Хакирањето лозинки, без оглед какви се лозинките - од пошта, преку банкарство преку Интернет, преку Wi-Fi или од сметки VKontakte и Odnoklassniki, неодамна стана чест настан. Ова во најголем дел се должи на фактот дека корисниците не се придржуваат кон прилично едноставни правила за безбедност при креирање, чување и користење лозинки. Но, ова не е единствената причина зошто лозинките можат да паднат во погрешни раце.
Оваа статија дава детални информации за тоа кои методи можат да се користат за кршење на лозинките на корисниците и зошто сте ранливи на вакви напади. На крајот, ќе најдете список на онлајн услуги што ќе ви овозможат дали вашата лозинка е веќе компромитирана. Alsoе има (веќе има) втор напис на темата, но препорачувам да го започнете читањето со тековниот преглед, и дури потоа да преминете на следниот.
Ажурирање: следниот материјал е подготвен - За безбедност на лозинка, кој опишува како да се зголеми безбедноста на вашите сметки и лозинките за нив.
Кои методи се користат за пробивање лозинки?
За да попуштате лозинки, се користи не толку широк спектар на различни техники. Речиси сите се познати и скоро секој компромис на доверливи информации се постигнува со употреба на индивидуални методи или нивни комбинации.
Фишинг
Најчестиот начин на кој лозинките на популарните услуги за е-пошта и социјалните мрежи се "пренасочуваат" до денес е фишинг, и овој метод работи за многу голем процент на корисници.
Суштината на методот е да стигнете до навидум познатата страница (истата Gmail, VK или Odnoklassniki, на пример), и од една или друга причина од вас се бара да ги внесете вашето корисничко име и лозинка (да внесете, да потврдите нешто, да го смени, итн.). Веднаш по внесувањето на лозинката, напаѓачот се наоѓа себеси.
Како се случува ова: можете да добиете писмо, наводно од услугата за поддршка, ве известувајќи за потребата да се најавите на вашата сметка и да дадете линк, кога одите на таа страница, се отвора веб-страница што точно го копира оригиналот. Можно е дека по случајно инсталирање на несакан софтвер на компјутер, поставките на системот се менуваат така што кога ќе ја внесете адресата на страницата што ви треба во лентата за адреса на прелистувачот, всушност ќе стигнете до страницата за фишинг дизајниран на ист начин.
Како што веќе напоменав, многу корисници наидуваат на ова, и обично тоа се должи на невнимание:
- Кога ќе добиете писмо што во една или друга форма ве поканува да се најавите на вашата сметка на одредена страница, обрнете внимание на тоа дали навистина е испратено од поштенската адреса на оваа страница: обично се користат слични адреси. На пример, наместо поддршка@vk.com, може да има [email protected] или нешто слично. Сепак, точната адреса не секогаш гарантира дека сè е во ред.
- Пред да ја внесете вашата лозинка некаде, внимателно погледнете ја лентата за адреси на прелистувачот. Прво на сите, страната на која сакате да отидете мора да биде наведен таму. Меѓутоа, во случај на малвер на компјутер, ова не е доволно. Исто така, треба да обрнете внимание на присуството на криптирање на врската, што може да се утврди со помош на протоколот https наместо http и сликата на "заклучувањето" во лентата за адреси, со кликнување на кои можете да потврдите дека сте на оваа страница. Скоро сите сериозни ресурси за кои е потребна екрипција користат најава за сметка.
Патем, јас ќе напоменам овде дека нападите за фишинг и методите за кршење на лозинки (опишани подолу) не подразбираат макотрпна и тмурна работа на една личност денес (тоа е, тој не треба рачно да внесува милионски лозинки) - сето тоа се прави со специјални програми, брзо и во големи количини , а потоа пријавете го успехот на напаѓачот. Покрај тоа, овие програми може да не работат на компјутерот на хакерот, но тајно на вашиот и на илјадници други корисници, што на моменти ја зголемува ефикасноста на хакерството.
Појавување на лозинка
Нападите со користење на погодување лозинка (Брутална сила, брута сила на руски јазик) се исто така чести. Ако пред неколку години, повеќето од овие напади навистина ги броеја сите комбинации на одреден сет на карактери за составување лозинки со одредена должина, тогаш во моментот сè е нешто поедноставно (за хакерите).
Анализата на милиони лозинки што излегоа изминативе години покажува дека помалку од половина од нив се единствени, додека процентот на страници кои се претежно неискусни е „неискусен“.
Што значи ова? Во општ случај, хакерот не треба да сортира низ безброј милиони комбинации: да има база од 10-15 милиони лозинки (приближен број, но близу до вистината) и да ги замени само овие комбинации, тој може да пробие речиси половина од сметките на која било страница.
Во случај на насочен напад на одредена сметка, покрај базата на податоци, може да се користи едноставна брутална сила, а современиот софтвер ви овозможува да го направите ова релативно брзо: лозинка од 8 карактери може да се пробие за неколку дена (и ако овие знаци претставуваат датум или комбинација на имиња и датуми, кои не се невообичаени - во минути).
Забележете: ако користите истата лозинка за различни страници и услуги, тогаш веднаш штом вашата лозинка и соодветната адреса за е-пошта се компромитирани на која било од нив, со помош на специјален софтвер истата комбинација на најава и лозинка ќе биде тестирана на стотици други страници. На пример, веднаш по истекувањето на неколку милиони лозинки на Gmail и Yandex на крајот на минатата година, се зафати бран хакирање на сметките на Origin, Steam, Battle.net и Uplay (мислам и многу други, тие само ме контактираа наведените услуги за игра).
Хакирање страници и добивање хаш на лозинка
Најсериозните страници не ја чуваат вашата лозинка во форма во која ја знаете. Во базата на податоци се чува само хаш - резултат на примена на неповратна функција (т.е. не можете повторно да ја добиете вашата лозинка од овој резултат) на лозинката. Кога ќе ја внесете страницата, хашот се пресметува повторно, и ако одговара на она што е зачувано во базата на податоци, тогаш правилно ја внесете лозинката.
Како што може да претпоставите, тоа се хашките што се зачувани, а не самите лозинки, само од безбедносни причини - така што со потенцијален хакер и напаѓачот ја добиваат базата на податоци, тој не можеше да ги користи информациите и да ги дознае лозинките.
Сепак, доста често, тој може да го стори тоа:
- За да се пресмета хаш, се користат одредени алгоритми, во најголем дел - добро познати и вообичаени (тоа е, секој може да ги користи).
- Имајќи бази на податоци со милиони лозинки (од брута сила), напаѓачот има пристап до хаш на овие лозинки пресметани со користење на сите достапни алгоритми.
- Споредувајќи ги информациите од добиената база на податоци и хаши за лозинка од вашата сопствена база на податоци, можете да одредите кој алгоритм се користи и да ги дознаете вистинските лозинки за некои записи во базата со едноставно совпаѓање (за сите не-уникатни). И бруталните алатки ќе ви помогнат да ги дознаете останатите уникатни, но кратки лозинки.
Како што можете да видите, маркетинг-извештаите за разни услуги според кои тие не ги чуваат вашите лозинки на нивната веб-страница не мора да ве штитат од истекување.
Spyware (SpyWare)
SpyWare или spyware - широк спектар на малициозен софтвер што тајно инсталира на вашиот компјутер (исто така функциите за шпионски софтвер може да бидат вклучени во некој неопходен софтвер) и собира информации за корисникот.
Меѓу другото, одредени видови на SpyWare, на пример, клучеви со клучеви (програми кои ги следат клучевите што ги притискате) или скриени анализатори на сообраќајот, можат да се користат (и се користат) за да добијат лозинки на корисниците.
Прашања за обнова на социјалниот инженеринг и лозинка
Како што ни кажува Википедија, социјалниот инженеринг е метод за пристап до информации засновани врз карактеристиките на човечката психологија (ова ја вклучува погоре споменатиот фишинг). На Интернет можете да најдете многу примери за употреба на социјален инженеринг (препорачувам да пребарувате и да читате - ова е интересно), од кои некои се впечатливи по нивната елеганција. Општо земено, методот се сведува на фактот дека скоро сите информации потребни за пристап до доверливи информации можат да се добијат со помош на човечки слабости.
И ќе дадам само едноставен и не особено елегантен пример за домаќинство поврзан со лозинки. Како што знаете, на многу страници, за да ја вратите вашата лозинка, доволно е да го внесете одговорот на безбедносното прашање: во кое училиште одевте, име на мајка, мајка, прекар ... Дури и ако веќе не сте ги објавиле овие информации на јавниот домен на социјалните мрежи, тешко е да размислите дали со користење на истите социјални мрежи, запознавање со вас или специјално средба, ненаметливо примате такви информации?
Како да откриете дека вашата лозинка е пробиена
Па, на крајот на статијата, има неколку услуги што ви овозможуваат дали вашата лозинка е пробиена со проверка на вашата е-пошта или корисничко име со база на податоци со лозинки, кои им биле пристапни од хакерите. (Ме изненадува малку што меѓу нив има премногу процент на бази на податоци од услуги на руски јазик).
- //haveibeenpwned.com/
- //breachalarm.com/
- //pwnedlist.com/query
Ја најдовте вашата сметка на списокот на познати хакери? Има смисла да ја смените лозинката, но подетално за безбедни практики во врска со лозинките на сметките што ќе ги напишам во наредните денови.
