Sigurnost

Kako se vaša lozinka može hakirati

Kako se vaša lozinka može hakirati

Hakiranje lozinki, bilo koje lozinke, s pošte, internetskog bankarstva, Wi-Fi ili s računa u kontaktima i kolegama iz razreda, nedavno je postalo uobičajeni događaj. To je u velikoj mjeri zbog činjenice da se korisnici ne pridržavaju dovoljno jednostavnih sigurnosnih pravila prilikom stvaranja, pohranjivanja i korištenja lozinki. Ali to nije jedini razlog što lozinke mogu ući u pogrešne ruke.

Ovaj članak sadrži detaljne informacije o tome koje se metode mogu koristiti za hakiranje korisničkih lozinki i zašto ste ranjivi na takve napade. Na kraju ćete pronaći popis internetskih usluga koje će vam omogućiti da saznate je li vaša lozinka već ugrožena. Također će biti (već) drugi članak o toj temi, ali preporučujem da započnete čitati upravo iz trenutne recenzije, a tek zatim nastavite do sljedećeg.

Ažuriranje: Sljedeći je materijal spreman -bez sigurnosti lozinki, koji opisuje kako im maksimalno zaštititi svoje račune i lozinke.

Koje se metode koriste za hakiranje lozinki

Za hakiranje lozinki ne koristi se tako širok skup raznih tehnika. Gotovo svi su poznati i gotovo svaka kompromitiranja povjerljivih informacija postiže se korištenjem pojedinačnih metoda ili njihovih kombinacija.

Ribarstvo

Najčešći način koji je danas "vodio" lozinke popularnih poštanskih usluga i društvenih mreža je krađa identiteta, a ova metoda djeluje na vrlo velik postotak korisnika.

Suština metode je u tome što, kao što mislite, poznate web mjesto (na primjer, na primjer, isti Gmail, VK ili razrednici), a iz jednog ili drugog razloga od vas se traži da unesete svoje korisničko ime i lozinku (za unos, potvrđujući nešto, zbog njegove promjene i t.P.). Odmah nakon unosa lozinka je kod napadača.

Kako se to događa: možete dobiti pismo, navodno iz Službe za podršku, koje izvještava o potrebi unosa računa, a veza se daje, kada se web mjesto otvori, točno kopirajući original. Opcija je moguća kada se, nakon slučajne instalacije neželjenog softvera na računalu, postavke sustava mijenjaju na takav način da kada vam je potrebna adresa web mjesta, zapravo padnete u ispunjeno s potpuno istim načinom na koji phishing mjesto.

Kao što sam već napomenuo, mnogi korisnici naiđu na to, a obično je to zbog nepažnje:

  • Nakon primitka pisma, koje vas u jednom ili drugom obrascu poziva da unesete svoj račun na jednoj ili drugoj web stranici, obratite pažnju na to je li zaista poslano s adrese pošte na ovoj web stranici: Obično se koriste slične adrese. Na primjer, umjesto podrš[email protected], možda podrš[email protected] ili nešto slično. Međutim, ispravna adresa ne jamči uvijek da je sve u redu.
  • Prije nego što bilo gdje unesete lozinku, pažljivo pogledajte adresnu traku preglednika. Prije svega, tamo bi bilo naznačeno mjesto koje želite ići. Međutim, u slučaju zlonamjernog softvera na računalu, to nije dovoljno. Također biste trebali obratiti pažnju na prisutnost šifriranja veze, što se može odrediti uporabom HTTPS protokola umjesto HTTP -a i slike "zaključavanja" u adresnom retku, pritiskom na koji se možete uvjeriti da ste na ovoj stranici. Gotovo svi ozbiljni resursi koji zahtijevaju unos u obzir upotrebu šifriranja. 

Usput, ovdje napominjem da i phishing napadi i metode lozinki (opisane u nastavku) ne znače danas mukotrpno tmurno djelo jedne osobe (t.e. Ne treba ručno unositi milijun lozinki) - sve to radi posebni programi, brzo i u velikim količinama, a zatim izvještavaju o uspjesima napadača. Nadalje, ovi programi mogu raditi ne na hakerovom računalu, već potajno na vašim i za tisuće drugih korisnika, što ponekad povećava učinkovitost hakova.

Odabir lozinki

Napadi pomoću lozinki (gruba sila, bruto sila na ruskom) su također prilično česti. Ako je prije nekoliko godina većina ovih napada zaista bila prekomjerna kombinacija svih kombinacija određenog skupa znakova kako bi napravila lozinke određene duljine, tada je u ovom trenutku sve nešto jednostavnije (za hakere).

Analiza milijuna lozinki koje su teče posljednjih godina pokazuje da je manje od polovice jedinstveno, dok je na onim web lokacijama na kojima su uglavnom neiskusni korisnici "žive", postotak je potpuno mali.

Što to znači? U općem slučaju, činjenica da haker ne treba riješiti nebrojive milijune kombinacija: imati bazu od 10-15 milijuna lozinki (približni broj, ali blizu istine) i zamjena samo ovih kombinacija, može hakirati Gotovo polovica računa na bilo kojem mjestu.

U slučaju ciljanog napada na određeni račun, uz bazu podataka može se koristiti jednostavni Overkill, a moderni softver to omogućuje to relativno brzo: lozinka od 8 znakova može se hakirati za nekoliko dana (i Ako su ti simboli datum ili kombinacija imena i datuma, što nije neuobičajeno - za nekoliko minuta).

Bilješka: Ako koristite istu lozinku za razne web stranice i usluge, čim će vaša lozinka i odgovarajuća adresa e -pošte biti ugrožena na bilo kojem od njih, koristeći posebnu kombinaciju prijave i lozinke testirat će se na stotinama drugih web lokacija. Na primjer, odmah nakon propuštanja nekoliko milijuna lozinki Gmail i Yandex krajem prošle godine, val hakiranja računa podrijetla, Steam, Battle je potaknuo val.Net i UpLay (mislim da su mi mnogi drugi, samo za naznačene usluge igre mnogo puta) upućene mi).

Web stranice za hakiranje i primanje lozinki za hash

Najozbiljnije web stranice ne pohranjuju lozinku u obrazac u kojem je znate. U bazu podataka pohranjuje se samo hash - rezultat upotrebe nepovratne funkcije (to jest, iz ovog rezultata ne možete ponovno dobiti lozinku) do lozinke. Na vašem ulazu na web mjesto, hash se ponovno izračunava i, ako se podudara s onim što je pohranjeno u bazi podataka, tada ste pravilno unijeli lozinku.

Kao što je lako pogoditi, to je Heshi, a ne same lozinke, samo u sigurnosne svrhe - tako da s potencijalnim hakiranjem i primanjem baze podataka od strane napadača nije mogao koristiti podatke i saznati lozinke.

Međutim, često to može učiniti:

  1. Za izračunavanje hash -a koriste se određeni algoritmi većim dijelom - poznati i uobičajeni (t.e. Svatko ih može koristiti).
  2. Imajući baze s milijunima lozinki (iz točke oko poprsja), napadač također ima pristup hahasima ovih lozinki, izračunati za sve dostupne algoritme.
  3. Uspoređujući informacije iz primljene baze podataka i hashi lozinki iz vlastite baze podataka, možete odrediti koji se algoritam koristi i pronaći stvarne lozinke za dio zapisa u bazi podataka jednostavnom usporedbom (za sve ne -nacije). A sredstva za provedbu pomoći će vam da otkrijete ostatak jedinstvenih, ali kratkih lozinki.

Kao što vidite, marketinške izjave raznih usluga koje ne pohranjuju vaše lozinke na njihovoj web stranici ne štite vas od njegovog curenja.

Programi špijunskog softvera (špijunski softver)

Špijunski softver ili špijunski programi - širok raspon zlonamjernog softvera, potajno instaliran na računalu (također špijunske funkcije mogu biti uključene u neki potrebni softver) i prikupljanje informacija o korisniku.

Između ostalog, na primjer, određene vrste špijunskog softvera, Kelogers (programi koji prate tipke koje ste pritisnuli) ili se mogu koristiti (i koristiti) Analizeri skrivenih prometa za dobivanje korisničkih lozinki.

Društveni inženjering i problemi za obnavljanje lozinke

Kao što nam kaže Wikipedia, socijalni inženjering je metoda pristupa informacijama na temelju karakteristika ljudske psihologije (to uključuje gore spomenuto phishing). Na Internetu možete pronaći mnoge primjere korištenja društvenog inženjerstva (preporučujem vam traženje i čitanje - ovo je zanimljivo), od kojih neki zadivljuju svojom milošću. Općenito, metoda se svodi na činjenicu da se gotovo sve informacije potrebne za pristup povjerljivim informacijama mogu dobiti pomoću ljudskih slabosti.

I dat ću samo jednostavan i ne posebno elegantan primjer kućanstva koji se odnosi na lozinke. Kao što znate, na mnogim web lokacijama za vraćanje lozinke dovoljno je uvesti odgovor na kontrolno pitanje: Koju školu ste studirali, djevojačko prezime majke, nadimak kućnog ljubimca ... čak i ako više ne objavljujete Ove informacije u otvorenom pristupu na društvenim mrežama, kao što mislite, teško je je li uz pomoć istih društvenih mreža, biti upoznat s vama ili posebno upoznat, neupadljivo dobiti takve informacije?

Kako saznati da je vaša lozinka hakirana

Pa, na kraju članka, nekoliko usluga koje vam omogućuju da otkrijete je li vaša lozinka hakirana usklađivanjem adrese e -pošte ili imena korisnika bazama podataka lozinki kojima su pristupili hakeri hakeri. (Malo sam iznenađen što među njima postoji previše značajan postotak baza podataka iz ruskih službi).

  • https: // laveibeenpwedd.Com/
  • https: // kršenje.Com/
  • https: // pwnedList.Com/upit

Pronađite svoj račun na popisu poznatih hakera? Ima smisla promijeniti lozinku, ali detaljnije o sigurnim praksama u odnosu na lozinke računa, napisao ću u narednim danima.