Kako lahko vaše geslo kramp

Hakiranje gesel, ne glede na gesla, iz pošte, spletnega bančništva, Wi-Fi ali iz računov v stikih in sošolcih, je v zadnjem času postalo pogost dogodek. To je v veliki meri posledica dejstva, da se uporabniki pri ustvarjanju, shranjevanju in uporabi gesel ne držijo dovolj preprostih varnostnih pravil. Toda to ni edini razlog, da lahko gesla pridejo v napačne roke.

Ta članek vsebuje podrobne informacije o tem, katere metode lahko uporabite za krajo uporabniških gesel in zakaj ste ranljivi za takšne napade. In na koncu boste našli seznam spletnih storitev, ki vam bodo omogočili, da ugotovite, ali je vaše geslo že ogroženo. Obstajal bo tudi (že) drugi članek na to temo, vendar priporočam, da začnete brati natanko iz trenutnega pregleda in šele nato nadaljujte do naslednjega.

Posodobitev: Naslednje gradivo je pripravljeno -glede na varnost gesel, ki opisuje, kako zaščititi svoje račune in gesla do največ v največji meri.

Katere metode se uporabljajo za kramp gesel

Za kramp gesla se ne uporablja tako širok nabor različnih tehnik. Skoraj vsi so znani in skoraj vsak kompromis zaupnih informacij dosežemo z uporabo posameznih metod ali njihovih kombinacij.

Ribolov

Najpogostejši način, ki ga danes "vodijo" gesla priljubljenih poštnih storitev in družbenih omrežij, je lažno predstavljanje in ta metoda deluje za zelo velik odstotek uporabnikov.

Bistvo metode je, da pridete, kot mislite, znano spletno mesto (na primer isti gmail, VK ali sošolci), iz takšnih ali drugačnih razlogov Potrditev nečesa, za svojo spremembo in t.Str.). Takoj po vnosu je geslo pri napadalcih.

Kako se to zgodi: lahko dobite pismo, domnevno iz podporne storitve, ki poroča o potrebi po vnosu računa in je navedena povezava, ko se spletno mesto odpre, natančno kopiranje izvirnika. Možnost je mogoča, ko se po naključni namestitvi neželene programske opreme v računalniku spremenijo nastavitve sistema tako, da ko naslov spletnega mesta, ki ga potrebujete mesto.

Kot sem že zapisal, veliko uporabnikov naleti na to in ponavadi je to posledica nepazljivosti:

• Po prejemu pisma, ki vas v takšni ali drugačni obliki vabi, da vnesete svoj račun na enem ali drugem mestu, bodite pozorni na to, ali je bil na tej spletni strani res poslan z naslova poštne številke: podobni naslovi se običajno uporabljajo. Na primer, namesto [email protected], morda [email protected] ali kaj podobnega. Vendar pravilen naslov ne zagotavlja vedno, da je vse v redu.
• Preden vnesete geslo kamor koli, previdno poglejte naslovno vrstico brskalnika. Najprej bi moralo biti tja navedeno spletno mesto, ki ga želite iti. Vendar v primeru zlonamerne programske opreme v računalniku to ni dovolj. Bodite pozorni tudi na prisotnost šifriranja povezave, ki jo lahko določimo z uporabo protokola HTTPS namesto HTTP in slike "zaklepanja" v naslovni vrstici da ste na tej spletni strani. Skoraj vsi resni viri, ki zahtevajo vstop v uporabo šifriranja. 

Mimogrede, tukaj ugotavljam, da tako lažni napadi kot tudi metode gesel (opisane spodaj) danes ne pomenijo mukotrpnega strašljivega dela ene osebe (t.e. Ni mu treba ročno vnesti milijon gesel) - vse to počnejo posebni programi, hitro in v velikih količinah, nato pa poročajo o uspehih napadalca. Poleg tega ti programi ne morejo delovati na hekerskem računalniku, ampak na skrivaj na vašem in na tisoče drugih uporabnikov, kar včasih poveča učinkovitost kramp.

Izbira gesel

Napadi z uporabo gesel (Brute Force, Gross Force v ruščini) so tudi precej pogosti. Če je bila pred nekaj leti večina teh napadov res prekomerna količina vseh kombinacij določenega niza znakov, da bi se gesla za določeno dolžino, potem je v tem trenutku vse nekoliko enostavnejše (za hekerske).

Analiza milijonov gesel, ki so v zadnjih letih pritekala, kaže, da je manj kot polovica edinstvenih, medtem ko na tistih spletnih mestih, kjer večinoma neizkušeni uporabniki "živijo", je odstotek popolnoma majhen.

Kaj to pomeni? V splošnem primeru je dejstvo, da hekerju ni treba razvrstiti neštetih milijonov kombinacij: imeti osnovo 10-15 milijonov gesel (približno število, vendar blizu resnice) in nadomešča samo te kombinacije, lahko vdre v vdre Skoraj polovico računov na katerem koli spletnem mestu.

V primeru ciljanega napada na določen račun je poleg baze podatkov mogoče uporabiti tudi preprost overkill, sodobna programska oprema Če so ti simboli datum ali kombinacija imena in datumov, ki niso redki - v minutah).

Opomba: Če uporabljate isto geslo za različna spletna mesta in storitve, potem bosta na katerem koli od njih ogrožena vaše geslo in ustrezni e -poštni naslov, s posebno kombinacijo prijave in gesel bo preizkušena na stotine drugih spletnih mest. Na primer, takoj po puščanju več milijonov gesel Gmail in Yandex ob koncu lanskega leta, je val izvora v kraji računov, parni, bitko pometel val.Net in Uplay (mislim, da so me številni drugi že večkrat naslovili na navedene storitve.

Krajo spletna mesta in prejemanje gesla za hash

Večina resnih spletnih mest ne shrani vašega gesla v obliki, v kateri ga poznate. V bazi podatkov je shranjen samo hash - rezultat uporabe nepovratne funkcije (torej iz tega rezultata ne morete več dobiti gesla) do gesla. Na vašem vhodu na spletno mesto je hash ponovno kalkuliran in, če sovpada s tistim, kar je shranjeno v bazi, ste pravilno vnesli geslo.

Kot je enostavno ugibati, je Heshi in ne gesla sami, samo zaradi varnostnih namenov - tako da s potencialnim kramp in prejemanjem baze podatkov s strani napadalca ni mogel uporabiti informacij in najti gesla.

Vendar precej pogosto to lahko stori:

1. Za izračun hash se večinoma uporabljajo nekateri algoritmi - znani in pogosti (t.e. Vsak jih lahko uporablja).
2. Napadalec ima tudi baze z milijoni gesel (z točke o dotiku), ima tudi dostop do hashas teh gesel, izračunano za vse razpoložljive algoritme.
3. Če primerjate informacije iz prejete baze podatkov in gesla Hashi iz lastne baze podatkov, lahko določite, kateri algoritem se uporablja in ugotovite prava gesla za del zapisov v bazi podatkov s preprosto primerjavo (za vse ne -narave). In sredstva za izvrševanje vam bodo pomagala ugotoviti preostanek edinstvenega, a kratka gesla.

Kot vidite.

Programi vohunske programske opreme (vohunska programska oprema)

Vohunska programska oprema ali vohunski programi - široko paleto zlonamerne programske opreme, na skrivaj nameščene v računalniku (tudi vohunske funkcije je mogoče vključiti v nekaj potrebne programske opreme) in zbirko informacij o uporabniku.

Med drugim lahko nekatere vrste vohunske programske opreme, na primer Kelogers (programi, ki spremljajo tipke, ki ste jih pritisnili) ali skriti analizatorji prometa, lahko uporabijo (in uporabljajo) za pridobivanje uporabniških gesel.

Socialni inženiring in vprašanja za obnovo gesla

Kot nam pravi Wikipedia, je socialni inženiring metoda dostopa do informacij, ki temelji na značilnostih človeške psihologije (to vključuje zgoraj omenjeno lažno predstavljanje). Na internetu najdete veliko primerov uporabe socialnega inženiringa (priporočam, da iščete in preberete - to je zanimivo), od katerih nekateri presenečeni nad svojo milostjo. Na splošno se metoda zmanjša na dejstvo, da je mogoče s pomočjo človeških pomanjkljivosti dobiti skoraj vse informacije, potrebne za dostop do zaupnih informacij.

In dal bom le preprost in ne posebej eleganten primer gospodinjstva, povezan z gesli. Kot veste, je na mnogih spletnih mestih, da obnovite geslo, dovolj, da odgovor predstavite na kontrolno vprašanje: katero šolo ste študirali, dekliško ime matere, vzdevek hišnega ljubljenčka ... tudi če ga ne objavljate več Te informacije v odprtem dostopu na družbenih omrežjih, kot mislite?

Kako ugotoviti, da je bilo vaše geslo vdrto

No, na koncu članka je več storitev, ki vam omogočajo, da ugotovite, ali je bilo vaše geslo vdrlo z usklajevanjem vašega e -poštnega naslova ali uporabnikovega imena z bazami gesel, do katerih so dostopali hekerji. (Nekoliko sem presenečen, da je med njimi preveč pomemben odstotek baz podatkov iz rusko -govorečih storitev).

• https: // uveibeenpwned.Com/
• https: // Breachalarm.Com/
• https: // pwnedlist.Com/poizvedba

Našli svoj račun na seznamu znanih hekerjev? Smiselno je spremeniti geslo, vendar podrobneje o varnih praksah v zvezi z gesli računov, napisal bom v prihodnjih dneh.