Как може да хакне паролата ви
- 980
- 205
- Allan Weber
Хакването на пароли, каквито и пароли, от поща, онлайн банкиране, Wi-Fi или от акаунти в контакт и съученици, наскоро се превърна в често срещано събитие. Това до голяма степен се дължи на факта, че потребителите не се придържат към достатъчно прости правила за безопасност при създаване, съхраняване и използване на пароли. Но това не е единствената причина, че паролите могат да влязат в грешни ръце.
Тази статия съдържа подробна информация за това какви методи могат да се използват за хакване на потребителски пароли и защо сте уязвими към такива атаки. И в крайна сметка ще намерите списък с онлайн услуги, които ще ви позволят да разберете дали паролата ви вече е компрометирана. Ще има и (вече) втората статия по темата, но препоръчвам да започнете да четете точно от текущия преглед и само след това да преминете към следващия.
Актуализация: Следният материал е готов -за безопасността на паролите, която описва как да защитите вашите акаунти и пароли до тях в максимална степен.
Какви методи се използват за хакване на пароли
За хакерски пароли се използва не толкова широк набор от различни техники. Почти всички те са известни и почти всяко компрометиране на поверителна информация се постига чрез използването на отделни методи или техните комбинации.
Риболов
Най -често срещаният начин, по който днес е „воден“ от пароли на популярни пощенски услуги и социални мрежи, е фишинг и този метод работи за много голям процент от потребителите.
Същността на метода е, че стигате до, както смятате, познат сайт (например същата Gmail, VK или съученици) и по една или друга причина се иска да въведете вашето потребителско име и парола (за въвеждане, потвърждавайки нещо, за промяната и t.P.). Веднага след записа паролата е при нападателите.
Как се случва това: Можете да получите писмо, уж от услугата за поддръжка, която отчита необходимостта от въвеждане на акаунта и е дадена връзка, когато сайтът е отворен, точно копиране на оригинала. Възможна е опция, когато след случайно инсталиране на нежелан софтуер на компютъра, настройките на системата се променят по такъв начин, че когато адресът на сайта, от който се нуждаете сайт.
Както вече отбелязах, много потребители се натъкват на това и обикновено това се дължи на невнимание:
- След получаване на писмо, което под един или друг вид ви кани да въведете акаунта си на един или друг сайт, обърнете внимание дали той наистина е изпратен от адреса на пощата на този сайт: Подобни адреси обикновено се използват. Например, вместо поддръжка@vk.Com, може би поддръжка@vk.Org или нещо подобно. Правилният адрес обаче не винаги гарантира, че всичко е наред.
- Преди да въведете паролата си навсякъде, внимателно погледнете адресната лента на браузъра. На първо място, сайтът, който искате да отидете там, трябва да бъде посочен там. В случай на злонамерен софтуер на компютър, това не е достатъчно. Трябва също да обърнете внимание на наличието на криптиране на връзката, което може да бъде определено чрез използването на HTTPS протокола вместо HTTP и изображението на „заключването“ в адреса, като натиснете на което, можете да се уверите че сте на този сайт. Почти всички сериозни ресурси, изискващи влизане в предвид криптирането на използването.
Между другото, тук отбелязвам, че както фишинг атаките, така и методите на паролите (описани по -долу) не означават днес старателна мрачна работа на един човек (t.E. Не е необходимо да въвежда милион пароли ръчно) - Всичко това се прави от специални програми, бързо и в големи томове и след това докладва за успехите на нападателя. Освен това тези програми могат да работят не върху компютъра на хакера, а тайно на вашия и за хиляди други потребители, което на моменти повишава ефективността на хакове.
Избор на пароли
Атаките, използващи пароли (груба сила, брутна сила на руски), също са доста често срещани. Ако преди няколко години повечето от тези атаки наистина бяха прекомерно на всички комбинации от определен набор от знаци, за да направят пароли с определена дължина, тогава в момента всичко е донякъде по -просто (за хакери).
Анализът на милиони пароли, които са течали през последните години, показва, че по -малко от половината от тях са уникални, докато на тези сайтове, където предимно неопитни потребители „живеят“, процентът е напълно малък.
Какво означава това? В общия случай фактът, че хакерът не е необходимо да подрежда неизчислимите милиони комбинации: наличието на база от 10-15 милиона пароли (приблизително число, но близо до истината) и да замени само тези комбинации, той може да хакне, може да хакне, може да хакне Почти половината от акаунтите на всеки сайт.
В случай на целенасочена атака върху конкретен акаунт, в допълнение към базата данни, може да се използва прост свръхилт и съвременният софтуер позволява това да направи това сравнително бързо: парола от 8 знака може да бъде хакната за няколко дни (и Ако тези символи са дата или комбинация от име и дати, което не е рядкост - за минути).
Забележка: Ако използвате една и съща парола за различни сайтове и услуги, тогава веднага щом вашата парола и съответният имейл адрес ще бъдат компрометирани на всеки от тях, използването на специална комбинация от вход и пароли ще бъде тествано на стотици други сайтове. Например, непосредствено след изтичането на няколко милиона пароли Gmail и Yandex в края на миналата година, вълна от хакове от сметки произход, пара, битка помете вълна.Net and Uplay (мисля, много други, само за посочените игри услуги са били адресирани много пъти) много пъти).
Хакерски сайтове и получаване на хеш пароли
Повечето сериозни сайтове не съхраняват вашата парола във формата, в която я знаете. В базата данни се съхранява само хеш - резултатът от използването на необратима функция (тоест от този резултат не можете да получите паролата си отново) към паролата. На входа ви към сайта хешът се преобладава и, ако той съвпада с това, което се съхранява в базата данни, тогава сте въвели правилно паролата.
Тъй като е лесно да се досети, това е Heshi, а не самите пароли, само за целите на сигурността - така че с потенциално хакерство и получаване на базата данни от нападател, той не може да използва информацията и да разбере пароли.
Въпреки това, доста често той може да го направи:
- За да се изчисли хешът, се използват определени алгоритми в по -голямата си част - известни и често срещани (t.E. Всеки може да ги използва).
- Имайки бази с милиони пароли (от точка за бюст), нападателят също има достъп до хешираните на тези пароли, изчислени за всички налични алгоритми.
- Сравнявайки информация от получената база данни и хаши пароли от вашата собствена база данни, можете да определите кой алгоритъм се използва и да разберете истинските пароли за част от записите в базата данни чрез просто сравнение (за всички не -роднини). И средствата за изпълнение ще ви помогнат да разберете останалата част от уникалните, но кратки пароли.
Както можете да видите, маркетинговите изявления на различни услуги, които те не съхраняват вашите пароли на сайта им, не ви предпазват непременно от неговото изтичане.
Spyware програми (Spyware)
Шпионски или шпионски програми - широк спектър от злонамерен софтуер, тайно инсталиран на компютър (също Spy функции могат да бъдат включени в някакъв необходим софтуер) и колекция от информация за потребителя.
Освен всичко друго, някои видове шпионски софтуер, например, Kelogers (програми, които наблюдават клавишите, които сте натиснали) или скрити анализатори на трафика, могат да бъдат използвани (и използвани) за получаване на потребителски пароли.
Социално инженерство и проблеми за възстановяване на парола
Както ни казва Wikipedia, социалното инженерство е метод за достъп до информация въз основа на характеристиките на човешката психология (това включва горепосочения фишинг). В интернет можете да намерите много примери за използване на социално инженерство (препоръчвам да търсите и четете - това е интересно), някои от които удивляват с тяхната грация. Като цяло методът се свежда до факта, че почти всяка информация, необходима за достъп до поверителна информация, може да бъде получена с помощта на човешки слабости.
И ще дам само прост и не особено елегантен пример за домакинство, свързан с паролите. Както знаете, в много сайтове за възстановяване на паролата е достатъчно да въведете отговора на контролния въпрос: Кое училище сте проучили, моминското име на майката, прякора на домашния любимец ... дори и да не сте публикували вече публикувани Тази информация в отворения достъп в социалните мрежи, както смятате, че е трудно дали с помощта на същите социални мрежи да сте запознати с вас или от специално запознати, безпроблемно получавайте такава информация?
Как да разберете, че паролата ви е била хакната
Е, в края на статията, няколко услуги, които ви позволяват да разберете дали вашата парола е била хакната чрез съгласуване на вашия имейл адрес или име на потребителя с бази данни за пароли, до които са били достъпни от хакери. (Малко съм изненадан, че сред тях има твърде значителен процент бази данни от руски -говорещи услуги).
- https: // laveibeenpwned.Com/
- https: // breachalarm.Com/
- https: // pwnedlist.Com/query
Намери вашия акаунт в списъка с известни хакери? Има смисъл да променяте паролата, но по -подробно за безопасните практики във връзка с паролите на акаунти, ще пиша в следващите дни.