哈希被重新計算,如果它與存儲在數據庫中的內容一致,那麼您已正確輸入密碼。
由於很容易猜到,它是Hashi,而不是用於安全原因的密碼,因此在潛在的黑客攻擊和收到數據庫攻擊者,他無法使用這些信息並找出密碼。
但是,經常是這樣做它可以:
- 為了計算哈希,使用某些算法,大多是已知和常見的(即每個人都可以使用它們)。
- 具有數百萬密碼的基礎(從胸圍的點),攻擊者還可以訪問由所有可訪問算法計算的這些密碼的散列。
- 從收到的數據庫和散列密碼從自己的基礎映射信息,您可以通過簡單的比較(適用於所有未使用的未使用性)來確定將哪些算法用於數據庫中的一部分條目的真實密碼。滅火的手段將有助於您了解其餘的獨特但短的密碼。
正如您所看到的,營銷對他們網站上密碼存儲密碼的各種服務的營銷指控,並不一定保護您免受洩漏。
間諜軟件間諜軟件
間諜軟件或間諜軟件 - 在計算機上隱藏的廣泛的惡意軟件(也可以包含在某種必要的軟件中的間諜功能)並收集有關用戶的信息。除此之外,可以使用單獨的間諜軟件,例如鍵盤轉換器(跟踪您單擊的鍵的程序)或隱藏的流量分析器的程序(和使用)以獲取自定義密碼。
社會工程和密碼恢復問題
根據維基百科的說法,社會工程正在告訴我們 - 基於人心理學的特性獲取信息的方法(這裡可以歸因於上述網絡釣魚)。在互聯網上,您可以找到許多使用社交工程的例子(我建議在搜索和閱讀 - 它很有趣),其中一些人以他們的優雅引人注目。通常,該方法減少到可以使用人類弱點獲得訪問機密信息所需的幾乎任何信息的事實。
我將只提供與密碼相關的簡單而不是特別優雅的家庭示例。如您所知,在許多站點恢復密碼時,它足以向測試問題引入答案:在您學習的哪個學校,母親的少女姓名,寵物的暱稱...即使您有不再將這些信息放在社交網絡上的開放式訪問中,如您願意在同一社交網絡的幫助下,熟悉您的困難,或者特別熟悉,不引人注目地獲得此類信息?
如何了解您的密碼被黑客攻擊
嗯,在文章的末尾,幾個服務允許您通過在黑客訪問中的密碼數據庫重新調用您的電子郵件地址或用戶名來查找您的密碼。 (我略微驚喜,其中俄語服務中的數據庫百分比太大)。
- https://haveibeenpwned.com/
- https://breachalarm.com/
- https://pwnedlist.com/query。
您是否在著名黑客列表中發現了您的帳戶?更改密碼是有道理的,但更詳細地了解有關帳戶密碼的安全實踐我將在未來幾天寫入。