Hackovacie heslá, bez ohľadu na to, aké heslá majú - od mailu, online bankovníctva, Wi-Fi alebo od účtov Vkontakte a Odnoklassniki - sa nedávno stali častou udalosťou. To je z veľkej časti dôsledkom skutočnosti, že používatelia nedodržiavajú pomerne jednoduché bezpečnostné pravidlá pri vytváraní, ukladaní a používaní hesiel. Ale to nie je jediný dôvod, prečo môžu heslá spadnúť do nesprávnych rúk.
Tento článok poskytuje podrobné informácie o tom, aké metódy je možné použiť na vylúčenie hesiel používateľa a prečo ste zraniteľní voči týmto útokom. A na konci nájdete zoznam služieb online, ktoré vás informujú, či už vaše heslo bolo ohrozené. Bude tiež (už) druhý článok o tejto téme, ale odporúčam, aby ste si ju prečítali z aktuálnej recenzie a až potom prejdete na ďalšiu.
Aktualizácia: je pripravený nasledujúci materiál - About Password Security, ktorý popisuje ako maximálne zabezpečiť vaše účty a heslá.
Aké metódy sa používajú na spúšťanie hesiel
Pre používanie hackerových hesiel nie je taká široká škála rôznych techník. Takmer všetky z nich sú známe a takmer akýkoľvek kompromis dôverných informácií sa dosiahne použitím jednotlivých metód alebo ich kombinácií.
phishing
Najčastejším spôsobom, ako je dnes "odobratý" heslami populárnych e-mailových služieb a sociálnych sietí, je phishing a táto metóda funguje pre veľmi veľké percento používateľov.
Podstatou tejto metódy je, že sa ocitnete na známej lokalite (rovnako ako Gmail, VC alebo Odnoklassniki) a z jedného alebo iného dôvodu vás požiadame o zadanie svojho používateľského mena a hesla (ak sa chcete prihlásiť, potvrdiť niečo, zmeniť, atď.). Ihneď po zadaní hesla je od narušiteľov.
Ako sa to stane: môžete dostať list, údajne od servisnej služby, v ktorom sa uvádza, že sa musíte prihlásiť do svojho účtu a pri prepnutí na túto stránku sa zobrazí odkaz, ktorý presne skopíruje pôvodný. Je možné, že po náhodnej inštalácii nežiaduceho softvéru do počítača sa systémové nastavenia zmenia tak, že keď zadáte adresu stránky, ktorú potrebujete, do adresného riadka prehliadača, dostanete sa na stránku určenú na neoprávnené získavanie údajov, ktorá bola vytvorená presne rovnakým spôsobom.
Ako som už uviedol, na to spadá veľa používateľov a zvyčajne je to kvôli nedbanlivosti:
- Po doručení listu,ktoré v jednej alebo inej forme ponúkajú prihlásenie sa do svojho účtu na konkrétnom webe, venujte pozornosť tomu, či bola skutočne odoslaná z e-mailovej adresy na tejto stránke: podobné adresy sa zvyčajne používajú. Napríklad namiesto [email protected] môže byť [email protected] alebo niečo podobné. Správna adresa však nie vždy zaručuje, že je všetko v poriadku.
- Skôr než zadáte heslo kdekoľvek, dôkladne sa pozrite do adresného riadka prehliadača. Najskôr je potrebné presne uviesť miesto, na ktorom chcete ísť. Avšak v prípade malware v počítači to nestačí. Mali by ste tiež venovať pozornosť prítomnosti šifrovania spojenia, ktoré možno určiť pomocou protokolu https namiesto http a obrázku "zámok" v paneli s adresou kliknutím na ktoré sa môžete uistiť, že ste na tejto stránke. Takmer všetky vážne zdroje, ktoré vyžadujú prihlásenie do účtu, používajú šifrovanie.
Mimochodom, poznamenávam, že tak phishingové útoky, ako aj metódy vyhľadávania hesla (popísané nižšie) neznamenajú starostlivú prácu jednej osoby (to znamená, že nepotrebujú manuálne zadávať milión hesiel) - to všetko sa robí prostredníctvom špeciálnych programov, rýchlo a vo veľkých objemoch. , a potom informujte o pokroku útočníka.Navyše tieto programy nemusia pracovať na počítači hackerov, ale tajne na vašom počítači a medzi tisíckami ďalších používateľov, čo značne zvyšuje efektivitu hackerov.
Výber hesla
Útoky používajúce heslá (Brute Force, brutálna sila v ruštine) sú tiež bežné. Ak pred niekoľkými rokmi bola väčšina týchto útokov skutočne vyhľadávaná prostredníctvom všetkých kombinácií určitej sady znakov na vytvorenie hesiel určitej dĺžky, potom je v súčasnosti všetko o niečo jednoduchšie (pre hackerov).
Analýza miliónov hesiel, ktoré unikli v posledných rokoch, ukazuje, že menej ako polovica z nich je jedinečná, zatiaľ čo na tých miestach, kde žijú väčšinou neskúsení užívatelia, je percento pomerne malé.
Čo to znamená? Všeobecne platí, že hacker nemusí prejsť nespočetnými miliónmi kombinácií: má základňu 10 až 15 miliónov hesiel (približné číslo, ale blízko k pravde) a nahrádza len tieto kombinácie, môže vylúčiť takmer polovicu účtov na akomkoľvek mieste.
V prípade cieleného útoku na konkrétny účet sa okrem základne môže použiť aj brutálna sila,a moderný softvér vám to umožní robiť to pomerne rýchlo: heslo s 8 znakmi môže byť popraskané za niekoľko dní (a ak sú tieto znaky dátum alebo kombinácia mena a dátumu, nie je neobvyklé v priebehu niekoľkých minút).
Upozorňujeme: ak používate rovnaké heslo pre rôzne stránky a služby, potom akonáhle je vaše heslo a príslušná e-mailová adresa ohrozené v niektorej z nich, pomocou špeciálneho softvéru sa táto rovnaká kombinácia prihlasovacích údajov a hesla testuje na stovkách ďalších lokalít. Napríklad hneď po úniku niekoľkých miliónov hesiel Gmail a Yandex na konci minulého roka vznikla vlna hackerských účtov od Origin, Steam, Battle.net a Uplay (myslím, že mnoho ďalších, len pre špecifikované herné služby, ktoré som opakovane kontaktoval).
Hacking stránky a získavanie hesiel hash
Najzávažnejšie stránky neuchovávajú vaše heslo v podobe, v akej ho poznáte. V databáze sa ukladá iba hash - výsledok aplikácie nezvratnej funkcie (to znamená, že nemôžete získať heslo z tohto výsledku) na heslo. Keď sa prihlásite na stránku, prepočíta sa hash a ak sa zhoduje s tým, čo je uložené v databáze, znamená to, že ste heslo správne zadali.
Ako sa dá ľahko odhadnúť, sú to šachy, ktoré sú uložené, a nie samotné heslá len z bezpečnostných dôvodov - takže keď sa hacker dostal do databázy a dostal ho, nemohol použiť informácie a zistiť heslá.
Často však môže urobiť toto:
- Na výpočet hash sa používajú určité algoritmy, z ktorých väčšina je známa a bežná (to znamená, že ich môže použiť každý).
- S databázami s miliónmi hesiel (z klauzuly brutálnej sily) má útočník prístup aj k heslám týchto hesiel, vypočítaných pomocou všetkých dostupných algoritmov.
- Porovnaním informácií z výslednej databázy a heslom z našej databázy môžete určiť, ktorý algoritmus sa používa a zistiť skutočné heslá pre časť záznamov v databáze jednoduchým porovnaním (pre všetky ne-jedinečné). Nástroje brute-force vám pomôžu naučiť zvyšok unikátnych, ale krátkych hesiel.
Ako môžete vidieť, marketingové tvrdenia rôznych služieb, ktoré neukladajú vaše heslá na vaše stránky, vás nemusia nevyhnutne chrániť pred jej únikom.
Spyware (Spyware)
Spyware alebo spyware - širokú škálu malware,skryté nainštalované na počítači (špionážne funkcie môžu byť tiež súčasťou nejakého potrebného softvéru) a zbierať informácie o používateľovi.
Medzi niektoré typy SpyWare, napríklad keyloggery (programy, ktoré sledujú stlačené klávesy) alebo skryté analyzátory premávky, sa môžu použiť (a používajú sa) na získanie hesiel pre používateľa.
Otázky na sociálne inžinierstvo a obnovenie hesla
Ako nám hovorí Wikipedia, sociálne inžinierstvo je spôsob prístupu k informáciám založeným na charakteristikách psychológie človeka (to zahŕňa phishingu spomenutú vyššie). Na internete môžete nájsť veľa príkladov využitia sociálneho inžinierstva (odporúčam vyhľadávanie a čítanie - to je zaujímavé), z ktorých niektoré sú pozoruhodné v ich elegancii. Metóda vo všeobecnosti zhoršuje skutočnosť, že takmer všetky informácie potrebné na prístup k dôverným informáciám možno získať pomocou ľudských nedostatkov.
A dám iba jednoduchý a nie príliš elegantný príklad domácnosti súvisiaci s heslami. Ako viete, na mnohých miestach na obnovenie hesla stačí odpovedať na testovú otázku: na ktorej škole ste študovali,rodné meno matky, prezývka pre domácich miláčikov ... Aj keď ste tieto informácie ešte neuverejnili vo verejnom prístupe v sociálnych sieťach, myslíte si, že je ťažké používať rovnaké sociálne siete, oboznámiť sa s vami alebo oboznámiť sa s týmito informáciami nenápadne?
Ako vedieť, že vaše heslo bolo napadnuté
No a na konci článku niekoľko služieb, ktoré vám umožnia zistiť, či vaše heslo bolo popraskané, skontrolovať svoju e-mailovú adresu alebo používateľské meno s databázami hesiel, ktoré boli prístupné hackerom. (Som trochu prekvapený, že medzi nimi existuje veľmi významné percento databáz z ruských jazykových služieb).
Váš účet bol nájdený v zozname známych hackerov? Je zmysluplné zmeniť heslo, ale podrobnejšie o bezpečných postupoch vo vzťahu k heslám účtu, budem napísať v najbližších dňoch.
