Jak může vaše heslo hacknout
- 4612
- 1078
- Mgr. Rainhard Jánský
Hackování hesel, jakákoli hesla, z pošty, online bankovnictví, Wi-Fi nebo z účtů v kontaktu a spolužáky, se nedávno stalo společnou událostí. To je z velké části způsobeno skutečností, že uživatelé při vytváření, ukládání a používání hesel dodržují dostatečně jednoduchá bezpečnostní pravidla. Ale to není jediný důvod, proč se hesla mohou dostat do nesprávných rukou.
Tento článek obsahuje podrobné informace o tom, jaké metody lze použít k hackování hesel uživatele a proč jste vůči takovým útokům zranitelní. A nakonec najdete seznam online služeb, které vám umožní zjistit, zda vaše heslo již bylo ohroženo. K dispozici bude také (již) druhý článek na toto téma, ale doporučuji začít číst přesně z aktuálního přezkumu a teprve poté postupujte k dalšímu.
Aktualizace: Následující materiál je připraven -ohledně bezpečnosti hesel, která popisuje, jak jim chránit vaše účty a hesla v maximální míře.
Jaké metody se používají k hackování hesel
Pro hackování hesel se nepoužívá taková široká sada různých technik. Téměř všechny jsou známy a téměř jakékoli kompromitace důvěrných informací je dosaženo pomocí jednotlivých metod nebo jejich kombinací.
Rybolov
Nejběžnějším způsobem, že dnes je „LED“ heslami populárních poštovních služeb a sociálních sítí, je phishing a tato metoda funguje pro velmi velké procento uživatelů.
Podstatou metody je, že se dostanete, jak si myslíte, známý web (například stejný Gmail, VK nebo spolužáci), a z nějakého důvodu jste požádáni o zadání svého uživatelského jména a hesla (pro zadání, něco potvrzuje, pro jeho změnu a t.Str.). Bezprostředně po položce je heslo u útočníků.
Jak se to stane: Můžete získat dopis, údajně z podpůrné služby, která podává zprávu o potřebě vstoupit na účet a odkaz je uveden, když je web otevřen, přesně zkopírovat originál. Možnost je možná, když se po náhodné instalaci nežádoucího softwaru v počítači změní nastavení systému tak, že když se adresa potřebného webu, které potřebujete, ve skutečnosti spadnete do naplněného přesně stejným způsobem phishingu místo.
Jak jsem již poznamenal, mnoho uživatelů se s tím setká a obvykle je to kvůli nepozornosti:
- Po obdržení dopisu, který vás v jedné nebo druhé podobě zve, abyste zadali svůj účet na jednom nebo druhém webu, věnujte pozornost tomu, zda byl skutečně odeslán z adresy pošty na tomto webu: podobné adresy se obvykle používají. Například místo [email protected], možná [email protected] nebo něco podobného. Správná adresa však ne vždy zaručuje, že vše je v pořádku.
- Než zadáte své heslo kdekoli, opatrně se podívejte na adresní lišt prohlížeče. Za prvé, web, který tam chcete jít, by tam mělo být uvedeno. V případě škodlivého softwaru na počítači to však nestačí. Měli byste také věnovat pozornost přítomnosti šifrování připojení, které lze určit pomocí protokolu HTTPS místo HTTP a obrazem „zámku“ v adresním řádku stisknutím, na které se můžete ujistit že jste na tomto webu. Téměř všechny vážné zdroje vyžadující vstup použijte šifrování.
Mimochodem, zde si všimnu, že jak phishingové útoky, tak metody hesel (popsané níže) dnes neznamená, že pečlivá otřesená práce jedné osoby (t (T.E. Nemusí zadávat milion hesel ručně) - to vše se provádí speciálními programy, rychle a ve velkých svazcích, a poté podává zprávu o úspěších útočníka. Tyto programy navíc nemohou pracovat na počítači hackera, ale tajně na vašem a tisíci dalších uživatelů, což občas zvyšuje efektivitu hacků.
Výběr hesel
Útoky používající hesla (brutální síla, hrubá síla v ruštině) jsou také docela běžné. Pokud by před několika lety byla většina těchto útoků opravdu nadměrnou část všech kombinací určité sady postav, aby se hesla určila určitá délka, pak je v tuto chvíli vše poněkud jednodušší (pro hackery).
Analýza milionů hesel, která tekla v posledních letech.
Co to znamená? V obecném případě skutečnost, že hacker nemusí vyřešit nespočetné miliony kombinací: mít základnu 10-15 milionů hesel (přibližné číslo, ale téměř pravdu) a nahradit pouze tyto kombinace, může hacknout Téměř polovina účtů na jakémkoli webu.
V případě cíleného útoku na konkrétní účet lze kromě databáze použít jednoduché nadměrné zachování a moderní software to umožňuje relativně rychle: heslo 8 znaků může být hacknuto za několik dní (a Pokud jsou tyto symboly datem nebo kombinací jména a dat, což není neobvyklé - během několika minut).
Poznámka: Pokud použijete stejné heslo pro různé weby a služby, pak jakmile bude vaše heslo a odpovídající e -mailová adresa ohrožena na kterékoli z nich, bude testována na stovkách dalších webů pomocí speciální kombinace přihlašovacího. Například ihned po úniku několika milionů hesel Gmail a Yandex na konci loňského roku, vlna hacků účtů původu, pára, bitva zametla vlna.Net a Uplay (myslím, mnoho dalších, jen pro uvedené herní služby, bylo mi mnohokrát adresováno).
Hackerské stránky a přijímání hesel hash
Nejzávažnější weby neukládají vaše heslo ve formuláři, ve kterém to znáte. V databázi je uložen pouze hash - výsledek použití nevratné funkce (tj. Z tohoto výsledku nemůžete znovu získat heslo) na heslo. U vašeho vstupu na web je hash re -vypočítaný a pokud se shoduje s tím, co je uloženo v databázi, pak jste správně zadali heslo.
Jak je snadné uhodnout, je to Heshi, a ne samotná hesla, pouze pro bezpečnostní účely - takže s potenciálním hackováním a přijímáním databáze útočníkem nemohl tyto informace použít a zjistit hesla.
Poměrně často to dokáže:
- K výpočtu hashování se z velké části používají určité algoritmy - známé a běžné (t.E. Každý je může použít).
- Mít základny s miliony hesel (z bodu o poprsí), útočník má také přístup k hashasu těchto hesel, vypočítaných pro všechny dostupné algoritmy.
- Porovnáním informací z přijaté databáze a hesel Hashi z vlastní databáze můžete zjistit, který algoritmus se používá a zjistit skutečná hesla pro část záznamů v databázi jednoduchým porovnáním (pro všechny ne -Native). A prostředky pro vymáhání vám pomohou zjistit zbytek jedinečných, ale krátkých hesel.
Jak vidíte, marketingová prohlášení o různých službách, které na svém webu neukládají vaše hesla.
Spywarové programy (spyware)
Programy spywaru nebo špionáže - široká škála malwaru, tajně nainstalovaná na počítači (také špionážní funkce mohou být zahrnuty do nějakého nezbytného softwaru) a sbírka informací o uživateli.
Například některé typy spywaru, například Kelogers (programy, které monitorují klíče, které jste stiskli) nebo skryté analyzátory dopravy, lze mimo jiné použít (a použít) ke získání uživatelských hesel (programy, které monitorují klíče.
Sociální inženýrství a problémy pro obnovení hesla
Jak nám říká Wikipedia, sociální inženýrství je metodou přístupu k informacím založeným na charakteristikách psychologie člověka (to zahrnuje výše uvedený phishing). Na internetu najdete mnoho příkladů používání sociálního inženýrství (doporučuji hledat a čtení - to je zajímavé), z nichž některé ohromují svou milost. Obecně se tato metoda scvrkává na skutečnost, že téměř jakékoli informace nezbytné pro přístup k důvěrným informacím lze získat pomocí lidských slabostí.
A dám jen jednoduchý a ne zvlášť elegantní příklad domácnosti související s heslami. Jak víte, na mnoha stránkách k obnovení hesla stačí zavést odpověď na kontrolní otázku: Kterou školu jste studovali, rodné jméno matky, přezdívku domácího mazlíčka ... i když jste již nezveřejnili Tyto informace v otevřeném přístupu na sociálních sítích, jak si myslíte, je obtížné, ať už pomocí stejných sociálních sítí, známých s vámi, nebo zvláště seznámeným, nenápadně takové informace?
Jak zjistit, že vaše heslo bylo napadeno
No, na konci článku, několik služeb, které vám umožní zjistit, zda bylo vaše heslo napadeno smířením vaší e -mailové adresy nebo názvu uživatele pomocí databází hesel, které přistupovali hackery. (Jsem trochu překvapen, že mezi nimi je příliš významné procento databází z ruských služeb s nápisem).
- https: // laveibeenpwned.Com/
- https: // breachalarm.Com/
- https: // pwnedList.Com/dotaz
Našel váš účet v seznamu slavných hackerů? Má smysl změnit heslo, ale podrobněji o bezpečných praktikách ve vztahu k hesmům účtů budu v nadcházejících dnech napíšu.