Ang pag-hack sa mga password, bisan unsa nga mga password nga ilang nabatonan - gikan sa mail, online banking, Wi-Fi o gikan sa Vkontakte ug Odnoklassniki accounts, bag-ohay nga nahimong usa ka kanunay nga panghitabo. Kini kadaghanan tungod sa kamatuoran nga ang mga tiggamit wala magsunod sa mga patas nga kasegurohan nga mga lagda sa seguridad sa paghimo, pagtago ug paggamit sa mga password. Apan kini dili lamang ang hinungdan sa mga password nga mahulog ngadto sa sayup nga mga kamot.
Kini nga artikulo naghatag detalyadong kasayuran kung unsa nga mga pamaagi ang mahimong gamiton sa pagsumpo sa mga password sa gumagamit ug kung nganong dali ka nga maatake sa maong mga pag-atake. Ug sa katapusan makit-an nimo ang usa ka listahan sa mga serbisyo sa online nga magpahibalo kanimo kon ang imong password na-kompromiso na. Adunay mahimo usab nga ikaduha nga artikulo sa hilisgutan, apan akong girekomendar ang pagbasa niini gikan sa kasamtangan nga pagrepaso, ug unya dayon moadto sa sunod nga usa.
Pag-update: ang mosunod nga materyal andam na - Mahitungod sa seguridad sa password, nga naghulagway kon unsaon pag-ayo ang imong mga account ug mga password ngadto kanila.
Unsa nga mga pamaagi ang gigamit sa pagluka sa mga password
Kay ang pagpangagpas sa mga password dili gigamit sa usa ka nagkalain-laing lainlaing mga pamaagi. Hapit tanan kanila nahibal-an ug hapit bisan unsa nga pagkompromiso sa kompidensyal nga kasayuran ang makab-ot pinaagi sa paggamit sa indibidwal nga mga pamaagi o sa ilang mga kombinasyon.
Phishing
Ang labing komon nga paagi nga ang mga password karon nga "pagkuha" sa popular nga mga serbisyo sa email ug mga social network mao ang phishing, ug kini nga pamaagi naglihok alang sa usa ka dako kaayong porsiyento sa mga tiggamit.
Ang diwa sa maong pamaagi mao nga makita nimo ang imong kaugalingon sa usa ka pamilyar nga site (sama nga Gmail, VC o Odnoklassniki, pananglitan), ug alang sa usa ka rason o sa lain nga gihangyo nga imong isulod ang imong username ug password (mag log in, alang sa iyang pagbag-o, ug uban pa). Diha-diha dayon human sa pagsulod sa password gikan sa mga intruders.
Giunsa kini mahitabo: makadawat ka og usa ka sulat, kuno gikan sa serbisyo sa pagsuporta, nga nag-ingon nga kinahanglan ka mag log in sa imong account ug usa ka link gihatag, kung ikaw mobalhin sa niini nga site, nga eksaktong kopya sa orihinal nga usa. Kini posible nga human dayon nga pag-instalar sa dili gusto nga software sa usa ka computer, ang mga setting sa sistema mausab sa usa ka paagi nga sa pagsulod sa address sa site nga kinahanglan nimo sa address bar sa browser, sa aktuwal moadto ka sa usa ka phishing site nga gidisenyo sa sama nga paagi.
Ingon na akong namatikdan, daghang mga tiggamit ang nahulog alang niini, ug sa kasagaran kini tungod sa kawalay pagtagad:
- Kon makadawat ka ug usa ka sulat nga sa usa ka porma o sa lain nga nagtanyag kanimo sa pag-log in sa imong account sa usa ka partikular nga site, paghatag og pagtagad sa kung gipadala kini gikan sa email address sa niini nga site: susama nga mga adres kasagarang gigamit. Pananglitan, imbis nga [email protected], kini mahimong [email protected] o susama nga butang. Bisan pa, ang husto nga address dili kanunay nga garantiya nga ang tanan anaa sa kahusay.
- Sa dili ka pa mosulod sa imong password bisan asa, tan-aw sa address bar sa imong browser. Una sa tanan, kinahanglan gayud nga ipahayag gayud ang dapit nga gusto nimo nga pagaadtoan. Apan, sa kaso sa malware sa usa ka computer, kini dili igo. Kinahanglan mo usab hatagan og pagtagad ang presensya sa encryption sa koneksyon, nga matino pinaagi sa paggamit sa https protocol inay sa http ug sa larawan sa "lock" sa address bar, pinaagi sa pag-klik kung asa, mahimo ka nga masiguro nga anaa ka sa niini nga site. Hapit ang tanan nga seryoso nga mga kapanguhaan nga nagkinahanglan nga mag-log in sa imong account gamit ang encryption.
Pinaagi sa dalan, akong makita dinhi nga ang mga pag-atake sa phishing ug mga pamaagi sa pagpangita sa password (gihulagway sa ubos) wala magpasabot nga ang usa ka tawo sa usa ka tawo (sa ato pa, dili kinahanglan nga mosulod sa usa ka milyon nga mga password sa kamut) - kining tanan gihimo sa espesyal nga mga programa, sa madali ug sa daghang mga volume. , ug unya i-report ang pag-uswag sa tig-atake. Dugang pa, kini nga mga programa dili mahimo sa kompyuter sa hacker, apan sa tago sa imo ug taliwala sa liboan ka mga tiggamit, nga nagdugang pag-ayo sa pagka-epektibo sa mga hack.
Pagpili sa Sandi
Ang pag-atake gamit ang pagbawi sa password (Brute Force, brute nga pwersa sa Russian) komon usab. Kung pipila ka tuig na ang milabay, kadaghanan niini nga mga pag-atake usa gayud ka pagpangita pinaagi sa tanang mga kombinasyon sa usa ka hugpong sa mga karakter aron sa pagkomposo sa mga password sa usa ka gitas-on, nan sa pagkakaron ang tanan medyo mas simple (alang sa mga hacker).
Ang pag-analisar sa minilyon nga mga password nga naka-eskapo sa bag-ohay nga mga tuig nagpakita nga dili mokapin sa tunga niini ang talagsaon, samtang sa mga dapit diin kadaghanan nga walay kasinatian nga tiggamit buhi, ang porsyento gamay ra.
Unsay gipasabut niini? Sa kinatibuk-an, ang hacker dili kinahanglan nga moagi sa dili maihap nga minilyon nga mga kombinasyon: nga adunay base nga 10-15 milyon nga mga password (usa ka gibana-bana nga gidaghanon, apan duol sa kamatuoran) ug gipuli lamang kini nga mga kombinasyon, mahimo niya ang pag-hack sa halos katunga sa mga account sa bisan asa nga site.
Sa kaso sa target nga pag-atake sa usa ka piho nga account, dugang pa sa base, ang simple nga brute force mahimo nga gamiton, ug ang modernong software nagtugot kanimo nga buhaton kini nga medyo madali: ang usa ka password nga 8 ka mga karakter mahimong usik sa pipila ka adlaw (ug kung kini nga mga karakter usa ka petsa o kombinasyon sa ug mga petsa, nga dili kasagaran - sa mga minuto).
Palihug timan-i: Kung gigamit nimo ang sama nga password alang sa lain-laing mga site ug mga serbisyo, dayon sa diha nga ang imong password ug ang katugbang nga e-mail address makompromiso sa bisan kinsa niini, uban sa tabang sa espesyal nga software kini nga kombinasyon sa login ug password pagasulayan sa gatusan ka laing mga site. Pananglitan, human dayon sa pagtay-og sa pipila ka milyon nga mga Gmail ug Yandex nga mga password sa katapusan sa miaging tuig, ang usa ka wave of hacking accounts naggikan sa Origin, Steam, Battle.net ug Uplay (sa akong hunahuna daghang uban pa, alang sa gitakda nga mga serbisyo sa pasugay nga balikbalik nakong nakontak).
Mga hacking site ug pagkuha og password nga hash
Ang labing seryoso nga mga site wala magtipig sa imong password sa porma nga imong nahibal-an. Usa lamang ka hash ang gitipigan sa database - ang resulta sa paggamit sa usa ka dili mabalik nga function (nga mao, dili nimo makuha ang imong password pag-usab gikan niini nga resulta) ngadto sa password. Kon mag-log on ka sa site, ang hash gibanabana nga gibanabana ug, kon kini nga katumbas sa unsa ang gitipigan sa database, kini nagpasabot nga imong gisulod ang pasword sa hustong paagi.
Ingon nga sayon ang pagtag-an, kini ang mga hash nga gitipigan, ug dili ang mga password mismo, alang lamang sa mga hinungdan sa seguridad - aron kon ang usa ka hacker makasulod sa database ug makadawat niini, dili siya makagamit sa impormasyon ug makat-on sa mga password.
Apan, sa kasagaran, mahimo niya kini:
- Aron makalkulo ang hash, ang pipila ka mga algorithm gigamit, kadaghanan niini nailhan ug komon (nga mao, adunay magamit niini).
- Ang pagbutang sa mga database sa minilyong mga password (gikan sa brute force clause), ang tig-atake usab adunay access sa mga hash sa mga password nga gikalkula gamit ang tanang mga algorithm nga anaa.
- Pinaagi sa pagtandi sa mga impormasyon gikan sa resulta nga database ug password nga gikan sa imong kaugalingong database, mahimo nimong mahibal-an kung unsa nga algorithm ang gigamit ug mahibal-an ang tinuod nga mga password alang sa usa ka bahin sa mga rekord sa database pinaagi sa usa ka simple nga pagtandi (alang sa tanan nga dili talagsaon). Ug ang mga himan sa kusog nga pwersa makatabang kanimo sa pagkat-on sa nahabilin nga talagsaon, apan mubo nga mga password.
Sumala sa imong makita, ang pag-angkon sa pag-angkon sa nagkalain-laing mga serbisyo nga wala nila ibutang ang imong mga password sa imong site dili kinahanglan nga manalipod kanimo gikan sa leakage.
Spyware (SpyWare)
SpyWare o spyware - usa ka nagkalainlain nga malisyosong software nga tago nga gitaud sa usa ka computer (spyware mahimo usab nga ilakip ingon nga bahin sa pipila ka gikinahanglan nga software) ug mikolekta ang impormasyon sa user.
Lakip sa ubang mga butang, ang pipila ka mga matang sa SpyWare, pananglitan, ang mga keyloggers (mga programa nga nagsubay sa mga yawe nga imong gipugos) o gitago nga mga analyser sa trapiko, mahimong magamit (ug gigamit) aron makakuha sa mga password sa tiggamit.
Mga pangutana sa pag-ayo sa social engineering ug password
Sumala sa giingon sa Wikipedya, ang social engineering usa ka pamaagi sa pagkuha sa impormasyon base sa mga kinaiya sa psychology sa usa ka tawo (kini naglakip sa phishing nga gihisgutan sa ibabaw). Sa Internet, makakaplag ka daghang mga ehemplo sa paggamit sa sosyal nga engineering (akong girekomendar ang pagpangita ug pagbasa - kini nga makapaikag), nga ang uban niini makapahibulong sa ilang elegance. Sa kinatibuk-an, ang pamaagi naglambigit sa kamatuoran nga ang bisan unsa nga kasayuran nga gikinahanglan sa pag-access sa kompidensyal nga kasayuran mahimong makuha pinaagi sa tawhanong mga kahuyang.
Ug ako mohatag lamang sa yano ug dili labi ka elegante nga panig-ingnan sa panimalay nga may kalabutan sa mga password. Sama sa imong nahibal-an, sa daghan nga mga site alang sa pagbawi sa password, kini igo na nga makasulod sa tubag sa kontrol nga pangutana: diin nga eskuylahan ang imong gitambongan, ang ngalan sa dalaga sa inahan, ngalan sa binuhi ... Bisan kon wala nimo ibutang kining impormasyon sa bukas nga pag-access sa mga social network, sa imong hunahuna kini lisud nagagamit man kamo sa sama nga mga social network, nga pamilyar sa inyo, o ilabi na nga nahibal-an, sa walay duhaduha nakuha ang ingon nga kasayuran?
Unsaon pagkahibalo nga gibutang ang imong password sa hack
Maayo ug, sa katapusan sa artikulo, daghang mga serbisyo nga nagtugot kanimo nga mahibal-an kon ang imong password na-crack, pinaagi sa pagsusi sa imong email address o username sa mga database nga password nga gi-access sa mga hacker. (Ako usa ka gamay nga natingala nga taliwala kanila adunay daghan kaayo nga porsyento sa mga database gikan sa Russian nga pinulongan nga mga serbisyo).
- //haveibeenpwned.com/
- //breachalarm.com/
- //pwnedlist.com/query
Nakita ba ang imong account sa listahan sa mga nailhan nga hackers? Makatarunganon nga usbon ang password, apan sa dugang nga detalye mahitungod sa luwas nga mga batasan kalabut sa mga password sa account, ako mosulat sa umaabot nga mga adlaw.
