Hakovanje lozinki, bilo koje lozinke koje mogu imati - od pošte, online bankarstva, Wi-Fi-a ili od računa Vkontakte-a i Odnoklassnika-a, nedavno je postao čest događaj. To je uglavnom zbog činjenice da se korisnici ne pridržavaju prilično jednostavnih sigurnosnih pravila pri kreiranju, čuvanju i korištenju lozinki. Ali to nije jedini razlog zbog kojeg lozinke mogu pasti u pogrešne ruke.
Ovaj članak pruža detaljne informacije o tome koje metode se mogu koristiti za kreiranje korisničkih lozinki i zašto ste podložni takvim napadima. Na kraju ćete naći listu online usluga koje će vas obavestiti da li je vaša lozinka već ugrožena. Takodje ce biti (vec) drugi clanak o ovoj temi, ali vam preporucujem da ga citate iz trenutne recenzije, i tek onda nastavite do sledece.
Ažuriranje: sljedeći materijal je spreman - O sigurnosti lozinke, koja opisuje kako maksimalno zaštititi svoje račune i lozinke za njih.
Koje metode se koriste za kreiranje lozinki
Za hakovanje lozinki se ne koristi širok spektar različitih tehnika. Gotovo svi od njih su poznati i gotovo svaki kompromis povjerljivih informacija se postiže korištenjem individualnih metoda ili njihovih kombinacija.
Phishing
Najčešći način na koji današnje lozinke „oduzimaju“ popularne usluge e-pošte i društvene mreže je phishing, a ova metoda radi za veoma veliki procenat korisnika.
Suština metode je da se nađete na poznatom sajtu (na primer, isti Gmail, VC ili Odnoklassniki), i iz nekog razloga se od vas traži da unesete svoje korisničko ime i lozinku (da se prijavite, potvrdite nešto, za njegovu promenu, itd.). Odmah nakon unošenja lozinke dolazi od uljeza.
Kako se to događa: možete dobiti pismo, navodno od službe za podršku, u kojoj se navodi da se morate prijaviti na svoj račun i dati link, kada se prebacite na ovu stranicu, koja točno kopira originalnu. Moguće je da se nakon slučajne instalacije neželjenog softvera na računaru, postavke sistema promijene na takav način da kada unesete adresu lokacije koja vam je potrebna u adresnu traku pretraživača, zapravo dođete do phishing stranice dizajnirane na potpuno isti način.
Kao što sam već napomenuo, mnogi korisnici padaju na to, i obično je to zbog nepažnje:
- Kada dobijete pismo koje vam u jednom ili drugom obliku nudi da se prijavite na svoj račun na određenoj lokaciji, obratite pažnju na to da li je poslata sa adrese e-pošte na ovom sajtu: slične adrese se obično koriste. Na primjer, umjesto [email protected], može biti [email protected] ili nešto slično. Međutim, ispravna adresa ne garantuje uvijek da je sve u redu.
- Prije nego što unesete lozinku bilo gdje, pažljivo pogledajte u adresnu traku vašeg preglednika. Pre svega, mora se navesti tačno mesto na koje želite da idete. Međutim, u slučaju malvera na računaru, to nije dovoljno. Takođe treba obratiti pažnju i na prisustvo enkripcije veze, koja se može odrediti korišćenjem https protokola umesto http i slike "zaključavanja" u adresnoj traci, klikom na koje, možete se uveriti da ste na ovom sajtu. Gotovo svi ozbiljni resursi koji zahtijevaju prijavu na vaš račun koriste enkripciju.
Inače, primetiću da i phishing napadi i metode pretrage lozinke (opisane u nastavku) ne podrazumevaju mukotrpan posao jedne osobe (tj. Ne moraju ručno da unose milion lozinki) - sve to rade specijalni programi, brzo i u velikim količinama , a zatim izvještava o napretku napadača. Štaviše, ovi programi ne mogu da rade na računaru hakera, već tajno na vašem i među hiljadama drugih korisnika, što uveliko povećava efikasnost haka.
Izbor lozinke
Napadi korištenjem oporavka lozinke (Brute Force, brutalna sila na ruskom) također su prilično česti. Pre nekoliko godina, većina ovih napada je bila zaista potraga kroz sve kombinacije određenog skupa znakova da bi se sastavile lozinke određene dužine, a sada je sve nešto jednostavnije (za hakere).
Analiza milionskih lozinki koje su izbjegle posljednjih godina pokazuje da je manje od polovice njih jedinstveno, dok na tim mjestima gdje uglavnom žive neiskusni korisnici, postotak je prilično mali.
Šta to znači? Generalno, haker ne mora da prolazi kroz bezbrojne milione kombinacija: ima bazu od 10-15 miliona lozinki (približan broj, ali blizu istine) i zamenjujući samo ove kombinacije, može da hakuje skoro polovinu računa na bilo kom sajtu.
U slučaju ciljanog napada na određeni račun, pored baze, može se koristiti i jednostavna brutalna sila, a moderan softver vam omogućuje da to uradite relativno brzo: lozinka od 8 znakova može biti ispucana za nekoliko dana (a ako su ti znakovi datum ili kombinacija i datumi, što nije neuobičajeno - u minutama).
Napomena: ako koristite istu lozinku za različite sajtove i servise, onda čim je vaša lozinka i odgovarajuća e-mail adresa kompromitovana na bilo kom od njih, uz pomoć specijalnog softvera ova ista kombinacija login-a i lozinke biće testirana na stotinama drugih sajtova. Na primer, odmah nakon curenja nekoliko miliona Gmail i Yandex lozinki krajem prošle godine, talas hakovanja računa potiče od Origin, Steam, Battle.net i Uplay (mislim da su mnogi drugi, samo za određene usluge igranja koje sam više puta kontaktirao).
Hakovanje sajtova i dobijanje hashova lozinki
Većina ozbiljnih sajtova ne čuva vašu lozinku u obliku u kojem ga znate. U bazi podataka pohranjuje se samo hash - rezultat primjene ireverzibilne funkcije (tj. Ne možete ponovno dobiti vašu lozinku od ovog rezultata) u lozinku. Kada se prijavite na web-lokaciju, hash se ponovno izračunava i, ako odgovara onome što je pohranjeno u bazi podataka, to znači da ste ispravno unijeli lozinku.
Kao što je lako pogoditi, to su hešovi koji se čuvaju, a ne same lozinke, samo iz sigurnosnih razloga - tako da kada haker uđe u bazu podataka i primi ih, ne može koristiti informacije i naučiti lozinke.
Međutim, često to može učiniti:
- Da bi se izračunao hash, koriste se određeni algoritmi, od kojih je većina poznata i uobičajena (tj. Svako ih može koristiti).
- Imajući baze podataka sa milionima lozinki (iz klauzule brute force), napadač takođe ima pristup hashovima ovih lozinki izračunatih koristeći sve dostupne algoritme.
- Upoređivanjem informacija iz rezultirajućih hash-ova baze podataka i lozinki iz vlastite baze podataka, možete odrediti koji algoritam se koristi i saznati prave lozinke za dio zapisa u bazi podataka jednostavnim upoređivanjem (za sve one koji nisu jedinstveni). A brutalni alati će vam pomoći da naučite ostatak jedinstvenih, ali kratkih lozinki.
Kao što možete vidjeti, marketinške tvrdnje različitih servisa koje ne pohranjuju vaše lozinke na vašoj web-lokaciji ne moraju vas nužno zaštititi od curenja.
Spyware (SpyWare)
SpyWare ili spyware - širok raspon zlonamjernog softvera koji je tajno instaliran na računalu (špijunski softver također može biti uključen kao dio nekog potrebnog softvera) i prikuplja korisničke informacije.
Između ostalog, određene vrste SpyWarea, na primjer, keyloggers (programi koji prate tipke koje pritisnete) ili skriveni analizatori prometa, mogu se koristiti (i koriste) za dobivanje korisničkih lozinki.
Pitanja za socijalno inženjerstvo i zaštitu lozinki
Kao što nam Wikipedija kaže, socijalni inženjering je metoda pristupa informacijama zasnovana na karakteristikama psihologije osobe (ovo uključuje i prije spomenuti phishing). Na internetu možete pronaći mnoge primjere korištenja socijalnog inženjeringa (preporučujem da pretražite i čitate - to je zanimljivo), od kojih su neke upečatljive u svojoj eleganciji. U principu, metoda se svodi na činjenicu da se gotovo sve informacije potrebne za pristup povjerljivim informacijama mogu dobiti pomoću ljudskih slabosti.
I dat ću samo jednostavan i ne baš elegantan kućni primjer koji se odnosi na lozinke. Kao što znate, na mnogim sajtovima za oporavak lozinke, dovoljno je da unesete odgovor na kontrolno pitanje: koju školu ste pohađali, devojačko prezime majke, ime kućnog ljubimca ... Čak i ako niste već objavili ove informacije u otvorenom pristupu na društvenim mrežama, mislite li da je teško da li upotreba istih društvenih mreža, poznavanje vas, ili posebno upoznavanje, nenametljivo dobijaju takve informacije?
Kako znati da je vaša lozinka hakirana
Pa i na kraju članka, nekoliko servisa koji vam omogućavaju da saznate da li je vaša lozinka pokvarena, tako što ćete proveriti vašu adresu e-pošte ili korisničko ime sa bazama podataka sa lozinkama kojima su pristupali hakeri. (Malo sam iznenađen što među njima postoji previše značajan procenat baza podataka iz usluga na ruskom jeziku).
- //haveibeenpwned.com/
- //breachalarm.com/
- //pwnedlist.com/query
Pronašli ste svoj račun na listi poznatih hakera? Ima smisla mijenjati lozinku, ali detaljnije o sigurnim praksama u odnosu na lozinke za račun, pisat ću u narednim danima.