Il-qbid tal-passwords, ikunu xi jkunu l-passwords li jista 'jkollhom - mill-posta, bankarji onlajn, Wi-Fi jew minn kontijiet Vkontakte u Odnoklassniki, dan l-aħħar sar avveniment ta' spiss. Dan huwa dovut l-aktar għall-fatt li l-utenti ma jaderixxux ma 'regoli ta' sigurtà pjuttost sempliċi meta joħolqu, jaħżnu u jużaw il-passwords. Imma din mhix l-unika raġuni li l-passwords jistgħu jaqgħu f'idejn ħżiena.
Dan l-artikolu jipprovdi informazzjoni dettaljata dwar liema metodi jistgħu jintużaw biex jiġu kkrekkjati l-passwords tal-utent u għaliex inti vulnerabbli għal attakki bħal dawn. U fl-aħħar issib lista ta 'servizzi onlajn li tgħarrafni jekk il-password tiegħek diġà ġietx kompromessa. Se jkun hemm ukoll (diġà) tieni artikolu dwar is-suġġett, imma nirrakkomanda li taqraha mir-reviżjoni attwali, u mbagħad imbagħad ipproċedi għal dak li jmiss.
Aġġornament: il-materjal li ġej huwa lest - Dwar is-sigurtà tal-password, li tiddeskrivi kif jiġu żgurati bl-akbar mod il-kontijiet u l-passwords tiegħek lilhom.
Liema metodi jintużaw biex jiġu kkrekkjati l-passwords
Għall-hacking passwords ma tintużax firxa wiesgħa ta 'tekniki differenti. Kważi kollha huma magħrufa u kważi kull kompromess ta 'informazzjoni kunfidenzjali jinkiseb permezz tal-użu ta' metodi individwali jew il-kombinazzjonijiet tagħhom.
Phishing
L-aktar mod komuni li l-passwords tal-lum “ineħħu” s-servizzi tal-posta elettronika popolari u n-netwerks soċjali huwa l-phishing, u dan il-metodu jaħdem għal persentaġġ kbir ħafna ta 'utenti.
L-essenza tal-metodu hija li ssib ruħek f'sit familjari (l-istess Gmail, VC jew Odnoklassniki, per eżempju), u għal xi raġuni jew oħra int mitlub li ddaħħal il-username u l-password tiegħek (biex tidħol, tikkonferma xi ħaġa, għall-bidla tiegħu, eċċ.). Immedjatament wara li tidħol il-password huwa minn min jidħol.
Kif jiġri: tista 'tirċievi ittra, allegatament mis-servizz ta' appoġġ, li tiddikjara li għandek bżonn tidħol fil-kont tiegħek u tingħata rabta, meta taqleb għal dan is-sit, li tikkopja eżattament dik oriġinali. Huwa possibli li wara stallazzjoni każwali ta 'softwer mhux mixtieq fuq kompjuter, is-settings tas-sistema jinbidlu b'tali mod li meta tidħol fl-indirizz tas-sit li għandek bżonn fl-indirizz bar tal-browser, int fil-fatt tasal għal sit tal-phishing iddisinjat eżattament bl-istess mod.
Kif diġà nnotajt, ħafna utenti jaqgħu għal dan, u ġeneralment dan huwa minħabba traskuraġni:
- Meta tirċievi ittra li f'xi waħda jew oħra toffrilek biex tidħol fil-kont tiegħek fuq sit partikolari, oqgħod attent għal jekk intbagħatx jew le mill-indirizz elettroniku fuq dan is-sit: indirizzi simili huma normalment użati. Pereżempju, minflok [email protected], jista 'jkun [email protected] jew xi ħaġa simili. Madankollu, l-indirizz it-tajjeb mhux dejjem jiggarantixxi li kollox huwa tajjeb.
- Qabel ma tidħol il-password tiegħek kullimkien, ara b'attenzjoni l-address bar tal-browser tiegħek. L-ewwelnett, irid jiġi indikat eżattament is-sit fejn trid tmur. Madankollu, fil-każ ta 'malware fuq kompjuter, dan mhux biżżejjed. Għandek toqgħod attent ukoll għall-preżenza ta 'encryption tal-konnessjoni, li tista' tiġi ddeterminata billi jintuża l-protokoll https minflok http u l-immaġni tal- "lock" fil-address bar, billi tikklikkja fuq liema, tista 'tiżgura li int qiegħed fuq dan is-sit. Kważi r-riżorsi serji kollha li jeħtieġu tidħol fil-kont tiegħek jużaw encryption.
Mill-mod, hawnhekk ninnota li kemm attakki tal-phishing kif ukoll metodi ta 'tiftix bil-password (deskritti hawn taħt) ma jimplikawx l-isforz iebes ta' persuna waħda (jiġifieri m'hemmx għalfejn idaħħlu miljun password manwalment) - dan kollu jsir minn programmi speċjali, malajr u f'volumi kbar. , u mbagħad irrapporta dwar il-progress tal-attakkant. Barra minn hekk, dawn il-programmi jistgħu jaħdmu mhux fuq il-kompjuter tal-hacker, imma b'mod sigriet fuq tiegħek u fost eluf ta 'utenti oħra, li jżid ħafna l-effettività tal-hacks.
Għażla tal-Password
Attakki li jużaw l-irkupru tal-password (Brute Force, brute force bir-Russu) huma wkoll pjuttost komuni. Jekk ftit snin ilu, ħafna minn dawn l-attakki kienu verament tfittxija permezz tal-kombinazzjonijiet kollha ta ’ċertu sett ta’ karattri biex jikkomponu passwords ta ’ċertu tul, allura fil-mument kollox huwa kemmxejn aktar sempliċi (għall-hackers).
L-analiżi ta ’miljuni ta’ passwords li ħarbu fis-snin riċenti turi li inqas minn nofshom huma uniċi, filwaqt li fuq dawk is-siti fejn jgħixu l-aktar utenti mingħajr esperjenza, il-perċentwal huwa żgħir ħafna.
Dan xi jfisser? B'mod ġenerali, il-Hacker m'għandux għalfejn jgħaddi minn miljuni ta 'kombinazzjonijiet li ma jistgħux jingħaddu: li għandhom bażi ta' 10-15-il miljun password (numru approssimattiv, imma viċin il-verità) u jissostitwixxi biss dawn il-kombinazzjonijiet, huwa jista 'jqabbad kważi nofs il-kontijiet fuq kwalunkwe sit.
Fil-każ ta ’attakk immirat fuq kont speċifiku, minbarra l-bażi, tista’ tintuża sempliċi brute force, u software modern jippermettilek li tagħmel dan relattivament malajr: password ta ’8 karattri tista’ tiġi kkrekkjata fi ftit jiem (u jekk dawn il-karattri huma data jew kombinazzjoni ta ’ u dati, li mhijiex komuni - f’minuti).
Jekk jogħġbok innota: jekk tuża l-istess password għal siti u servizzi differenti, allura hekk kif il-password tiegħek u l-indirizz e-mail korrispondenti jiġu kompromessi fuq kwalunkwe wieħed minnhom, bl-għajnuna ta 'softwer speċjali din l-istess kombinazzjoni ta' login u password tiġi ttestjata fuq mijiet ta 'siti oħra. Pereżempju, immedjatament wara t-tnixxija ta 'bosta miljuni ta' passwords Gmail u Yandex fl-aħħar tas-sena l-oħra, mewġa ta 'kontijiet tal-hacking oriġinaw minn Oriġini, Steam, Battle.net u Uplay (Naħseb li ħafna oħrajn, biss għas-servizzi tal-logħob speċifikati jien kont kuntatt ripetutament).
Hacking siti u jkollna hashes tal-password
Il-biċċa l-kbira tas-siti serji ma jaħżnux il-password tiegħek fil-forma li taf biha. Hash biss huwa maħżun fid-database - ir-riżultat ta 'applikazzjoni ta' funzjoni irriversibbli (jiġifieri, ma tistax terġa 'tikseb il-password tiegħek minn dan ir-riżultat) għall-password. Meta tidħol fuq is-sit, il-hash jiġi kkalkulat mill-ġdid u, jekk ikun jaqbel ma 'dak maħżun fil-bażi tad-dejta, ifisser li tkun daħħalt il-password b'mod korrett.
Peress li huwa faċli li wieħed jimmaġina, huma l-hashes li huma maħżuna, u mhux il-passwords infushom, biss għal raġunijiet ta 'sigurtà - sabiex meta Hacker jidħol fil-bażi tad-data u jirċeviha, huwa ma setax juża l-informazzjoni u jitgħallem il-passwords.
Madankollu, ħafna drabi, huwa jista 'jagħmel dan:
- Biex tikkalkula l-hash, jintużaw ċerti algoritmi, li ħafna minnhom huma magħrufa u komuni (jiġifieri, kulħadd jista 'jużahom).
- Li jkollu databases b'miljuni ta 'passwords (minn klawsola brute force), attakkant għandu wkoll aċċess għall-hashes ta' dawn il-passwords ikkalkulati bl-użu tal-algoritmi kollha disponibbli.
- Billi tqabbel l-informazzjoni mid-dejtabejż li tirriżulta u l-hashes tal-password mid-database tiegħek stess, tista 'tiddetermina liema algoritmu jintuża u ssib il-passwords veri għal parti mir-rekords fil-bażi tad-data bi tqabbil sempliċi (għal dawk mhux uniċi kollha). U l-għodod tal-brute-force jgħinuk titgħallem il-kumplament tal-passwords uniċi, imma qosra.
Kif tistgħu taraw, il-pretensjonijiet ta 'kummerċjalizzazzjoni ta' servizzi varji li ma jaħżnux il-passwords tiegħek fuq is-sit tiegħek mhux bilfors jipproteġuk mir-rilaxx tagħha.
Spyware (SpyWare)
SpyWare jew spyware - firxa wiesgħa ta 'softwer malizzjuż li huwa stallat b'mod moħbi fuq kompjuter (spyware jista' jkun inkluż ukoll bħala parti minn xi softwer meħtieġ) u jiġbor informazzjoni mill-utent.
Fost affarijiet oħra, ċerti tipi ta 'SpyWare, pereżempju, keyloggers (programmi li jsegwu ċ-ċwievet li tagħfas) jew analizzaturi moħbija tat-traffiku, jistgħu jintużaw (u jintużaw) biex jiksbu passwords tal-utent.
Inġinerija soċjali u mistoqsijiet għall-irkupru tal-password
Kif tgħidilna l-Wikipedija, l-inġinerija soċjali hija metodu ta ’aċċess għall-informazzjoni bbażata fuq il-karatteristiċi tal-psikoloġija ta’ persuna (din tinkludi phishing imsemmija hawn fuq). Fuq l-Internet, tista 'ssib ħafna eżempji ta ’kif tuża l-inġinerija soċjali (jien nirrakkomanda t-tiftix u l-qari - dan huwa interessanti), li wħud minnhom jolqtu l-eleganti tagħhom. B'mod ġenerali, il-metodu jgħolli l-fatt li kważi kull informazzjoni meħtieġa għall-aċċess ta 'informazzjoni kunfidenzjali tista' tinkiseb bl-użu ta 'dgħjufijiet umani.
U ser nagħti biss eżempju tad-dar sempliċi u mhux partikolarment eleganti relatat mal-passwords. Kif tafu, fuq bosta siti għall-irkupru tal-password, huwa biżżejjed li tiddaħħal it-tweġiba għall-mistoqsija ta 'kontroll: liema skola attendejt, l-isem xebba ta' l-omm, l-isem tal-pet ... Anki jekk ma tkunx diġà stazzjonajt din l-informazzjoni f'aċċess miftuħ fuq netwerks soċjali, taħseb li huwa diffiċli jekk l-użu ta 'l-istess netwerks soċjali, li tkun familjari miegħek, jew familjari apposta, tinkisebx informazzjoni bħal din?
Kif tkun taf li l-password tieghek hacked
Ukoll u, fl-aħħar tal-artikolu, bosta servizzi li jippermettulek issir taf jekk il-password tiegħek ġietx maqsuma, billi tiċċekkja l-indirizz elettroniku jew il-username tiegħek b'dejtabejżis tal-password li kienu aċċessati mill-hackers. (Jiena ftit sorpriż li fosthom hemm perċentwal sinifikanti wisq ta 'databases mis-servizzi tal-lingwa Russa).
- //haveibeenpwned.com/
- //breachalarm.com/
- //pwnedlist.com/query
Sibt il-kont tiegħek fil-lista ta 'hackers magħrufa? Jagħmel sens li l-password tinbidel, imma f'aktar dettall dwar prattiki sikuri fir-rigward tal-passwords tal-kont, se nikteb fil-jiem li ġejjin.