Kaip jūsų slaptažodis gali nulaužti
- 1005
- 60
- Eugene Fadel
Slaptažodžių įsilaužimas, kad ir kokie slaptažodžiai, nuo pašto, internetinės bankininkystės, „Wi-Fi“ ar iš kontaktinių paskyrų ir klasės draugų, neseniai tapo įprastu įvykiu. Tai daugiausia lemia tai, kad vartotojai nesilaiko pakankamai paprastų saugos taisyklių kurdami, saugodami ir naudojdami slaptažodžius. Bet tai nėra vienintelė priežastis, dėl kurios slaptažodžiai gali patekti į netinkamas rankas.
Šiame straipsnyje pateikiama išsami informacija apie tai, kokie metodai gali būti naudojami norint nulaužti vartotojo slaptažodžius, ir kodėl esate pažeidžiami tokių atakų. Galų gale rasite internetinių paslaugų sąrašą, kuris leis jums sužinoti, ar jūsų slaptažodis jau buvo pakenktas. Taip pat bus (jau) antrasis straipsnis šia tema, tačiau aš rekomenduoju pradėti skaityti tiksliai iš dabartinės apžvalgos ir tik tada pereiti prie kito.
ATNAUJINIMAS: Ši medžiaga yra paruošta -apie slaptažodžių saugumą, kuriame aprašoma, kaip maksimaliai joms apsaugoti jūsų paskyras ir slaptažodžius.
Kokie metodai naudojami norint nulaužti slaptažodžius
Naudojant slaptažodžius, naudojamas ne toks platus įvairių metodų rinkinys. Beveik visi jie yra žinomi ir beveik bet koks kompromisas dėl konfidencialios informacijos pasiekiama naudojant atskirus metodus ar jų derinius.
Žvejyba
Dažniausias būdas, kuriam šiandien „vadovauja“ populiarių pašto paslaugų ir socialinių tinklų slaptažodžiai, yra sukčiavimas, ir šis metodas veikia labai didelę dalį vartotojų.
Metodo esmė yra ta, kad jūs, kaip jūs manote, jūs, kaip jūs manote, yra pažįstama svetainė (pvz. ką nors patvirtinti, dėl jo pokyčių ir t.P.). Iškart po įrašo slaptažodis yra užpuolikams.
Kaip tai atsitinka: tariamai galite gauti laišką iš palaikymo paslaugos, kurioje pranešama apie poreikį įvesti paskyrą, o atidarius svetainę pateikiama nuoroda, tiksliai nukopijuojant originalą. Galima parinktis, kai, atsitiktinai įdiegus nepageidaujamą programinę įrangą kompiuteryje, sistemos nustatymai keičiasi taip, kad kai jums reikia svetainės adreso svetainė.
Kaip jau pastebėjau, daugelis vartotojų su tuo susiduria, ir dažniausiai taip yra dėl nemalonumo:
- Gavę laišką, kuris vienoki. Pavyzdžiui, vietoj [email protected], galbūt [email protected] ar kažkas panašaus. Tačiau teisingas adresas ne visada garantuoja, kad viskas yra tvarkinga.
- Prieš įvesdami slaptažodį bet kur, atidžiai pažiūrėkite į naršyklės adresų juostą. Visų pirma, svetainė, kurią norite ten apsilankyti. Tačiau kenkėjiškos programinės įrangos atveju to nepakanka. Taip pat turėtumėte atkreipti dėmesį į ryšio šifravimą, kurį galima nustatyti naudojant HTTPS protokolą, o ne HTTP ir „Lock“ vaizdą adresų eilutėje, paspausdami, kuriam galite įsitikinti kad esate šioje svetainėje. Beveik visi rimti ištekliai, reikalaujantys įeiti į šifravimą.
Beje, čia atkreipiu dėmesį, kad tiek sukčiavimo apsimetant atakos, tiek slaptažodžių metodai (aprašyti žemiau) šiandien nereiškia kruopštų niūrų vieno asmens (t) darbo (t).e. Jam nereikia rankiniu būdu įvesti milijono slaptažodžių) - visa tai atliekama specialiomis programomis, greitai ir dideliais kiekiais, o tada pranešti apie užpuoliko sėkmę. Be to, šios programos gali veikti ne „Hacker“ kompiuteryje, bet slapta apie jūsų ir tūkstančius kitų vartotojų, o tai kartais padidina įsilaužimų efektyvumą.
Slaptažodžių pasirinkimas
Išpuoliai naudojant slaptažodžius (brutali jėga, didžiulė jėga rusų kalba) taip pat yra gana dažni. Jei prieš kelerius metus dauguma šių atakų iš tikrųjų buvo visų tam tikrų simbolių rinkinio derinių, kad būtų padaryta tam tikro ilgio slaptažodžiai.
Milijonų slaptažodžių analizė, kurie pastaraisiais metais tekėjo.
Ką tai reiškia? Apskritai, tai, kad įsilaužėliui nereikia išsiaiškinti nesuskaičiuojamų milijonų derinių: turėdamas 10–15 mln. Slaptažodžių bazę (apytikslį skaičių, bet artėjant tiesai) ir pakeisdami tik šiuos derinius, jis gali nulaužti Beveik pusė sąskaitų bet kurioje svetainėje.
Jei tikslinė ataka konkrečiai paskyroje, be duomenų bazės, gali būti naudojamas ir paprastas perteklius, o šiuolaikinė programinė įranga leidžia tai padaryti gana greitai: 8 simbolių slaptažodį galima nulaužti per kelias dienas (ir Jei šie simboliai yra vardo ir datų data ar derinys, o tai nėra neįprasta - per kelias minutes).
Pastaba: Jei naudojate tą patį slaptažodį įvairioms svetainėms ir paslaugoms, tada, kai tik jūsų slaptažodis ir atitinkamas el. Pašto adresas bus pažeistas bet kuriam iš jų, naudojant specialų prisijungimo ir slaptažodžių derinį, bus išbandytas šimtuose kitų svetainių. Pvz., Iškart po kelių milijonų slaptažodžių „Gmail“ ir „Yandex“ nutekėjimo praėjusių metų pabaigoje, sąskaitos kilmės, garo, garui, garui, mūšio įsilaužimų banga nutekėjo.„Net“ ir „Uplay“ (manau, daugelis kitų, tik dėl nurodytų žaidimų paslaugų man buvo daug kartų skirtos).
Įsilaužimo svetainės ir gaudami maišos slaptažodžius
Rimčiausios svetainės nesaugo jūsų slaptažodžio tokioje formoje, kurioje jūs jį žinote. Duomenų bazėje saugomas tik maišos. Prie jūsų įėjimo į svetainę maiša yra iš naujo apskaičiuota ir, jei ji sutampa su tuo, kas saugoma duomenų bazėje, teisingai įvedėte slaptažodį.
Kaip lengva atspėti, tai yra „Heshi“, o ne patys slaptažodžiai, tik saugumo tikslais - taigi, kai užpuolikas gali įsilaužti ir gauti duomenų bazę, jis negalėjo naudoti informacijos ir sužinoti slaptažodžius.
Tačiau gana dažnai jis gali tai padaryti:
- Norėdami apskaičiuoti maišos apskaičiavimą, dažniausiai naudojami tam tikri algoritmai - žinomi ir bendri (t.e. Visi gali jais naudotis).
- Turėdamas bazes su milijonais slaptažodžių (iš taško apie biustą), užpuolikas taip pat turi prieigą prie šių slaptažodžių hashų, apskaičiuotų visiems turimams algoritmams.
- Palyginę informaciją iš gautos duomenų bazės ir hashi slaptažodžių iš savo duomenų bazės, galite nustatyti, kuris algoritmas naudojamas, ir sužinoti realius duomenų bazės dalies duomenų bazės slaptažodžius, paprastu palyginimu (visiems ne -natyvai). Ir vykdymo priemonės padės išsiaiškinti likusius unikalius, bet trumpus slaptažodžius.
Kaip matote, įvairių paslaugų rinkodaros teiginiai, kurių jie nesaugo jūsų slaptažodžių savo svetainėje, nebūtinai apsaugo jus nuo jos nutekėjimo.
„Spyware“ programos (šnipinėjimo programos)
„Spyware“ ar „Spy“ programos - plati kenkėjiškų programų asortimentas, slapta įdiegtas kompiuteryje (taip pat šnipinėjimo funkcijos gali būti įtrauktos į tam tikrą reikalingą programinę įrangą) ir informacijos apie vartotoją kolekcija apie vartotoją.
Be kita ko, tam tikros rūšies šnipinėjimo programos, pavyzdžiui, „Kelogers“ (programos, kurios stebi jūsų paspaudus klavišus) arba paslėptų srauto analizatorių, galima naudoti (ir naudoti), norint gauti vartotojo slaptažodžius.
Socialinė inžinerija ir slaptažodžio atkūrimo klausimai
Kaip mums pasakoja Vikipedija, socialinė inžinerija yra prieigos prie informacijos būdas, pagrįstas žmogaus psichologijos ypatybėmis (tai apima aukščiau nurodytą sukčiavimą). Internete galite rasti daugybę socialinės inžinerijos naudojimo pavyzdžių (aš rekomenduoju ieškoti ir skaityti - tai yra įdomu), kai kurie iš jų stebina savo malonę. Apskritai, šis metodas lemia tai, kad beveik bet kokia informacija, reikalinga prieigai prie konfidencialios informacijos.
Aš pateiksiu tik paprastą ir ne ypač elegantišką namų ūkio pavyzdį, susijusį su slaptažodžiais. Kaip žinote, daugelyje svetainių, norint atkurti slaptažodį, pakanka įvesti atsakymą į kontrolės klausimą: kurią mokyklą studijavote, motinos mergautinės pavardės, augintinio slapyvardžio ... net jei nebe paskelbėte Ši informacija apie atvirą prieigą prie socialinių tinklų, kaip jūs manote, sunku, nesvarbu, ar pasitelkiate tuos pačius socialinius tinklus, esate susipažinęs su jumis, ar specialiai pažįstamas, netrukdantis gauti tokią informaciją?
Kaip sužinoti, kad jūsų slaptažodis buvo nulaužtas
Na, straipsnio pabaigoje kelios paslaugos, leidžiančios išsiaiškinti, ar jūsų slaptažodis buvo nulaužtas, suderinus jūsų el. Pašto adresą ar vartotojo vardą su slaptažodžių duomenų bazėmis, kurias pasiekė įsilaužėliai. (Aš šiek tiek nustebau, kad tarp jų yra per didelis procentas duomenų bazių iš Rusijos kalbančių paslaugų).
- https: // laveibeenpwned.Com/
- https: // breeachalarm.Com/
- https: // pwnedList.Com/užklausa
Suraskite savo sąskaitą garsių įsilaužėlių sąraše? Prasminga pakeisti slaptažodį, tačiau išsamiau apie saugią praktiką, susijusią su paskyrų slaptažodžiais, parašysiu artimiausiomis dienomis.