Hacking passwords, irrispettivament minn liema passwords huma - mill-posta, banek online, Wi-Fi jew mill-kontijiet VKontakte u Odnoklassniki, dan l-aħħar sar avveniment frekwenti. Dan huwa dovut l-aktar għall-fatt li l-utenti ma jaderixxux mar-regoli tas-sigurtà pjuttost sempliċi meta joħolqu, jaħżnu u jużaw il-passwords. Iżda din mhix l-unika raġuni li l-passwords jistgħu jaqgħu f'idejn il-ħżiena.
Dan l-artikolu jipprovdi informazzjoni dettaljata dwar liema metodi jistgħu jintużaw biex jitwaqqaf il-passwords tal-utenti u għaliex inti vulnerabbli għal tali attakki. Fl-aħħar, għandek issib lista ta ’servizzi onlajn li jħalluk tkun taf jekk il-password tiegħek diġà ġiet kompromessa. Se jkun hemm ukoll (diġà huwa) it-tieni artiklu dwar is-suġġett, imma nirrakkomanda li tibda l-qari bir-reviżjoni attwali, u mbagħad biss ngħaddi għall-ieħor.
Aġġornament: il-materjal li ġej huwa lest - Dwar is-sigurtà tal-password, li jiddeskrivi kif timmassimizza s-sigurtà tal-kontijiet u l-passwords tiegħek għalihom.
Liema metodi huma użati biex ikkrekkja l-passwords?
Biex crack crack, tintuża firxa mhux daqshekk wiesgħa ta 'tekniki differenti. Kważi kollha kemm huma huma magħrufa u kważi kull kompromess ta 'informazzjoni kunfidenzjali jinkiseb bl-użu ta' metodi individwali jew il-kombinazzjonijiet tagħhom.
Phishing
L-iktar mod komuni li l-passwords tas-servizzi popolari tal-posta elettronika u n-netwerks soċjali qed jiġu "ddevjati" sal-lum huwa l-phishing, u dan il-metodu jaħdem għal persentaġġ kbir ħafna ta 'utenti.
L-essenza tal-metodu hija li tasal għal sit li jidher familjari (l-istess Gmail, VK jew Odnoklassniki, pereżempju), u għal raġuni jew oħra int mitlub tidħol l-username u l-password tiegħek (biex tidħol, tikkonferma xi ħaġa, biex tbiddlu, eċċ.). Immedjatament wara li ddaħħal il-password, l-attakkant isib ruħu.
Kif jiġri dan: tista 'tirċievi ittra, allegatament mis-servizz ta' appoġġ, li tinfurmak dwar il-ħtieġa li tidħol fil-kont tiegħek u tingħata link, meta tmur f'dak is-sit, websajt li tinfetaħ eżattament l-oriġinal. Huwa possibbli li wara li tinstalla b'mod aċċidentali softwer mhux mixtieq fuq kompjuter, l-issettjar tas-sistema jinbidel hekk li meta tidħol fl-indirizz tas-sit li għandek bżonn fil-bar tal-indirizzi tal-browser, int tasal għal sit ta 'phishing iddisinjat eżattament bl-istess mod.
Kif diġà kont innutat, ħafna utenti jiltaqgħu ma 'dan, u ġeneralment dan huwa dovut għal traskuraġni:
- Meta tirċievi ittra li f'forma jew oħra tistiednek tidħol fil-kont tiegħek fuq sit partikolari, oqgħod attent dwar jekk ġietx verament mibgħuta mill-indirizz tal-posta fuq dan is-sit: normalment jintużaw indirizzi simili. Pereżempju, minflok [email protected], jista 'jkun hemm [email protected] jew xi ħaġa simili. Madankollu, l-indirizz korrett mhux dejjem jiggarantixxi li kollox huwa sew.
- Qabel ma tidħol il-password tiegħek x'imkien, ħarsa bir-reqqa lejn il-bar tal-indirizzi tal-browser tiegħek. L-ewwelnett, is-sit fejn trid tmur għandu jkun indikat hemmhekk. Madankollu, fil-każ ta ’malware fuq il-kompjuter, dan mhux biżżejjed. Għandek tagħti wkoll attenzjoni għall-preżenza ta 'encryption tal-konnessjoni, li tista' tiġi determinata billi tuża l-protokoll https minflok http u l-immaġni tal- "lock" fil-bar tal-indirizzi, billi tikklikkja fuq li tista 'tivverifika li int qiegħed f'dan is-sit. Kważi r-riżorsi serji kollha li jeħtieġu login fil-kont jużaw encryption.
Mill-mod, hawnhekk qed ninnota li l-attakki ta 'phishing u l-metodi ta' qsim tal-password (deskritti hawn taħt) ma jimplikawx il-ħidma bir-reqqa u l-biża 'ta' persuna waħda llum (jiġifieri, huwa m'għandux għalfejn iddaħħal miljun password manwalment) - dan kollu jsir permezz ta 'programmi speċjali, malajr u f'volumi kbar , u mbagħad tirrapporta s-suċċess lill-attakkant. Barra minn hekk, dawn il-programmi jistgħu ma jaħdmux fuq il-kompjuter tal-hacker, iżda b'mod sigriet fuq tiegħek u fuq eluf ta 'utenti oħra, li xi kultant iżid l-effikaċja tal-hacking.
Tqabbil tal-Password
Attakki bl-użu ta 'guessing tal-password (Brute Force, forza brutali bir-Russu) huma wkoll pjuttost komuni. Jekk ftit snin ilu, ħafna minn dawn l-attakki kienu verament enumeraw il-kombinazzjonijiet kollha ta 'ċertu sett ta' karattri biex jikkomponu passwords ta 'ċertu tul, allura fil-mument kollox huwa kemmxejn aktar sempliċi (għall-hackers).
L-analiżi ta 'miljuni ta' passwords li nixxew matul l-aħħar snin turi li inqas minn nofs minnhom huma uniċi, filwaqt li l-perċentwal ta 'siti li l-aktar li m'għandhomx esperjenza huwa "mingħajr esperjenza".
Dan xi jfisser? Fil-każ ġenerali, il-hacker m'għandux għalfejn issolvi miljuni kbar ta 'kombinazzjonijiet: li għandu bażi ta' 10-15-il miljun passwords (numru approssimattiv, iżda viċin il-verità) u jissostitwixxi dawn il-kombinazzjonijiet biss, huwa jista 'jaqsam kważi nofs il-kontijiet fuq kwalunkwe sit.
Fil-każ ta 'attakk immirat fuq kont speċifiku, minbarra d-database, tista' tintuża forza brutali sempliċi, u softwer modern jippermettilek tagħmel dan relattivament malajr: password ta '8 karattri tista' tkun ikkrekkjata fi kwistjoni ta 'jiem (u jekk dawn il-karattri jirrappreżentaw data jew kombinazzjoni ta' ismijiet u dati, li mhumiex komuni - f'minuti).
Jekk jogħġbok innota: jekk tuża l-istess password għal siti u servizzi differenti, allura hekk kif il-password tiegħek u l-indirizz tal-email korrispondenti jkunu kompromessi fuq kwalunkwe wieħed minnhom, bl-għajnuna ta 'softwer speċjali l-istess kombinazzjoni ta' login u password jiġu ttestjati fuq mijiet ta 'siti oħra. Pereżempju, dritt wara t-tnixxija ta 'bosta miljuni ta' passwords Gmail u Yandex fl-aħħar tas-sena l-oħra, mewġa ta 'hacking tal-Oriġini, Steam, Battle.net u kontijiet Uplay ħakmu (naħseb, u ħafna oħrajn, huma biss ikkuntattjawni fuq is-servizzi tal-logħob speċifikati).
Hacking siti u jkollna hashes password
Is-siti l-iktar serji ma jaħżnux il-password tiegħek fil-forma li tafha. Ħaxixa biss hija maħżuna fid-database - ir-riżultat tal-applikazzjoni ta 'funzjoni irreversibbli (jiġifieri, ma tistax terġa' tikseb il-password tiegħek minn dan ir-riżultat) għall-password. Meta tidħol fis-sit, il-hash jiġi kkalkulat mill-ġdid u, jekk taqbel ma 'dak li huwa maħżun fid-database, imbagħad iddaħħal il-password b'mod korrett.
Kif tista 'taħseb, huma l-hashes li huma maħżuna, u mhux il-passwords stess, biss għal raġunijiet ta' sigurtà - hekk li ma 'hack potenzjali u attakkant jirċievi d-database, ma setax juża l-informazzjoni u jsib il-passwords.
Madankollu, ta 'spiss, huwa jista' jagħmel dan:
- Biex tikkalkula l-hash, fil-biċċa l-kbira jintużaw ċerti algoritmi - magħrufa u komuni (jiġifieri, kulħadd jista 'jużahom).
- Wara li bażijiet tad-dejta b’miljuni ta ’passwords (mill-punt ta’ forza brutali), l-attakkant għandu wkoll aċċess għall-hashes ta ’dawn il-passwords ikkalkulati bl-użu tal-algoritmi kollha disponibbli.
- Billi tqabbel informazzjoni mid-database li tirriżulta u l-hashes tal-password mid-database tiegħek stess, tista 'tiddetermina liema algoritmu huwa użat u ssib il-passwords reali għal uħud mill-entrati fid-database billi tqabbel sempliċi (għal dawk kollha li mhumiex uniċi). U l-għodda tal-forza brutali tgħinek issir taf il-bqija tal-passwords uniċi, imma qosra.
Kif tistgħu taraw, id-dikjarazzjonijiet tas-suq ta 'servizzi varji li ma jaħżnux il-passwords tiegħek fuq il-websajt tagħhom mhux neċessarjament jipproteġuk mit-tnixxija tagħha.
Spyware (SpyWare)
SpyWare jew spyware - firxa wiesgħa ta 'softwer malizzjuż li jinstalla bil-moħbi fuq il-kompjuter tiegħek (ukoll funzjonijiet spyware jistgħu jiġu inklużi f'xi software meħtieġ) u jiġbor informazzjoni dwar l-utent.
Fost affarijiet oħra, ċerti tipi ta 'SpyWare, pereżempju, keyloggers (programmi li jsegwu ċ-ċwievet li tagħfas) jew analizzaturi tat-traffiku moħbija, jistgħu jintużaw (u jintużaw) biex jiksbu l-passwords tal-utent.
Inġinerija Soċjali u Kwistjonijiet ta 'Irkupru ta' Password
Kif tgħidilna Wikipedia, l-inġinerija soċjali hija metodu ta 'aċċess għall-informazzjoni bbażata fuq il-karatteristiċi tal-psikoloġija umana (dan jinkludi l-phishing msemmija hawn fuq). Fuq l-Internet tista 'ssib ħafna eżempji ta' l-użu ta 'inġinerija soċjali (nirrakkomanda tiftix u qari - dan huwa interessanti), li wħud minnhom jolqtu l-eleganti tagħhom. F'termini ġenerali, il-metodu jeħel mal-fatt li kważi kull informazzjoni meħtieġa għall-aċċess għall-informazzjoni kunfidenzjali tista 'tinkiseb permezz tan-nuqqasijiet tal-bniedem.
U jien se nagħti biss eżempju tad-dar sempliċi u mhux partikolarment eleganti relatat mal-passwords. Kif taf, f'ħafna siti, tirkupra l-password tiegħek, huwa biżżejjed li tidħol it-tweġiba għall-mistoqsija tas-sigurtà: f'liema skola mort, l-isem ta 'xebba ta' l-omm, il-laqam tal-annimali domestiċi ... Anki jekk għadek ma ddaħħalx din l-informazzjoni fid-dominju pubbliku fuq in-netwerks soċjali, huwa diffiċli kemm jekk tuża l-istess netwerks soċjali, jekk tkun familjari miegħek, jew inkella tiltaqa 'b'mod speċjali, tirċievi mingħajr għajn din l-informazzjoni?
Kif issir taf li l-password tiegħek ġiet hacked
Ukoll, fl-aħħar ta 'l-artikolu, hemm diversi servizzi li jgħidulek jekk il-password tiegħek ġietx hacked billi tiċċekkja l-indirizz tal-email jew l-username tiegħek b'bażi ta' bażi ta 'passwords li ġew aċċessati minn hackers. (Jiskanta ftit xi ftit li fosthom hemm wisq perċentwal ta 'databases minn servizzi bil-lingwa Russa).
- //haveibeenpwned.com/
- //breachalarm.com/
- //pwnedlist.com/query
Sibt il-kont tiegħek fuq il-lista ta 'hackers magħrufa? Ma jagħmilx sens li tinbidel il-password, imma f'iktar dettall dwar prattiki siguri fir-rigward tal-passwords tal-kont se nikteb fil-jiem li ġejjin.
