Hacking pasvortoj, kio ajn pasvortojn ili eble havas - de retpoŝto, interreta bankado, Wi-Fi aŭ de Vkontakte kaj Odnoklassniki-kontoj, lastatempe fariĝis ofte okazaĵo. Ĉi tio estas plejparte pro la fakto, ke uzantoj ne obeas regulojn pri sufiĉe simplaj sekureco kiam ili kreas, konservas kaj uzas pasvortojn. Sed ĉi tio ne estas la sola kialo, ke pasvortoj povas faligi en manojn.
Ĉi tiu artikolo provizas detalajn informojn pri kiaj metodoj povas esti uzataj por krei pasvortojn kaj kial vi estas vundebla al tiaj atakoj. Kaj fine vi trovos liston de interretaj servoj, kiuj informos vin, se via pasvorto jam estis en danĝero. Ankaŭ estos (jam) dua artikolo pri la temo, sed mi rekomendas legi ĝin de la aktuala recenzo, kaj nur tiam iru al la sekva.
Isdatigo: la sekva materialo estas preta - Pri pasvorta sekureco, kiu priskribas kiel maksimume certigi viajn kontojn kaj pasvortojn al ili.
Kiuj metodoj estas uzataj por krei pasvortojn?
Por pirati pasvortojn oni ne uzas ampleksan gamon de malsamaj teknikoj. Preskaŭ ĉiuj estas konataj kaj preskaŭ ajna kompromiso de konfidencaj informoj atingeblas per uzado de individuaj metodoj aŭ iliaj kombinaĵoj.
Phishing
La plej ofta maniero, kiu hodiaŭ "forprenas" per pasvortoj de popularaj retpoŝtaj servoj kaj sociaj retoj estas phishing, kaj ĉi tiu metodo funkcias por tre granda procento de uzantoj.
La esenco de la metodo estas, ke vi troviĝas sur konata retejo (ekzemple la sama Gmail, VC aŭ Odnoklassniki, ekzemple), kaj pro unu aŭ alia kialo oni petas enigi vian salutnomon kaj pasvorton (por ensaluti, konfirmi ion, por lia ŝanĝo, ktp.). Tuj post enirado de la pasvorto estas de entruduloj.
Kiel ĝi okazas: vi povas ricevi leteron, supozeble de la subtena servo, kiu deklaras, ke vi bezonas ensaluti al via konto kaj ligilo estas donita, kiam vi ŝanĝas al ĉi tiu retejo, kiu ĝuste kopias la originalon. Eblas, ke post hazarda instalado de nedezirata programaro en komputilo, la agordoj de la sistemo ŝanĝas tiel, ke kiam vi eniras la adreson de la retejo, kiun vi bezonas en la adresobreto de la retumilo, vi efektive atingos phishing-ejon ĝuste en la sama maniero.
Kiel mi jam rimarkis, tre multaj uzantoj falas por ĉi tio, kaj kutime ĉi tio ŝuldas al senzorgeco:
- Kiam vi ricevas leteron, ke en unu aŭ alia formo vi proponas ensaluti al via konto en specifa retejo, atentu ĉu ĝi estis aŭ ne sendita de la retpoŝta adreso en ĉi tiu retejo: similaj adresoj estas kutime uzataj. Ekzemple, anstataŭ [email protected], ĝi povas esti [email protected] aŭ io simila. Tamen, la ĝusta adreso ne ĉiam garantias, ke ĉio estas en ordo.
- Antaŭ ol enigi vian pasvorton ie ajn, rigardu zorge en la adresobreto de via retumilo. Unue, devas esti indikita ĝuste la retejo al kiu vi volas iri. Tamen, en la kazo de malware en komputilo, ĉi tio ne sufiĉas. Vi ankaŭ devus atenti pri la ĉeesto de ĉifrado de la konekto, kiu povas esti determinita per uzado de la https-protokolo anstataŭ http kaj la bildo de la "seruro" en la adresobreto, alklakante sur kiu vi povas certigi, ke vi estas sur ĉi tiu retejo. Preskaŭ ĉiuj seriozaj rimedoj, kiuj bezonas ensaluti vian konton, uzas ĉifradon.
Parenteze, mi rimarkos ĉi tie, ke ambaŭ phishing-atakoj kaj pasvorta serĉmetodoj (priskribitaj sube) ne implicas la penon de unu persono (te ili ne bezonas enigi milionan pasvortojn) - ĉio ĉi estas farita per specialaj programoj rapide kaj en grandaj volumoj. , kaj poste raportu pri la progreso de la atakanto. Plie, ĉi tiuj programoj povas funkcii ne sur la komputiloj de la hacker, sed sekrete pri vi kaj inter miloj da aliaj uzantoj, kio multe pligrandigas la efikecon de hakoj.
Selektado de pasvorto
Atakoj per pasvorta reakiro (Bruta Forto, bruta forto en la rusa) estas ankaŭ sufiĉe oftaj. Se antaŭ kelkaj jaroj, la plej multaj el ĉi tiuj atakoj efektive estis serĉado tra ĉiuj kombinaĵoj de certa aro da karakteroj por formi pasvortojn de certa longo, tiam ĉio ĉi-momente ĉio estas iom pli simpla (por piratoj).
La analizo de milionoj da pasvortoj, kiuj eskapis en la lastaj jaroj, montras, ke malpli ol duono el ili estas unikaj, dum en tiuj lokoj, kie plej ofte senspertaj uzantoj vivas, la procento estas tre malgranda.
Kion tio signifas? ,Enerale, la hacker ne bezonas iri tra nenombreblaj milionoj da kombinaĵoj: havi bazon de 10-15 milionoj da pasvortoj (proksimuma nombro, sed proksima al la vero) kaj anstataŭigante nur ĉi tiujn kombinojn, li povas pirati preskaŭ duonon de la kontoj en iu ajn retejo.
En la kazo de celata atako al specifa konto, aldone al la bazo, simpla bruta forto povas esti uzata, kaj moderna programaro permesas vin fari ĉi tion relative rapide: pasvorto de 8 signoj povas esti rompita en kelkaj tagoj (kaj se ĉi tiuj karakteroj estas dato aŭ kombinaĵo de kaj datoj, kiuj ne maloftas - en minutoj).
Bonvolu noti: se vi uzas la saman pasvorton por diversaj retejoj kaj servoj, tiam tuj kiam via pasvorto kaj la responda retpoŝta adreso estas kompromitita ĉe iu el ili, per helpo de speciala programaro ĉi tiu sama kombinaĵo de ensaluto kaj pasvorto estos testita ĉe centoj da aliaj retejoj. Ekzemple, tuj post la elfluado de pluraj milionoj da pasvortoj Gmail kaj Yandex fine de la pasinta jaro, ondo da haktaj kontoj originis de Origin, Steam, Battle.net kaj Uplay (mi pensas, ke multaj aliaj, nur por la specifaj ludservoj, kiujn mi plurfoje kontaktis).
Hacking-ejoj kaj ricevado de pasvortoj
Plej seriozaj retejoj ne konservas vian pasvorton en la formo, en kiu vi scias ĝin. Nur hash estas stokita en la datumbazo - la rezulto de aplikado de neinversigebla funkcio (te, vi ne povas repreni vian pasvorton denove de ĉi tiu rezulto) al la pasvorto. Kiam vi ensalutas al la retejo, la hash estas kalkulita kaj, se ĝi koincidas kun tio, kio estas konservita en la datumbazo, vi ĝuste eniris la pasvorton.
Ĉar estas facile konjekti, tio estas la hashoj konservataj, kaj ne la pasvortoj mem, nur pro sekurecaj kialoj - tiel ke kiam hacker eniras la datumaron kaj ricevos ĝin, li ne povus uzi la informojn kaj lerni la pasvortojn.
Tamen, tre ofte li povas fari ĉi tion:
- Por kalkuli la kradon, iuj algoritmoj estas uzataj, la plej multaj el kiuj estas konataj kaj komunaj (tio estas, ĉiu povas uzi ilin).
- Havante datumbazojn kun milionoj da pasvortoj (de bruta forto klaŭzo), atakanto ankaŭ havas aliron al la hashoj de ĉi tiuj pasvortoj, kalkulitaj uzante ĉiujn disponeblajn algoritmojn.
- Komparante informojn de la rezultaj datumbazoj kaj pasvortoj de via propra datumbazo, vi povas determini kiun algoritmon estas uzata kaj trovi la realajn pasvortojn por parto de la registroj en la datumbazo per simpla komparo (por ĉiuj ne-unikaj). Kaj iloj de malpura forto helpos vin lerni la reston de unikaj, sed mallongaj pasvortoj.
Kiel vi povas vidi, la reklamaj reklamoj de diversaj servoj, kiujn ili ne konservas viajn pasvortojn en via retejo, nepre ne protektas vin kontraŭ ĝia elfluado.
Spyware (SpyWare)
SpyWare aŭ spiona programaro - ampleksa gamo de malicaj programoj kaŝe instalitaj en komputilo (spionoj povas ankaŭ esti inkluditaj kiel parto de iu necesa programaro) kaj kolektas informojn pri uzanto.
Interalie, iuj specoj de SpyWare, ekzemple, keyloggers (programoj kiuj spuras la klavojn, kiujn vi premas) aŭ kaŝajn trafikajn analizilojn, povas esti uzataj (kaj estas uzataj) por akiri pasvortojn.
Demandoj pri sociaj inĝenierado kaj pasvorto
Kiel ni diras, Vikipedio, socia inĝenierado estas metodo de aliro al informo bazita sur la karakterizaĵoj de persono psikologio (ĉi tio inkludas phishing menciita supre). En la interreto, vi povas trovi multajn ekzemplojn pri uzado de socia inĝenierado (mi rekomendas serĉadon kaj legadon - ĉi tio estas interesa), iuj el kiuj frapas sian elegantecon. Enerale, la metodo reduktiĝas al la fakto, ke preskaŭ ĉiuj informoj necesaj por aliri konfidencajn informojn povas esti ricevitaj per homaj malfortoj.
Kaj mi donos nur simplan kaj ne aparte elegantan familian ekzemplon rilate al pasvortoj. Kiel vi scias, en multaj retejoj por pasvorta reakiro, sufiĉas eniri la respondon al la kontrola demando: kiun lernejo vi partoprenis, la patrinnomo de patrino, nomo de dorlotbesto ... Eĉ se vi ankoraŭ ne afiŝis ĉi tiun informon en malferma aliro en sociaj retoj, ĉu vi opinias, ke estas malfacila? ĉu uzante la samajn sociajn retojn, esti familiara kun vi, aŭ speciale konata, sendube ricevas tian informon?
Kiel scii, ke via pasvorto estis piratita
Nu kaj je la fino de la artikolo, kelkaj servoj, kiuj ebligas vin eltrovi, ĉu via pasvorto estas fendita, kontrolante vian retpoŝtan adreson aŭ uzantonomon kun pasvortaj datumbazoj aliritaj de hackistoj. (Mi estas iom surprizita, ke inter ili estas tro signifaj procentoj de datumbazoj de ruslingvaj servoj).
- //haveibeenpwned.com/
- //breachalarm.com/
- //pwnedlist.com/query
Ĉu vi trovis vian konton en la listo de konataj piratoj? Estas sencoplene ŝanĝi la pasvorton, sed pli detale pri sekuraj praktikoj rilate al pasvortoj de kontoj, mi skribos en la venontaj tagoj.
