Ang mga password sa pag-hack, anumang mga password na maaaring mayroon sila - mula sa koreo, online banking, Wi-Fi o mula sa mga account ng Vkontakte at Odnoklassniki, ay kamakailan-lamang na naging isang madalas na nagaganap na kaganapan. Ito ay higit sa lahat dahil sa ang katunayan na ang mga gumagamit ay hindi sumunod sa medyo simpleng mga patakaran sa seguridad kapag lumilikha, nag-iimbak at gumagamit ng mga password. Ngunit hindi lamang ito ang dahilan kung bakit maaaring mahulog ang mga password sa maling mga kamay.
Ang artikulong ito ay nagbibigay ng detalyadong impormasyon kung anong mga pamamaraan ang maaaring magamit upang i-crack ang mga password ng user at kung bakit ikaw ay mahina sa mga naturang atake. At sa dulo ay makikita mo ang isang listahan ng mga serbisyong online na ipapaalam sa iyo kung nakompromiso na ang iyong password. Magkakaroon din ng (na) pangalawang artikulo sa paksa, ngunit inirerekumenda ko ang pagbabasa nito mula sa kasalukuyang pagsusuri, at pagkatapos ay magpatuloy lamang sa susunod.
I-update: ang sumusunod na materyal ay handa na - Tungkol sa seguridad ng password, na naglalarawan kung paano ma-maximize ang iyong mga account at mga password sa kanila.
Anong mga paraan ang ginagamit upang i-crack ang mga password
Para sa mga pag-hack ng mga password ay hindi ginagamit ang isang malawak na hanay ng iba't ibang mga diskarte. Halos lahat ng mga ito ay kilala at halos anumang kompromiso ng kumpidensyal na impormasyon ay nakamit sa pamamagitan ng paggamit ng mga indibidwal na pamamaraan o ang kanilang mga kumbinasyon.
Phishing
Ang pinaka-karaniwang paraan na ang mga password ngayon na "mag-alis" ng mga sikat na serbisyong email at mga social network ay phishing, at ang paraang ito ay gumagana para sa isang napakalaking porsyento ng mga gumagamit.
Ang kakanyahan ng pamamaraang ito ay nakikita mo ang iyong sarili sa isang pamilyar na site (katulad ng Gmail, VC o Odnoklassniki, halimbawa), at para sa isang kadahilanan o iba pang hihilingin sa iyo na ipasok ang iyong username at password (upang mag-log in, kumpirmahin ang isang bagay, para sa kanyang pagbabago, atbp.). Kaagad pagkatapos maipasok ang password ay mula sa mga intruder.
Kung paano ito nangyayari: maaari kang makatanggap ng liham, na diumano'y mula sa serbisyo ng suporta, na nagsasaad na kailangan mong mag-log in sa iyong account at ibinigay ang isang link, kapag lumipat ka sa site na ito, na eksaktong kopya ng orihinal. Posible na pagkatapos ng random na pag-install ng hindi ginustong software sa isang computer, ang mga setting ng system ay magbabago sa isang paraan na kapag ipinasok mo ang address ng site na kailangan mo sa address bar ng browser, aktwal mong nakarating sa isang phishing site na dinisenyo nang eksakto sa parehong paraan.
Tulad ng nabanggit ko, napakaraming mga gumagamit ang nabigo para dito, at karaniwang ito ay dahil sa kawalang-ingat:
- Kapag nakatanggap ka ng isang liham na sa isang form o iba pang nag-aalok sa iyo upang mag-log in sa iyong account sa isang partikular na site, bigyang pansin kung o hindi ito ay ipinadala mula sa email address sa site na ito: karaniwang mga address ay ginagamit. Halimbawa, sa halip na [email protected], maaaring ito ay [email protected] o katulad na bagay. Gayunpaman, ang tamang address ay hindi palaging ginagarantiya na ang lahat ay nasa order.
- Bago mo ipasok ang iyong password kahit saan, maingat na tumingin sa address bar ng iyong browser. Una sa lahat, dapat na ipahiwatig nang eksakto ang site kung saan mo gustong pumunta. Gayunpaman, sa kaso ng malware sa isang computer, hindi ito sapat. Dapat mo ring bigyang-pansin ang presensya ng pag-encrypt ng koneksyon, na maaaring matukoy sa pamamagitan ng paggamit ng https protocol sa halip ng http at ang imahe ng "lock" sa address bar, sa pamamagitan ng pag-click sa kung saan, maaari mong tiyakin na ikaw ay nasa site na ito. Halos lahat ng malubhang mapagkukunan na nangangailangan ng pag-log in sa iyong account ay gumagamit ng pag-encrypt.
Sa pamamagitan ng paraan, makikita ko dito na ang parehong mga pag-atake sa phishing at mga pamamaraan sa paghahanap ng password (inilarawan sa ibaba) ay hindi nagpapahiwatig ng masasayang gawain ng isang tao (ibig sabihin, hindi nila kailangang magpasok ng isang milyong password nang mano-mano) - lahat ng ito ay ginagawa ng mga espesyal na programa, mabilis at malalaking volume. , at pagkatapos ay iulat ang pag-unlad ng magsasalakay. Bukod dito, ang mga programang ito ay maaaring magtrabaho hindi sa computer ng hacker, ngunit lihim sa iyo at sa mga libo-libong iba pang mga gumagamit, na kung saan ay lubhang pinatataas ang pagiging epektibo ng mga hack.
Pinili ng Password
Ang mga pag-atake gamit ang pagbawi ng password (Brute Force, malupit na puwersa sa Ruso) ay masyadong karaniwan din. Ilang taon na ang nakalilipas, ang karamihan sa mga pag-atake ay talagang isang paghahanap sa pamamagitan ng lahat ng mga kumbinasyon ng isang tiyak na hanay ng mga character upang bumuo ng mga password ng isang tiyak na haba, pagkatapos sa sandaling ang lahat ng bagay ay medyo mas simple (para sa mga hacker).
Ang pagtatasa ng milyun-milyong mga password na nakaligtas sa mga nakaraang taon ay nagpapakita na mas mababa sa kalahati ng mga ito ay natatangi, habang sa mga site na kung saan karamihan sa mga walang karanasan sa mga gumagamit mabuhay, ang porsyento ay masyadong maliit.
Ano ang ibig sabihin nito? Sa pangkalahatan, ang hacker ay hindi kailangang dumaan sa di-mabilang na milyun-milyong mga kumbinasyon: pagkakaroon ng base ng 10-15 milyon na mga password (isang tinatayang bilang, ngunit malapit sa katotohanan) at pinapalitan lamang ang mga kumbinasyon na ito, maaari niyang tadtarin ang halos kalahati ng mga account sa anumang site.
Sa kaso ng isang naka-target na pag-atake sa isang partikular na account, bilang karagdagan sa base, maaaring magamit ang simpleng brute force, at pinapayagan ka ng modernong software na gawin ito nang mabilis: isang password ng 8 character ay maaaring basag sa isang bagay ng mga araw (at kung ang mga character na ito ay isang petsa o isang kumbinasyon ng at mga petsa, na kung saan ay hindi bihira - sa ilang minuto).
Mangyaring tandaan: kung gagamitin mo ang parehong password para sa iba't ibang mga site at serbisyo, pagkatapos na ang iyong password at ang nararapat na e-mail address ay nakompromiso sa anuman sa mga ito, sa tulong ng espesyal na software ang parehong kumbinasyon ng login at password ay masuri sa daan-daang iba pang mga site. Halimbawa, pagkatapos ng pagtagas ng ilang milyong mga password ng Gmail at Yandex sa pagtatapos ng nakaraang taon, ang isang wave ng mga account ng pag-hack ay nagmula sa Pinagmulan, Steam, Battle.net at Uplay (sa tingin ko marami pang iba, para lamang sa mga tinukoy na serbisyo sa paglalaro na paulit-ulit kong nakontak).
Mga site ng pag-hack at nakakakuha ng mga password ng hash
Ang karamihan sa mga malubhang site ay hindi nag-iimbak ng iyong password sa form na kung saan alam mo ito. Tanging ang hash ay naka-imbak sa database - ang resulta ng pag-aaplay ng isang hindi maibabalik na pag-andar (iyon ay, hindi mo makuha ang iyong password muli mula sa resultang ito) sa password. Kapag nag-log on ka sa site, ang hash ay muling kinakalkula at, kung ito ay tumutugma sa kung ano ang naka-imbak sa database, pagkatapos ay ipinasok mo ang password ng tama.
Dahil madaling hulaan, ito ay ang mga hash na nakaimbak, at hindi ang mga password mismo, para lamang sa mga kadahilanang pang-seguridad - upang kapag ang isang hacker ay makakakuha sa database at natanggap ito, hindi niya maaaring gamitin ang impormasyon at matutunan ang mga password.
Gayunpaman, kadalasan, maaari niyang gawin ito:
- Upang kalkulahin ang hash, ilang mga algorithm ang ginagamit, karamihan sa mga ito ay kilala at karaniwan (iyon ay, maaaring gamitin ng sinuman ang mga ito).
- Ang pagkakaroon ng mga database na may milyun-milyong mga password (mula sa isang marahas na puwersa sugnay), ang isang magsasalakay ay mayroon ding access sa mga hashes ng mga password na kinakalkula gamit ang lahat ng magagamit na mga algorithm.
- Sa pamamagitan ng paghahambing ng impormasyon mula sa nagreresultang database at password ay may hugis mula sa iyong sariling database, maaari mong matukoy kung aling algorithm ang ginagamit at alamin ang tunay na mga password para sa isang bahagi ng mga talaan sa database sa pamamagitan ng isang simpleng paghahambing (para sa lahat ng di-natatanging mga). At ang mga tool ng brute-force ay tutulong sa iyo na matutunan ang natitirang mga natatanging, ngunit maikling password.
Tulad ng makikita mo, ang mga claim sa marketing ng iba't ibang mga serbisyo na hindi nila iniimbak ang iyong mga password sa iyong site ay hindi kinakailangang protektahan ka mula sa pagtagas nito.
Spyware (SpyWare)
SpyWare o spyware - isang malawak na hanay ng mga malisyosong software na covertly na naka-install sa isang computer (maaari ring isama ang spyware bilang bahagi ng ilang kinakailangang software) at nangongolekta ng impormasyon ng user.
Kabilang sa iba pang mga bagay, ang ilang uri ng SpyWare, halimbawa, ang mga keylogger (mga programa na sumusubaybay sa mga pindutan na pinindot mo) o mga tagamasid ng nakatagong trapiko, ay maaaring gamitin (at ginagamit) upang makuha ang mga password ng user.
Mga tanong sa pagbawi ng social engineering at password
Tulad ng sinasabi sa amin ng Wikipedia, ang social engineering ay isang paraan ng pag-access sa impormasyon batay sa mga katangian ng sikolohiya ng isang tao (kabilang dito ang phishing na binanggit sa itaas). Sa Internet, makakakita ka ng maraming halimbawa ng paggamit ng social engineering (inirerekomenda ko ang paghahanap at pagbabasa - ito ay kagiliw-giliw na), ang ilan sa mga ito ay nakamamanghang sa kanilang kagandahan. Sa pangkalahatan, ang pamamaraan ay bumababa sa katotohanan na halos anumang impormasyon na kinakailangan upang ma-access ang kumpidensyal na impormasyon ay maaaring makuha gamit ang mga kahinaan ng tao.
At magbibigay lamang ako ng simple at hindi partikular na eleganteng halimbawa ng bahay na may kaugnayan sa mga password. Tulad ng alam mo, sa maraming mga site para sa pagbawi ng password, ito ay sapat na upang ipasok ang sagot sa tanong na kontrol: kung saan ang paaralan ay dumalo ka, pangalan ng pagkadalaga ng ina, pangalan ng alagang hayop ... Kahit na hindi mo pa nai-post ang impormasyong ito sa bukas na pag-access sa mga social network, sa tingin mo ba mahirap kung gumagamit ka ng parehong mga social network, na pamilyar sa iyo, o espesyal na pamilyar, na hindi gaanong nakuha ang naturang impormasyon?
Paano malaman na ang iyong password ay na-hack
Well at, sa dulo ng artikulo, maraming mga serbisyo na nagbibigay-daan sa iyo upang malaman kung ang iyong password ay na-crack, sa pamamagitan ng pagsuri ng iyong email address o username na may mga database ng password na na-access ng mga hacker. (Ako ay isang maliit na ulat na kasama ng mga ito ay may masyadong makabuluhang porsyento ng mga database mula sa Russian-wika na serbisyo).
- //haveibeenpwned.com/
- //breachalarm.com/
- //pwnedlist.com/query
Natagpuan mo ang iyong account sa listahan ng mga kilalang hacker? Makatutuos na baguhin ang password, ngunit mas detalyado ang tungkol sa mga ligtas na kasanayan na may kaugnayan sa mga password ng account, isusulat ko sa mga darating na araw.