Sjeckanje lozinki, bez obzira na njihove lozinke - od pošte, on-line bankarstva, Wi-Fi-a ili iz računa Vkontakte i Odnoklassniki, nedavno je postao čest događaj. To je uglavnom zbog činjenice da se korisnici ne pridržavaju prilično jednostavnih sigurnosnih pravila pri izradi, pohranjivanju i korištenju zaporki. Ali to nije jedini razlog zbog kojeg zaporke mogu pasti u pogrešne ruke.
Ovaj članak sadrži detaljne informacije o tome koje se metode mogu koristiti za slanje korisničkih zaporki i zašto ste ranjivi na takve napade. I na kraju ćete pronaći popis on-line usluga koje će vam reći je li vaša zaporka već ugrožena. Bit će (već) i drugi članak o toj temi, ali preporučujem da ga pročitate iz tekuće recenzije, a tek onda idete na sljedeći.
Ažuriraj: sljedeći je materijal spreman - O sigurnosti lozinke, koja opisuje kako maksimalno osigurati račune i lozinke za njih.
Koje se metode upotrebljavaju za ispuštanje zaporki
Za sjeckanje lozinki koje se koriste nije takav široki raspon različitih tehnika. Gotovo su svi poznati i gotovo se svaki kompromis povjerljivih informacija postiže korištenjem pojedinačnih metoda ili njihovih kombinacija.
phishing
Najčešći način na koji je danas "oduzeto" lozinke popularnih usluga e-pošte i društvenih mreža je krađa identiteta, a ta metoda funkcionira za vrlo veliki postotak korisnika.
Bit ove metode je da se nađete na poznatom mjestu (na primjer, isti Gmail, VC ili Odnoklassniki) i iz jednog ili drugog razloga od vas se traži da unesete svoje korisničko ime i lozinku (prijavite se, potvrdite nešto, za promjenu, itd.). Odmah nakon ulaska lozinke dolazi od uljeza.
Kako se to događa: možete primiti pismo, navodno iz službe za podršku, koja navodi da se morate prijaviti na svoj račun i dodijeliti vam se veza kada se prebacite na ovu web stranicu, a to točno kopira izvorni. Moguće je da se nakon slučajnog postavljanja neželjenog softvera na računalo mijenjaju postavke sustava tako da prilikom unosa adrese web stranice koju trebate u adresnu traku preglednika doista dođete do web mjesta za krađu identiteta dizajnirane na isti način.
Kao što sam već napomenuo, vrlo su mnogi korisnici pali za to, a to je obično zbog nepažnje:
- Po primitku pisma,koja vam u jednom ili drugom obliku nudi prijavu na svoj račun na određenoj web-lokaciji, obratite pozornost na to je li stvarno poslana s adrese e-pošte na ovoj web-lokaciji: obično se koriste slične adrese. Na primjer, umjesto [email protected] može biti [email protected] ili nešto slično. Međutim, ispravna adresa ne jamči uvijek da je sve u redu.
- Prije unosa zaporke bilo gdje, pažljivo potražite adresnu traku preglednika. Prije svega, mora se naznačiti točno mjesto na kojem želite ići. Međutim, u slučaju zlonamjernog softvera na računalu to nije dovoljno. Također biste trebali obratiti pozornost na prisustvo enkripcije veze koja se može odrediti pomoću https protokola umjesto http i slike "zaključavanja" u adresnoj traci klikom na koju možete osigurati da se nalazite na ovoj web stranici. Gotovo svi ozbiljni resursi koji zahtijevaju prijavu na račun koriste šifriranje.
Usput, napominjem da se napadi phishinga i metode za pretraživanje lozinki (opisani u nastavku) ne podrazumijevaju naporne radnje jedne osobe (tj. Ne trebaju unositi milijune lozinki ručno) - sve to radi posebnim programima, brzo i u velikim količinama. , a zatim izvijestite o napretku napadača.Štoviše, ovi programi ne mogu raditi na hakerskom računalu, već potajno na vašima i među tisućama drugih korisnika, što uvelike povećava učinkovitost hakera.
Odabir lozinke
Napadi na lozinke (Brute Force, brute force na ruskom) također su vrlo česti. Ako prije nekoliko godina, većina tih napada stvarno pretražuje sve kombinacije određenog skupa znakova kako bi sastavio lozinke određene duljine, tada u ovom trenutku sve je nešto jednostavnije (za hakere).
Analiza milijuna lozinki koje su pobjegli posljednjih godina pokazuje da je manje od polovice njih jedinstveno, dok je na tim mjestima gdje živi uglavnom neiskusni korisnici, postotak je vrlo mali.
Što to znači? Općenito, haker ne mora proći kroz nebrojive milijune kombinacija: bazu od 10 do 15 milijuna lozinki (približan broj, ali blizu istine) i zamjenjujući samo te kombinacije, može ispasti gotovo polovicu računa na bilo kojem mjestu.
U slučaju ciljanog napada na određeni račun, osim baze, može se koristiti brutalna sila,a moderni softver vam omogućuje da to učinite relativno brzo: lozinka od 8 znakova može se napuknuti u roku od nekoliko dana (i ako su ti znakovi datum ili kombinacija imena i datuma, nije neuobičajeno za nekoliko minuta).
Napomena: ako koristite istu lozinku za različite web stranice i usluge, čim se zaporka i odgovarajuća adresa e-pošte ugroze na bilo kojem od njih, uz pomoć posebnog softvera, ova će se kombinacija prijave i lozinke testirati na stotinama drugih web mjesta. Na primjer, neposredno nakon propuštanja nekoliko milijuna Gmail i Yandex lozinki krajem prošle godine, val računa hakiranja potječe od Origin, Steam, Battle.net i Uplay (mislim da su mnogi drugi, samo za navedene usluge igranja koje su me opetovano kontaktirale).
Sjeckanje stranica i dobivanje lozinke
Najozbiljnija web mjesta ne pohranjuju vašu lozinku u obliku u kojem znate. Samo se hash pohranjuje u bazu podataka - rezultat primjene nepovratne funkcije (tj. Ne možete dobiti svoju lozinku iz ovog rezultata) na lozinku. Kada se prijavite na stranicu, hash se ponovno izračunava i, ako odgovara onome što je pohranjeno u bazi podataka, znači da ste ispravno unijeli zaporku.
Kao što je lako pogoditi, to su pohranjeni hashe, a ne lozinke, samo zbog sigurnosnih razloga - tako da kada haker uđe u bazu podataka i primio ga, nije mogao upotrijebiti informacije i otkriti lozinke.
Međutim, vrlo često to može učiniti:
- Kako bi se izračunali hash, koriste se određeni algoritmi, od kojih su većina poznati i zajednički (to jest, svatko ih može koristiti).
- Imajući baze podataka s milijunima lozinki (iz klauzule o brutalnoj sili), napadač također ima pristup hashama tih lozinki, izračunat pomoću svih raspoloživih algoritama.
- Usporedbom podataka iz dobivene baze podataka i lozinke iz vlastite baze podataka možete odrediti koji se algoritam koristi i otkriti prave lozinke za dio zapisa u bazi podataka jednostavnom usporedbom (za sve ne-jedinstvene). A alati za brutalne sile pomoći će vam da saznate ostatak jedinstvenih, ali kratkih zaporki.
Kao što vidite, marketinške tvrdnje različitih usluga da ne pohranjuju vaše zaporke na vašu web-lokaciju ne moraju vas nužno zaštititi od njenog propuštanja.
Spyware (SpyWare)
SpyWare ili spyware - širok raspon zlonamjernih programa,tajno instaliran na računalu (funkcije špijuna također se mogu uključiti u neki potreban softver) i prikupljaju podatke o korisniku.
Između ostalog, određene vrste SpyWare-a, primjerice keyloggers (programi koji prate tipke koje pritisnete) ili skriveni analizatori prometa, mogu se koristiti (i koriste se) za dobivanje korisničkih zaporki.
Pitanja socijalnog inženjeringa i zaporke
Kao što nam kaže Wikipedija, socijalni inženjering je metoda pristupa informacijama koje se temelje na osobinama psihologije osobe (to uključuje i gore spomenuto phishing). Na internetu možete pronaći mnoge primjere upotrebe socijalnog inženjeringa (preporučujem traženje i čitanje - to je zanimljivo), od kojih su neki upečatljivi u svojoj eleganciji. Općenito, metoda se svodi na činjenicu da se gotovo sve informacije potrebne za pristup povjerljivim informacijama mogu dobiti pomoću ljudskih slabosti.
I dat ću samo jednostavan i ne osobito elegantan primjer domaćinstva vezan uz lozinke. Kao što znate, na mnogim mjestima za oporavak zaporke, dovoljno je unijeti odgovor na testno pitanje: u kojoj školi ste studirali,majčino djevojačko prezime, nadimak za kućne ljubimce ... Čak i ako već niste objavili te informacije u javnom pristupu na društvenim mrežama, smatrate li da je teško koristiti iste društvene mreže, upoznati vas ili se posebno upoznavati, neupitno dobivanje takvih informacija?
Kako znati da je vaša zaporka hakirana
Pa i na kraju članka, nekoliko usluga koje vam omogućuju da saznate je li zapisana zaporka, provjeravajući vašu adresu e-pošte ili korisničko ime s bazama podataka za lozinku kojima su pristupili hakeri. (Malo sam iznenađen što među njima postoji vrlo značajan postotak baza podataka iz ruskih jezičnih usluga).
Pronašli svoj račun na popisu poznatih hakera? Ima smisla promijeniti lozinku, ali detaljnije o sigurnim postupcima u odnosu na zaporke računa, napisat ću u narednim danima.
