Hvernig getur lykilorðið þitt verið tölvusnápur

Hacking lykilorð, hvað sem lykilorð sem þeir kunna að hafa - frá pósti, netbanka, Wi-Fi eða frá Vkontakte og Odnoklassniki reikningum, hefur nýlega orðið algeng atburður. Þetta stafar að miklu leyti af því að notendur standast ekki nokkuð einfaldar öryggisreglur þegar þeir búa til, geyma og nota lykilorð. En þetta er ekki eina ástæðan fyrir að lykilorð geti fallið í röngum höndum.

Þessi grein veitir nákvæmar upplýsingar um hvaða aðferðir sem hægt er að nota til að sprunga notandakóða og af hverju þú ert viðkvæm fyrir slíkum árásum. Og á endanum finnur þú lista yfir netþjónustu sem mun láta þig vita ef lykilorðið þitt hefur þegar verið í hættu. Það mun einnig vera (nú þegar) annar grein um efnið, en ég mæli með að lesa það frá núverandi umfjöllun, og aðeins þá halda áfram að næsta.

Uppfærsla: Eftirfarandi efni er tilbúið - Um öryggisöryggi lykilorðs, sem lýsir því hvernig þú tryggir hámarksfjölda reikninga og lykilorð til þeirra.

Hvaða aðferðir eru notaðar til að sprunga lykilorð

Fyrir reiðhestur lykilorð er ekki notað mikið af mismunandi aðferðum. Næstum öll þau eru þekkt og næstum allir málamiðlun trúnaðarupplýsinga náðst með því að nota einstakar aðferðir eða samsetningar þeirra.

Phishing

Algengasta leiðin sem í dag er "tekin í burtu" með lykilorðum vinsælra tölvupóstþjónustu og félagslegra neta er vefveiðar og þessi aðferð virkar fyrir mjög mikið hlutfall notenda.

Kjarni aðferðarinnar er sú að þú finnur þig á kunnuglegum vef (sama Gmail, VC eða Odnoklassniki, til dæmis) og af einum ástæðum eða öðrum ertu beðin um að slá inn notandanafn og lykilorð (til að skrá þig inn, staðfesta eitthvað, fyrir breytingu hans, osfrv.). Strax eftir að slá inn lykilorðið er frá boðflenna.

Hvernig gerist það: Þú getur fengið bréf, sögn frá stuðningsþjónustunni, sem segir að þú þarft að skrá þig inn á reikninginn þinn og tengill er gefinn þegar þú skiptir yfir á þessa síðu, sem nákvæmlega afritar upphaflega. Það er mögulegt að eftir að handahófi er sett upp óæskilegan hugbúnað á tölvu breytist kerfisstillingar þannig að þegar þú slærð inn veffang síðunnar sem þú þarft í heimilisfangsreit vafrans færðu í raun phishing-síðuna sem er hannað á nákvæmlega sama hátt.

Eins og ég hef þegar tekið fram, falla mjög margir notendur fyrir þetta og venjulega er þetta vegna vanrækslu:

  • Þegar þú færð bréf sem á einhvern hátt eða annað býður þér upp á að skrá þig inn á reikninginn þinn á tilteknu vefsvæði, skaltu fylgjast með því hvort það var sent frá netfanginu á þessari síðu: Venjulega er notað svipað heimilisfang. Til dæmis, í stað þess að styð[email protected] getur verið að það sé [email protected] eða eitthvað svipað. Hins vegar tryggir rétt heimilisfang ekki alltaf að allt sé í lagi.
  • Áður en þú slærð inn lykilorð þitt hvar sem er skaltu skoða vandlega í heimilisfangaslóð vafrans. Fyrst af öllu verður að sýna nákvæmlega síðuna þar sem þú vilt fara. Hins vegar er þetta ekki nóg þegar um er að ræða spilliforrit á tölvu. Þú ættir einnig að borga eftirtekt til að dulkóðun tengingarinnar sé til staðar, sem hægt er að ákvarða með því að nota https siðareglur í staðinn fyrir http og myndina af "læsingunni" í heimilisfangi, með því að smella á hvaða, þú getur tryggt að þú sért á þessari síðu. Næstum allar þær alvarlegar auðlindir sem þurfa að skrá þig inn á reikninginn þinn skaltu nota dulkóðun.

Við the vegur, ég mun athuga hér að bæði phishing árásir og lykilorð leita aðferðir (lýst hér að neðan) þýðir ekki sársaukafullt verkefni einn maður (það er, þeir þurfa ekki að slá inn milljón lykilorð handvirkt) - allt þetta er gert með sérstökum forritum, fljótt og í miklu magni , og þá tilkynna um framfarir árásarmannsins. Þar að auki geta þessi forrit ekki unnið á tölvu tölvusnápur, en leynilega á þitt og meðal þúsunda annarra notenda, sem eykur skilvirkni járnsögunnar.

Lykilorð val

Árásir með endurheimt lykilorðs (Brute Force, brute force á rússnesku) eru einnig mjög algengar. Ef fyrir nokkrum árum síðan voru flestir af þessum árásum í raun að leita í gegnum öll samsetningar ákveðins fjölda stafa til að búa til lykilorð af ákveðinni lengd, en nú er allt frekar einfaldara (fyrir tölvusnápur).

Greiningin á milljónum lykilorða sem undanfarin ár hefur sloppið sýnir að minna en helmingur þeirra eru einstök, en á þeim stöðum þar sem flestir óreyndur notendur búa, er hlutfallið nokkuð lítið.

Hvað þýðir þetta? Almennt hjartarskinninn þarf ekki að fara í gegnum ótal milljón samsetningar: að hafa grunn af 10-15 milljón lykilorð (áætlað númer, en nærri sannleikanum) og að skipta aðeins þessum samsetningum getur hann hakkað næstum helmingi reikninga á hvaða síðu sem er.

Ef um er að ræða markvissan árás á ákveðna reikning, auk þess að nota grunninn, er hægt að nota einfalda ljómaþunga og nútíma hugbúnað gerir þér kleift að gera þetta tiltölulega fljótt: lykilorð 8 ​​stafir getur verið sprungið á nokkrum dögum (og ef þessi persónur eru dagsetning eða samsetning af og dagsetningar, sem er ekki óalgengt - í mínútum).

Vinsamlegast athugið: ef þú notar sama lykilorð fyrir mismunandi síður og þjónustu, þá um leið og lykilorðið þitt og samsvarandi tölvupóstfang eru í hættu á einhverjum af þeim, með hjálp sérstakrar hugbúnaðar verður þessi samsetning notendanafns og lykilorð prófuð á hundruðum annarra vefsvæða. Til dæmis, strax eftir að hafa lekið nokkur milljónir Gmail og Yandex lykilorð í lok síðasta árs, komu bylgju tölvusnápur frá upphafi, Steam, Battle.net og Uplay (ég held að margir aðrir, bara fyrir tiltekna spilunartæki, hafi verið í sambandi við mig).

Hacking staður og fá lykilorð hakk

Flestar alvarlegar síður geyma ekki lykilorðið þitt í því formi sem þú þekkir það. Aðeins kjötkássi er geymt í gagnagrunninum - afleiðing þess að beita óafturkræfum aðgerðum (það er að þú getur ekki fengið lykilorðið þitt aftur frá þessari niðurstöðu) í lykilorðið. Þegar þú skráir þig inn á síðuna, er kjötið reiknað aftur og ef það fellur saman við það sem er geymt í gagnagrunninum, þá slóst inn lykilorðið rétt.

Eins og það er auðvelt að giska á, þá er það kjötin sem eru geymd og ekki lykilorðin sjálfir, bara af öryggisástæðum - þannig að þegar tölvusnápur kemst í gagnagrunninn og fékk hana, gat hann ekki notað upplýsingarnar og lært lykilorðin.

Hins vegar getur hann oft gert þetta:

  1. Til að reikna kjötið eru ákveðnar reikniritar notaðar, flestir þekktar og algengar (það er hver sem er sem getur notað þau).
  2. Að hafa gagnagrunna með milljónum lykilorðs (frá brute force clause), hefur árásarmaður einnig aðgang að kjötkennum þessara lykilorða reiknað með öllum tiltækum reikniritum.
  3. Með því að bera saman upplýsingar úr gagnagrunninum og lykilorðinu úr gagnagrunninum þínum, getur þú ákvarðað hvaða reiknirit er notaður og finna út raunveruleg lykilorð fyrir hluti af gögnum í gagnagrunninum með einföldum samanburði (fyrir alla einstaka sjálfur). Og verkfæri til að nota brutu gildi munu hjálpa þér að læra afganginn af einstökum, en stuttum aðgangsorðum.

Eins og þú sérð er markaðsskuldbinding ýmissa þjónustu sem þeir geyma ekki lykilorðin þín á vefsvæðinu þínu, ekki endilega að verja þig gegn leka hennar.

Spyware (SpyWare)

SpyWare eða spyware - a breiður svið af illgjarn hugbúnaður sem er leynilega uppsettur á tölvu (spyware getur einnig verið innifalinn sem hluti af einhverjum nauðsynlegum hugbúnaði) og safnar notandaupplýsingum.

Meðal annars er hægt að nota tilteknar tegundir af SpyWare, til dæmis keyloggers (forrit sem fylgjast með takkunum sem þú ýtir á) eða falinn umferðartæki, til að fá aðgangsorð notenda.

Félagsverkfræði og lykilorð bati spurningar

Eins og Wikipedia segir okkur, er félagsverkfræði aðferð til að fá aðgang að upplýsingum sem byggjast á einkennum sálfræði mannsins (þetta felur í sér phishing sem nefnt er hér að framan). Á Netinu er hægt að finna mörg dæmi um notkun félagsverkfræði (ég mæli með að leita og lesa - þetta er áhugavert), sum þeirra eru sláandi í glæsileika þeirra. Almennt krefst aðferðin að sú staðreynd að næstum allar upplýsingar sem nauðsynlegar eru til að fá aðgang að trúnaðarupplýsingum er hægt að nálgast með mönnum veikleika.

Og ég mun gefa aðeins einfalt og ekki sérstaklega glæsilegt heimili dæmi um lykilorð. Eins og þú veist, á mörgum stöðum til að endurheimta lykilorð, er nóg að slá inn svarið við eftirlitsspurningunni: Hvaða skóla fórstu að, mömmu nafns nafns, nafn gæludýr ... Jafnvel ef þú hefur ekki þegar sett þessar upplýsingar í opinn aðgang að félagslegur netum, finnst þér erfitt hvort sem þú notar sömu félagslega net, þekkir þig eða þekkir þig, fáðu slíka upplýsingar á óvart?

Hvernig á að vita að lykilorðið þitt hefur verið tölvusnápur

Jæja og í lok greinarinnar, nokkrar þjónustur sem leyfa þér að komast að því hvort lykilorðið þitt hafi verið klikkað, með því að athuga netfangið þitt eða notandanafnið með gagnagrunna gagnagrunnsins sem komu fram með tölvusnápur. (Ég er svolítið undrandi að meðal þeirra er of stórt hlutfall af gagnagrunni frá rússnesku þjónustu).

  • //haveibeenpwned.com/
  • //breachalarm.com/
  • //pwnedlist.com/query

Fannst reikningurinn þinn á lista yfir þekkt tölvusnápur? Það er skynsamlegt að breyta lykilorðinu, en ítarlega um örugga venjur í tengslum við aðgangsorð reiknings, mun ég skrifa á næstu dögum.