Ako môže vaše heslo hackovať

Hackovanie hesiel, akékoľvek heslá, od pošty, online bankovníctvo, Wi-Fi alebo z účtov v kontakte a spolužiakov, sa nedávno stala spoločnou udalosťou. Je to do značnej miery spôsobené skutočnosťou, že používatelia pri vytváraní, ukladaní a používaní hesiel nedodržiavajú dostatočne jednoduché bezpečnostné pravidlá. Toto však nie je jediný dôvod, prečo sa heslá môžu dostať do nesprávnych rúk.

Tento článok obsahuje podrobné informácie o tom, aké metódy sa dajú použiť na hackovanie hesiel používateľa a prečo ste voči týmto útokom zraniteľní. A nakoniec nájdete zoznam online služieb, ktoré vám umožnia zistiť, či vaše heslo už bolo ohrozené. K dispozícii bude (už) druhý článok k tejto téme, ale odporúčam vám začať čítať presne zo súčasného preskúmania a až potom pokračujte k ďalšiemu.

AKTUALIZÁCIA: Nasledujúci materiál je pripravený -o bezpečnosti hesiel, ktoré opisuje, ako im chrániť vaše účty a heslá v maximálnom rozsahu.

Aké metódy sa používajú na hackovanie hesiel

Na hackerské heslá sa nepoužíva taká široká skupina rôznych techník. Takmer všetky z nich sú známe a takmer akékoľvek kompromisy dôverných informácií sa dosahuje použitím jednotlivých metód alebo ich kombinácií.

Rybolov

Najbežnejším spôsobom, ako je dnes „vedený“ heslami populárnych poštových služieb a sociálnych sietí, je phishing a táto metóda funguje pre veľmi veľké percento používateľov.

Podstatou metódy je, že sa vám, ako si myslíte, k známym webe (rovnaký Gmail, VK alebo spolužiaci), a z jedného alebo druhého dôvodu ste požiadaní, aby ste zadali svoje používateľské meno a heslo (na zadanie, Potvrdzovanie niečoho, pre jeho zmenu a t.P.). Ihneď po zadaní je heslo u útočníkov.

Ako sa to stane: Môžete získať list, údajne zo služby podpory, ktorá podáva správy o potrebe zadania účtu a je uvedený odkaz, keď je stránka otvorený, presne kopírovať originál. Možnosť je možná, keď po náhodnej inštalácii nežiaduceho softvéru v počítači sa nastavenia systému zmenia takým spôsobom, že keď potrebujete adresu stránky, ktorú potrebujete, skutočne spadnete do vyplnenej presne rovnakým spôsobom ako phishing miesto.

Ako som už poznamenal, veľa používateľov sa s tým stretne a zvyčajne je to kvôli nepozornosti:

• Po prijatí listu, ktorý v jednej alebo druhej forme vás pozýva na zadanie vášho účtu na jednej alebo inej stránke, venujte pozornosť tomu, či bol skutočne odoslaný z adresy pošty na tejto stránke: podobné adresy sa zvyčajne používajú. Napríklad namiesto [email protected], možno [email protected] alebo niečo podobné. Správna adresa však nie vždy zaručuje, že všetko je v poriadku.
• Predtým, ako zadáte heslo kdekoľvek, opatrne sa pozrite na panel s adresou prehliadača. V prvom rade by sa tam mala označiť stránka, ktorú tam chcete ísť. Avšak v prípade škodlivého softvéru na počítači to nestačí. Mali by ste tiež venovať pozornosť prítomnosti šifrovania pripojenia, ktoré je možné určiť použitím protokolu HTTPS namiesto HTTP a obrazu „zámku“ v riadku adresy že ste na tejto stránke. Takmer všetky vážne zdroje, ktoré si vyžadujú vstup do úvahy, používajú šifrovanie. 

Mimochodom, tu poznamenávam, že tak phishingové útoky a metódy hesiel (opísané nižšie) dnes neznamenajú starostlivú pochútiu prácu jednej osoby (t (t.e. Nemusí ručne zadávať milión hesiel) - všetko sa vykonáva špeciálnymi programami, rýchlo a vo veľkých objemoch a potom sa podáva správy o úspechoch útočníka. Okrem toho tieto programy nemôžu pracovať na počítači hackerov, ale tajne na vás a pre tisíce ďalších používateľov, čo občas zvyšuje efektívnosť hackerov.

Výber hesiel

Útoky pomocou hesiel (Brute Force, Gross Force v ruštine) sú tiež celkom bežné. Ak pred niekoľkými rokmi bola väčšina z týchto útokov skutočne nadmerným zabíjaním všetkých kombinácií určitej sady postáv na výrobu hesiel určitej dĺžky, potom je v súčasnosti všetko trochu jednoduchšie (pre hackerov).

Analýza miliónov hesiel, ktoré v posledných rokoch plynuli.

Čo to znamená? Vo všeobecnom prípade skutočnosť, že hacker nemusí vyriešiť nespočetné milióny kombinácií: mať základňu 10-15 miliónov hesiel (približné číslo, ale blízko pravdy) a nahradzuje iba tieto kombinácie, môže hacknúť Takmer polovica účtov na akomkoľvek webe.

V prípade cieleného útoku na konkrétny účet, okrem databázy, je možné použiť jednoduchý nadmernosť a moderný softvér to umožňuje to urobiť relatívne rýchlo: heslo 8 znakov môže byť na hacknutie v priebehu niekoľkých dní (a Ak sú tieto symboly dátumom alebo kombináciou názvu a dátumov, čo nie je neobvyklé - v minútach).

Poznámka: Ak používate rovnaké heslo pre rôzne stránky a služby, hneď ako sa vaše heslo a zodpovedajúca e -mailová adresa ohrozí na ktorejkoľvek z nich, použije sa špeciálna kombinácia prihlásenia a heslá na stovkách ďalších stránok. Napríklad bezprostredne po úniku niekoľkých miliónov hesiel Gmail a Yandex na konci minulého roka, vlna hackerov pôvodu, pary, bitka zametala vlnu.Net a Uplay (myslím, že mnoho ďalších, len pre uvedené herné služby mi bolo mnohokrát adresované).

Hackerské stránky a prijímanie hash hesiel

Najzávažnejšie stránky nekladajú vaše heslo vo formulári, v ktorej ho poznáte. V databáze je uložený iba hash - výsledok použitia nezvratnej funkcie (to znamená, že z tohto výsledku nemôžete získať heslo znova) na heslo. Pri vstupe na stránku je hash znovu komplikovaný a ak sa zhoduje s tým, čo je uložené v databáze, potom ste zadali heslo správne.

Ako je ľahké uhádnuť, je to Heshi, a nie samotné heslá, len na bezpečnostné účely - takže s potenciálnym hackerom a prijímaním databázy útočníkom nemohol tieto informácie použiť a nájsť heslá.

Pomerne často to však dokáže:

1. Na výpočet hashu sa používajú určité algoritmy z väčšej časti - známe a spoločné (t.e. Každý ich môže používať).
2. Útočník má tiež základy s miliónmi hesiel (z bodu o poprsie), má tiež prístup k hashom týchto hesiel, vypočítaných pre všetky dostupné algoritmy.
3. Porovnaním informácií z prijatej databázy a hesiel hashi z vašej vlastnej databázy môžete určiť, ktorý algoritmus sa používa, a zistiť skutočné heslá pre časť záznamov v databáze jednoduchým porovnaním (pre všetky ne -natívne). A prostriedky na presadzovanie vám pomôže zistiť zvyšok jedinečných, ale krátke heslá.

Ako vidíte, marketingové vyhlásenia rôznych služieb, ktoré vaše heslá neukladajú na svojich stránkach, vás nemusia nevyhnutne chrániť pred jeho únikom.

Spyware programy (Spyware)

Spyware alebo špionážne programy - široká škála škodlivého softvéru, tajne nainštalovaný v počítači (aj špionážne funkcie môžu byť zahrnuté do nejakého nevyhnutného softvéru) a zbierka informácií o používateľovi.

Okrem iného, ​​napríklad určité typy spywaru, napríklad Kelogers (programy, ktoré monitorujú tlačidlá, ktoré ste stlačili) alebo sú možné použiť skryté analyzátory prevádzky (a použiť) na získanie hesiel používateľa.

Sociálne inžinierstvo a problémy s obnovením hesla

Ako nám hovorí Wikipedia, sociálne inžinierstvo je metódou prístupu k informáciám založeným na charakteristikách psychológie človeka (to zahŕňa vyššie uvedené phishing). Na internete nájdete veľa príkladov používania sociálneho inžinierstva (odporúčam hľadať a čítať - to je zaujímavé), z ktorých niektoré ohromujú svojou milosťou. Všeobecne sa táto metóda scvrkáva na skutočnosť, že takmer všetky informácie potrebné na prístup k dôverným informáciám je možné získať pomocou ľudských slabostí.

A dám iba jednoduchý a nie zvlášť elegantný príklad domácnosti týkajúceho sa hesiel. Ako viete, na mnohých stránkach na obnovenie hesla stačí predstaviť odpoveď na kontrolu: Ktorú školu ste študovali, rodné meno matky, prezývka domáceho maznáčika ... aj keď ste už viac nezverejnili Tieto informácie v otvorenom prístupe k sociálnym sieťam, ako si myslíte, je ťažké, či s pomocou rovnakých sociálnych sietí, oboznámenia sa s vami alebo osobitne známym, nenápadne získajte takéto informácie?

Ako zistiť, že vaše heslo bolo hacknuté

Na konci článku, niekoľko služieb, ktoré vám umožňujú zistiť, či bolo vaše heslo napadnuté zosúladením vašej e -mailovej adresy alebo mena používateľa s databázami hesiel, ku ktorým boli prístupné hackermi. (Som trochu prekvapený, že medzi nimi existuje príliš významné percento databáz od ruských služieb).

• https: // laveibeenpwned.Com/ com/
• https: // bleachalarm.Com/ com/
• https: // pwnedlist.Comery

Našiel svoj účet v zozname slávnych hackerov? Má zmysel zmeniť heslo, ale podrobnejšie o bezpečných postupoch vo vzťahu k heslám účtov napíšem v nasledujúcich dňoch.