Хакерските лозинки, без оглед на лозинките што можат да ги имаат - од пошта, онлајн банкарство, Wi-Fi или од сметки Vkontakte и Odnoklassniki, неодамна станаа често се случуваат настани. Ова во голема мера се должи на фактот што корисниците не се придржуваат до прилично едноставни безбедносни правила при креирањето, чувањето и користењето на лозинки. Но, ова не е единствената причина што лозинките може да паднат во погрешни раце.
Оваа статија нуди детални информации за тоа кои методи може да се користат за да се распука корисничката лозинка и зошто сте ранливи на такви напади. И на крајот ќе најдете листа на онлајн услуги кои ќе ве известат дали вашата лозинка веќе е компромитирана. Исто така, ќе биде (веќе) втора статија на оваа тема, но препорачувам да ја прочитате од тековната ревизија, и само тогаш преминете кон следната.
Ажурирање: следниот материјал е подготвен - За лозинката за безбедност, која опишува како максимално да ги обезбедите вашите сметки и лозинки за нив.
Кои методи се користат за кршење на лозинки
За хакерство лозинки не се користи широк спектар на различни техники. Речиси сите од нив се познати и речиси секој компромис на доверливи информации се постигнува преку употреба на индивидуални методи или нивни комбинации.
Фишинг
Најчестиот начин на кој лозинките на денешницата "одземаат" популарни е-мејл услуги и социјални мрежи е фишинг, и овој метод работи за многу голем процент на корисници.
Суштината на методот е да се најдете на познато место (на пример, истите Gmail, VC или Odnoklassniki), и поради една или друга причина ќе треба да го внесете вашето корисничко име и лозинка (за да се најавите, потврдете нешто, за неговата промена итн.). Веднаш по внесувањето на лозинката е од натрапници.
Како се случува: можете да примите писмо, наводно од службата за поддршка, во кое се наведува дека треба да се најавите на вашата сметка и дадете линк, кога ќе преминете на оваа страница, која точно копира оригинална. Можно е дека по случаен избор на несакан софтвер на компјутер, поставките на системот се менуваат на таков начин што кога ќе ја внесете адресата на страницата која ви е потребна во лентата за адреси на прелистувачот, всушност стигнете до веб-локација за фишинг дизајнирана на ист начин.
Како што веќе бев забележано, за многумина спаѓаат многу корисници, и обично тоа се должи на невнимание:
- Кога добивате писмо кое во една или друга форма ви нуди да се најавите на вашата сметка на одредена страница, обрнете внимание на тоа дали е или не е испратена од е-мејл адресата на оваа страница: обично се користат слични адреси. На пример, наместо [email protected], може да биде [email protected] или нешто слично. Сепак, точната адреса не секогаш гарантира дека сè е во ред.
- Пред да ја внесете лозинката насекаде, внимателно погледнете во лентата за адреси на вашиот интернет пребарувач. Пред сè, мора да се наведе точно местото каде што сакате да одите. Меѓутоа, во случај на малициозен софтвер на компјутер, ова не е доволно. Исто така, треба да обрнете внимание на присуството на енкрипција на врската, која може да се утврди со користење на протоколот https, наместо http и сликата на "заклучување" во полето за адреса, со кликнување на кое можете да бидете сигурни дека сте на оваа страница. Речиси сите сериозни ресурси за кои е потребно влегување во вашата сметка користат енкрипција.
Патем, ќе забележам дека и фишинг-нападите и методите за пребарување на лозинка (опишани подолу) не подразбираат макотрпна работа на една личност (односно, тие не треба рачно да внесуваат милион лозинки) - сето тоа го прават специјални програми, брзо и во големи количини. , а потоа извештај за напредокот на напаѓачот. Покрај тоа, овие програми не можат да работат на компјутерот на хакерите, туку тајно на вашите и меѓу илјадници други корисници, што во голема мера ја зголемува ефикасноста на хакове.
Избор на лозинка
Нападите со користење на наплата на лозинки (Brute Force, брутална сила на руски) се исто така доста чести. Пред неколку години, повеќето од овие напади беа навистина пребарување преку сите комбинации на одреден сет на ликови за да се соберат лозинки со одредена должина, тогаш во моментот сè е малку поедноставно (за хакери).
Анализата на милиони лозинки кои избегале во последниве години покажува дека помалку од половина од нив се единствени, додека на оние места каде живеат претежно неискусни корисници, процентот е многу мал.
Што значи ова? Во принцип, хакерот не треба да поминува низ небројните милиони комбинации: има база од 10-15 милиони лозинки (приближен број, но блиску до вистината) и ги заменува само овие комбинации, тој може да пробие речиси половина од сметките на било кој сајт.
Во случај на насочен напад на одредена сметка, покрај базата може да се користи и едноставна брута сила, а модерен софтвер ви овозможува да го направите ова релативно брзо: лозинка од 8 карактери може да се распука за неколку дена (и ако овие знаци се датум или комбинација од и датуми, што не е невообичаено - за неколку минути).
Ве молиме запомнете: ако ја користите истата лозинка за различни сајтови и услуги, веднаш штом лозинката и соодветната е-поштенска адреса се компромитирани на било кој од нив, со помош на специјален софтвер оваа иста комбинација на корисничко име и лозинка ќе се тестира на стотици други сајтови. На пример, веднаш по истекувањето на неколку милиони лозинки на Gmail и Yandex на крајот од минатата година, бран хакирање на сметки потекнува од Origin, Steam, Battle.net и Uplay (мислам дека многу други, само за специфицираните игри услуги, постојано контактирав).
Хакирање сајтови и добивање на хаш лозинка
Најсериозните сајтови не ја зачувуваат вашата лозинка во форма во која го знаете. Во базата на податоци се чува само хаш - резултат на примена на неповратна функција (односно, не можете повторно да ја добиете лозинката од овој резултат) на лозинката. Кога се пријавувате на страницата, хашот се пресметува и ако се совпаѓа со она што е зачувано во базата на податоци, тоа значи дека правилно ја внесете лозинката.
Како што е лесно да се погоди, тоа се хексите кои се складираат, а не самите лозинки само од безбедносни причини - така што кога хакер ќе влезе во базата на податоци и ќе го прими, не можеше да ги користи информациите и да ги научи лозинките.
Сепак, доста често, тој може да го стори тоа:
- За да се пресмета хешот, се користат одредени алгоритми, од кои повеќето се познати и чести (т.е. секој може да ги користи).
- Имајќи бази на податоци со милиони лозинки (од клаузула за брутална сила), напаѓачот исто така има пристап до хешевите на овие лозинки пресметани со користење на сите достапни алгоритми.
- Со споредување на информациите од добиената база на податоци и хашките лозинки од вашата сопствена база на податоци, можете да одредите кој алгоритам се користи и да ги пронајдете вистинските лозинки за дел од евиденцијата во базата со едноставна споредба (за сите не-единствени). И алатките за брутална сила ќе ви помогнат да ги научите останатите уникатни, но кратки лозинки.
Како што можете да видите, маркетиншките тврдења за разни услуги што не ги зачувуваат вашите лозинки на вашата веб-страница, не мора да ве заштитуваат од истекувањето.
Spyware (SpyWare)
SpyWare или шпионски софтвер - широк спектар на малициозен софтвер кој е тајно инсталиран на компјутер (шпионски софтвер исто така може да биде вклучен како дел од некој неопходен софтвер) и собира информации за корисникот.
Меѓу другото, може да се користат одредени видови на SpyWare, на пример, keyloggers (програми што ги следат копчињата што ги притискате) или скриени анализатори на сообраќајот, за да се добијат кориснички лозинки.
Социјално инженерство и прашања за обновување на лозинката
Како Википедија ни кажува, социјалниот инженеринг е метод за пристап до информации базирани на карактеристиките на психологијата на една личност (ова вклучува фишинг споменат погоре). На интернет, можете да најдете многу примери за користење на социјален инженеринг (препорачувам пребарување и читање - ова е интересно), од кои некои се впечатливи во нивната елеганција. Во принцип, методот се сведува на фактот дека речиси секоја информација потребна за пристап до доверливи информации може да се добие користејќи човечки слабости.
И јас ќе дадам само едноставен и не елегантен пример за домаќинство поврзан со лозинки. Како што знаете, на многу сајтови за наплата на лозинки, доволно е да го внесете одговорот на контролното прашање: кое училиште сте посетувале, име на мајчиното име, име на милениче ... Дури и ако не сте веќе објавени овие информации во отворен пристап на социјалните мрежи, дали мислите дека е тешко дали користењето на истите социјални мрежи, запознавање со вас, или посебно запознаени, ненаметливо добивате такви информации?
Како да знаете дека вашата лозинка е хакирана
Па, и на крајот на статијата, неколку услуги кои ви дозволуваат да дознаете дали вашата лозинка е распукана, проверувајќи ја вашата е-адреса или корисничко име со базите на податоци за лозинки, до кои пристапуваа хакери. (Малку сум изненаден што меѓу нив има премногу значителен процент на бази на податоци од руски јазик).
- //haveibeenpwned.com/
- //breachalarm.com/
- //pwnedlist.com/query
Најдовте ја вашата сметка на листата на познати хакери? Има смисла да ја смените лозинката, но во повеќе детали за безбедно практики во врска со лозинките за сметките, ќе пишувам во наредните денови.
