Хакерлік парольдер, кез-келген парольдер - пошта, онлайн-банкинг, Wi-Fi немесе Vkontakte және Odnoklassniki шоттарынан жақында жиі кездесетін оқиға болды. Бұл негізінен парольдерді жасау, сақтау және пайдалану кезінде пайдаланушылар қарапайым қарапайым қауіпсіздік ережелерін ұстанбауына байланысты. Бірақ бұл парольдер дұрыс қолға түспеуі мүмкін емес.
Бұл мақалада пайдаланушының парольдерін бұзу үшін қандай әдістер пайдаланылуы мүмкін екендігі туралы және осы шабуылдарға неге осалдығыңыз туралы толық ақпарат бар. Ақырында сіз парольдің бұзылған-жатпағанын білуге мүмкіндік беретін онлайн-қызметтердің тізімін таба аласыз. Сондай-ақ тақырып бойынша екінші мақала (қазірдің өзінде) болады, бірақ мен оны ағымдағы шолудан оқып шығуды ұсынамын, содан кейін ғана келесіге өту.
Жаңарту: Төмендегі материал дайын - Құпия сөз қауіпсіздігі туралы, сіздің шоттарыңыз бен құпиясөздеріңізді барынша қорғауға арналған.
Құпияларды жарату үшін қандай әдістер қолданылады?
Құпиясөздерді бұзу үшін түрлі әдістердің кең ауқымы пайдаланылмайды. Олардың барлығы дерлік танымал және құпия ақпараттың кез-келген дереу жеке әдістерін немесе олардың комбинацияларын қолдану арқылы қол жеткізіледі.
Фишинг
Бүгінгі парольдер танымал электрондық пошта қызметтері мен әлеуметтік желілерді «алып тастайды», фишинг болып табылады және бұл әдіс пайдаланушыларға өте үлкен пайызбен жұмыс істейді.
Әдістің мәні - сіз таныс сайтта (мысалы, Gmail, VC немесе Odnoklassniki сияқты) кездесесіз және бір себептермен сізден өзіңіздің қолданушы атыңыз бен пароліңізді енгізуді сұрайсыз (кіру, бір нәрсені растау, оның өзгеруі және т.б.). Құпия сөзді енгізгеннен кейін злоумыштар келіп түскен.
Бұл қалай жүзеге асады? Сіз өзіңіздің есептік жазбаңызға кіріп, осы сайтқа ауысқан кезде түпнұсқа көшіретін сілтеме берілгенін мәлімдейтін қолдау қызметінен хат ала аласыз. Компьютерде қажетсіз бағдарламалық жасақтаманы кездейсоқ орнатқаннан кейін, жүйе параметрлері браузердің мекенжай жолына қажет сайттың мекенжайын енгізгенде өзгеріп отыруы мүмкін, сіз шынымен дәл осындай түрде жасалған фишингтік сайтқа кіре аласыз.
Жоғарыда айтып өткенімдей, бұл үшін өте көп пайдаланушылар құлап жатыр, және әдетте бұл абайсыздықпен байланысты:
- Сізге белгілі бір сайтта тіркелгіңізге кіруді ұсынатын хатты алған кезде, осы сайттың электрондық пошта мекенжайынан жіберілген-жібермегеніне назар аударыңыз: әдеттегідей мекенжайлар әдетте пайдаланылады. Мысалы, [email protected] орнына [email protected] немесе ұқсас нәрсе болуы мүмкін. Дегенмен, дұрыс мекен-жайы әрдайым барлық тәртіпте болатынына кепілдік бермейді.
- Құпия сөзді кез келген жерде енгізер алдында браузеріңіздің мекенжай жолын мұқият қараңыз. Ең алдымен, сіз қайда барғыңыз келетін сайтты көрсету керек. Дегенмен, компьютерде зиянды бағдарлама болған жағдайда бұл жеткіліксіз. Сондай-ақ, HTTP орнына https хаттамасын және мекенжай жолағындағы «құлып» суретін пайдалану арқылы анықталатын қосылымды шифрлеудің бар екеніне назар аударуыңыз керек, оны басу арқылы сіз осы сайтта екеніңізді тексере аласыз. Тіркелгіңізге кіруді талап ететін барлық маңызды ресурстар шифрлауды пайдаланады.
Айтпақшы, фишингтік шабуылдар мен парольдерді іздеу әдістерінің (төменде сипатталған) бір тұлғаның ауыртпалықсыз әрекетін (яғни, миллиондаған парольдерді қолмен енгізудің қажеті жоқ) білдірмейтінін ескертемін - бұның барлығы арнайы бағдарламаларда жылдам және үлкен көлемде жасалады. , сосын шабуылдаушы туралы ақпарат беріңіз. Сонымен қатар, бұл бағдарламалар хакерлердің компьютерінде емес, сіздің жасыңызда және мыңдаған басқа пайдаланушылардың арасында жасырын түрде жұмыс істей алады, бұл хакеттердің тиімділігін айтарлықтай арттырады.
Құпия сөзді таңдау
Құпия сөзді қалпына келтіруді қолданатын шабуылдар (Brute Force, орыс тіліндегі күшті күш) өте таралған. Бірнеше жыл бұрын осы шабуылдардың басым бөлігі белгілі бір ұзындықтың құпия сөздерін жасау үшін белгілі бір таңбалар жинағының барлық комбинациялары арқылы іздестірілді, содан соң барлығы сәл қарапайым (хакерлерге арналған).
Соңғы жылдары аман қалған миллиондаған парольдерді талдау олардың жартысынан азы бірегей екендігін көрсетеді, ал негізінен тәжірибесіз пайдаланушылар өмір сүретін сайттарда пайыз аз.
Бұл нені білдіреді? Жалпы алғанда, хакерлердің миллиондаған тіркесімін өтудің қажеті жоқ: 10-15 миллион парольдің базасы (шамамен саны, бірақ шындыққа жақын) және тек осы комбинацияларды алмастыра отырып, кез келген сайттың шоттарының жартысын бұзуы мүмкін.
Белгілі бір тіркелгіге бағытталған шабуыл жағдайында, базаға қосымша қарапайым күшті күш қолдануға болады, ал қазіргі заманғы бағдарламалық қамтамасыз ету бұл әрекетті жылдам орындауға мүмкіндік береді: 8 таңбадан тұратын құпия сөз бірнеше күнде жарылып кетуі мүмкін (және егер бұл таңбалар күн немесе және сирек кездесетін күндер - минуттар).
Назар аударыңыз: Егер сіз әртүрлі сайттар мен қызметтер үшін сол құпия сөзді пайдалансаңыз, пароль және тиісті электрондық пошта мекенжайыңыз кез келгенінде бұзылғаннан кейін арнайы бағдарламалық жасақтама арқылы логин мен парольдің сол комбинациясы жүздеген басқа сайттарға тестіленеді. Мысалы, өткен жылдың соңында бірнеше миллион Gmail және Яндекс парольдерінің ағып кетуінен кейін бірден хакерлік шоттардың толқыны Origin, Steam, Battle.net және Uplay шыққан болатын (менің ойымша, бірнеше ойын-сауық қызметтері үшін бірнеше рет хабарластым).
Хакерлік сайттар мен парольдерді алу
Ең елеулі сайттар құпия сөзіңізді сіз білетін пішінде сақтамайды. Дерекқорда тек қана хэш сақталады - кері қайтарылмайтын функцияны пайдаланудың нәтижесі (яғни, осы нәтижеден парольді қайтадан ала алмайсыз), құпия сөзге. Сайтқа кіргенде, хэш қайта есептеледі және дерекқорда сақталған деректерге сәйкес келсе, парольді дұрыс енгізгеніңізді білдіреді.
Себебі, хакер деректер базасына еніп, оны алған кезде, ол ақпаратты пайдаланып, парольдерді біле алмай қалады, сондықтан, бұл оңай деп санауға болатындықтан, құпиясөздерді өздері ғана емес, сақталады.
Дегенмен, жиі ол мұны істей алады:
- Хешті есептеу үшін белгілі бір алгоритмдер пайдаланылады, олардың көпшілігі белгілі және ортақ (яғни, оларды кез-келген адам пайдалана алады).
- Миллиондаған парольдермен дерекқорларға ие болу (қатал күшінің тармағынан), шабуылдаушы барлық қол жетімді алгоритмдерді пайдалана отырып есептелген парольдердің хасшаларына қол жеткізе алады.
- Өзіңіздің дерекқорыңыздағы алынған деректер базасынан және парольдерді хаттамалардан салыстыру арқылы қандай алгоритм қолданылғанын және қарапайым салыстыру арқылы дерекқордағы жазбалардың бір бөлігі үшін нақты құпия сөздерді анықтауға болады (барлық бірегей емес). Ал күшті күш құралдары сізге бірегей, бірақ қысқа парольдерді үйренуге көмектеседі.
Көріп отырғандай, сіздің сайтыңыздағы құпиясөздерді сақтамайтын әр түрлі қызметтердің маркетингтік талаптары сізді оның ағып кетуінен қорғамайды.
Шпиондық бағдарламалар (SpyWare)
SpyWare немесе шпиондық бағдарлама - компьютерге жасырылған зиянды бағдарламалардың кең спектрі (шпиондық бағдарлама кейбір қажетті бағдарламалардың бір бөлігі ретінде де қосыла алады) және пайдаланушы ақпаратын жинайды.
Басқа нәрселермен қатар, SpyWare-дің белгілі бір түрлері, мысалы, пернетақтылар (сіз басқан кілттерді қадағалайтын бағдарламалар) немесе жасырын трафикті анализаторлары пайдаланушының парольдерін алу үшін пайдаланылуы мүмкін (және пайдаланылады).
Әлеуметтік инженерия және парольдерді қалпына келтіру мәселелері
Википедия хабарлағандай, әлеуметтік инженерия - бұл адам психологиясының сипаттамаларына негізделген ақпаратқа қол жеткізу әдісі (бұл жоғарыда аталған фишингті қамтиды). Интернеттегі әлеуметтік инжинирингті қолданудың көптеген мысалдарын таба аласыз (мен іздеймін және оқуға ұсынамын - бұл қызықты), олардың кейбіреулері өздерінің талғампаздығына таң қалдырады. Жалпы алғанда, әдіс құпия ақпаратқа қол жеткізу үшін қажетті барлық дерлік ақпаратты адамның әлсіз тұстарын пайдалана отырып алуға болатынына байланысты.
Мен құпия сөздерге қатысты қарапайым және ерекше әсем үй мысалын беремін. Сіз білетіндей, көптеген сайттарда құпия сөзді қалпына келтіру үшін бақылау сұрағына жауап беруіңіз жеткілікті: қандай мектепке бардыңыз, ананың қызығы, үй жануарларының есімі ... Егер сіз бұл ақпаратты әлеуметтік желілерде ашық қолжетімді болмаса да, қиын деп ойлайсыз ба? сол әлеуметтік желілерді пайдалану, сізбен танысу немесе арнайы таныстыру, осындай ақпаратсыз қараусыз ба?
Құпия сөзіңіз бұзылғанын қалай білуге болады
Ал, мақаланың соңында құпия сөзіңіз жарылғанын білуге мүмкіндік беретін, хакерлік хаттамалар арқылы қол жеткізілген электрондық пошта мекенжайыңызды немесе пайдаланушы атыңызды пароль дерекқорларымен тексеру арқылы бірнеше қызмет. (Мен олардың арасында орыс тіліндегі қызметтердің дерекқорларының өте үлкен пайызы бар екеніне таң қаламын).
- //haveibeenpwned.com/
- //breachalarm.com/
- //pwnedlist.com/query
Тіркелгіңізді белгілі хакерлердің тізімінде таптыңыз ба? Құпия сөзді өзгертудің маңызы бар, бірақ есептік жазбалардың парольдеріне қатысты қауіпсіз әдістер туралы егжей-тегжейлі ақпарат аламын, алдағы күндерде жазамын.
