Şifrənizi necə hacked bilər

Şifrələri təhlükə altına ala biləcəklər - mail, onlayn bankçılıq, Wi-Fi və ya Vkontakte və Odnoklassniki hesablarından gələn şifrələr yaxın vaxtlarda baş verən hadisələrə çevrilmişdir. Bu, əsasən, istifadəçilər parol yaratmaq, saxlama və istifadə edərkən olduqca sadə təhlükəsizlik qaydalarına riayət etməməsi ilə bağlıdır. Ancaq parolların yanlış əllərə düşməsinin yeganə səbəbi bu deyil.

Bu yazı, istifadəçi şifrələrini çatdırmaq üçün hansı üsullardan istifadə edilə biləcəyini və bu cür hücumlara qarşı həssas olduğunuzu ətraflı məlumat verir. Sonda siz şifrəniz artıq təhlükəyə məruz qaldığını bildirməyiniz üçün onlayn xidmətlərin siyahısını tapa bilərsiniz. Mövzuyla əlaqədar (artıq) ikinci bir məqalə də olacaq, amma bu nəzərdən oxumağı məsləhət görür və sonra yalnız növbəti birinə keçin.

Yeniləmə: Aşağıdakı maddə hazırdır - Haqq-hesab parolunuzu, hesablarınızı və parollarınızı maksimum şəkildə necə təhlükəsiz təmin etmək lazım olduğunu təsvir edən.

Parolaları çatdırmaq üçün hansı üsullar istifadə olunur

Şifrələnmə parolları üçün müxtəlif üsullardan istifadə edilmir. Demək olar ki, hamısı məlumdur və məxfi informasiyaların hər hansı bir kompromisinə fərdi üsullardan və ya onların birləşməsindən istifadə edilir.

Phishing

Bu günki parolların populyar e-poçt xidmətləri və sosial şəbəkələrdən "götürmək" ən yaygın yolu phishingdir və bu metod istifadəçilərin çox böyük bir hissəsi üçün işləyir.

Metodun mahiyyəti, bir tanış saytda (məsələn, eyni Gmail, VC və ya Odnoklassniki) özünüzü tapmaqdır və bir səbəbdən və ya başqa bir istifadəçi adı və şifrənizi daxil etməyiniz (daxil olmaq, onun dəyişdirilməsi və s.). Şifrə girildikdən dərhal intruderlərdən.

Necə olur: iddia olaraq, hesabınıza daxil olmalısınız və bu sayta köçürdükdə bir link verildiyini iddia edən bir məktub ala bilərsiniz. İstənməyən proqramların təsadüfi bir kompüterə yüklənməsindən sonra sistem parametrləri brauzerin ünvan şəbəkəsinə daxil etdiyiniz saytın ünvanını daxil edərkən həqiqətən eyni şəkildə tərtib edilmiş bir fişinq saytına daxil olmağınızla mümkündür.

Daha qeyd etdiyim kimi, bunun üçün çox sayda istifadəçi düşür və adətən bu diqqətəlayiqdir:

  • Bir formada və ya başqa bir saytda hesabınıza daxil olmağı təklif etdiyiniz bir məktub aldığınızda, bu saytdakı e-poçt ünvanından göndərildiyinə və ya gəlməməsinə diqqət yetirin: oxşar ünvanlar çox vaxt istifadə olunur. Məsələn, [email protected] əvəzinə [email protected] və ya oxşar bir şey ola bilər. Bununla belə, doğru ünvan hər zaman hər şeyin əmrinə zəmanət vermir.
  • Şifrənizi hər hansı bir yerə daxil etməzdən əvvəl brauzerinizin ünvan çubuğuna diqqətlə baxın. İlk növbədə, getmək istədiyin saytın tam göstərilməlidir. Bununla birlikdə, bir kompüterdə malware halda, bu kifayət deyil. Ayrıca, bu saytdakı olduğunuza əmin ola bilərsiniz ki, tıklayarak, http şəbəkəsinin https protokolunu və "kilid" in görüntüsünü istifadə edərək müəyyənləşdirilə bilən bir əlaqə şifrəsinin mövcudluğuna diqqət yetirməlisiniz. Hesabınıza giriş tələb edən demək olar ki, bütün ciddi resurslar şifrələmədən istifadə edir.

Yeri gəlmişkən qeyd edim ki, həm phishing hücumları, həm də şifrə axtarış üsulları (aşağıda təsvir edilmiş) bir şəxsin ağır işi demək deyildir (yəni bir milyon parol əllə daxil etmək lazım deyil) - bütün bunlar xüsusi proqramlar, tez və böyük həcmdə aparılır. və sonra təcavüzkarın inkişafı barədə məlumat verin. Üstəlik, bu proqramlar hacker kompüterində deyil, gizli sizin və digər istifadəçilər arasında, hacks səmərəliliyini artırmaq üçün işləyə bilər.

Şifrə Seçimi

Şifrəni bərpa edən hücumlar (Brute Force, rus dilində güclü güc) də olduqca yaygındır. Bir neçə il bundan əvvəl, bu hücumların əksəriyyəti müəyyən bir uzunluqda parol yaratmaq üçün müəyyən bir simvol birləşməsinin bütün birləşmələri ilə axtarış idi, indi isə hər şey bir qədər sadədir (hakerlər üçün).

Son illərdə qaçan milyonlarla parolun təhlili göstərir ki, onların yarısından azı unikaldır, əksər hallarda təcrübəsiz istifadəçilərin yaşadığı saytlarda isə faiz nisbətən azdır.

Bu nə deməkdir? Hacker, ümumiyyətlə, milyonlarla birləşmədən sayılmamalıdır: 10-15 milyon parol bazası (təxminən bir sayı, lakin həqiqətə yaxın) və yalnız bu birləşmələri əvəz edən hər hansı bir saytdakı hesabların təxminən yarısını hack edə bilər.

Müəyyən bir hesaba hədəflənmiş hücum halında bazaya əlavə olaraq, sadə qüvvətli güc tətbiq edilə bilər və müasir proqram bu nisbətən tez bir zamanda bunu etməyə imkan verir: 8 simvolu bir parol bir neçə gün ərzində çatdırıla bilər (və bu simvollar bir tarix və ya və qeyri-adi olmayan tarixlər - dəqiqələrlə).

Xahiş edirik: müxtəlif saytlar və xidmətlər üçün eyni parolu istifadə etsəniz, parol və müvafiq e-poçt ünvanınızın hər hansı birinə təhvil verildikdən sonra xüsusi proqramın köməyi ilə eyni giriş və parolu birləşməsi yüzlərlə digər saytlarda sınaqdan keçiriləcəkdir. Məsələn, keçən ilin sonunda bir neçə milyon Gmail və Yandex şifrəsinin sızması anından sonra mənşəli, Buxar, Battle.net və Uplay mənşəli bir hack hesabı dalğası (mən dəfələrlə əlaqəli olduğum müəyyən oyun xidmətləri üçün bir çoxları düşünürəm).

Hacking sites və parol əldə edir

Ən ciddi saytlar sizin bildiyiniz formada parolunuzu saxlamır. Verilənlər bazasında yalnız bir hash saxlanılır - geri qaytarılmayan funksiyanı tətbiq etmək nəticəsində (yəni parolunuzu bu nəticədən təkrar ala bilmirsiniz) parol. Sayta daxil olduğunuzda, hash yenidən hesablanır və əgər verilənlər bazasında saxlanılana uyğun gəlsə, parolu düzgün daxil etdiyiniz anlamına gəlir.

Həqiqətən, təhdid edildiyi kimi, təhlükəsizlik səbəbləri üçün şifrələrin özləri deyil, saxlanılan xəmirlərdir. Belə ki, bir hacker veritabanına daxil olur və onu qəbul edirsə, məlumatı istifadə edə və şifrələri öyrənə bilmədi.

Ancaq çox vaxt bunu edə bilər:

  1. Haşımı hesablamaq üçün, müəyyən alqoritmlər istifadə olunur, əksəriyyəti məlum və ümumi (yəni hər kəs istifadə edə bilər).
  2. Milyonlarla şifrə ilə veritabanlarına sahib olmaq (bir kobud qüvvə bəndində), bir təcavüzkar da bütün mövcud alqoritmlərdən istifadə edərək hesablanmış bu şifrələrin saxlanmasına çıxır.
  3. Verilənlər bazasından və şifrənizdən öz məlumat bazasından informasiyanı müqayisə etməklə, hansı alqoritmdən istifadə etdiyini və basit bir müqayisədə (bütün qeyri-nadir olanlar üçün) verilənlər bazasında qeydlərin bir hissəsi üçün real parolları müəyyən edə bilərsiniz. Və kobud güc vasitələrinə, təkrarlanan qısa parollarınızı öyrənməyə kömək edəcək.

Gördüyünüz kimi, saytınızdakı parollarınızı saxlamayan müxtəlif xidmətlərin marketinq iddiaları mütləq sizi qaçağından qoruymur.

Spyware (SpyWare)

SpyWare və ya spyware - gizli bir kompüterə quraşdırılmış (spyware də bəzi zəruri proqramın bir hissəsi kimi daxil edilə bilər) və istifadəçi məlumatlarını toplayan zərərli proqramların geniş bir sıra.

Başqa şeylər arasında SpyWare-nin müəyyən tipləri, məsələn, keyloggers (mətbuat düymələrini izləyən proqramlar) və ya gizli trafik analizatorları istifadəçi parollarını əldə etmək üçün istifadə oluna bilər (və istifadə olunur).

Sosial mühəndislik və parol bərpa məsələləri

Vikipediya bizə deyir ki, sosial mühəndislik bir şəxsin psixologiyasının xüsusiyyətlərinə əsaslanan məlumat əldə etmək metodudur (bu, yuxarıda göstərilən fişinqdən ibarətdir). İnternette, sosial mühəndisliyi istifadə etmək üçün bir çox nümunə tapa bilərsiniz (mən də axtarış və oxuma təklif edirəm - bu maraqlıdır), bəziləri isə öz zərifliyində diqqəti çəkir. Ümumiyyətlə, metod gizli informasiyaya daxil olmaq üçün zəruri olan hər hansı bir məlumatın insan zəifliyi ilə əldə oluna biləcəyinə işarə edir.

Şifrələrlə bağlı sadəcə sadə və xüsusilə zərif bir ev nümunəsi verəcəyəm. Bildiyiniz kimi, bir çox saytlarda şifrəni bərpa etmək üçün nəzarət sualına cavabı daxil etmək kifayətdir: hansı məktəbə qatılıb, ananın qız adı, petın adı ... Əgər bu məlumatları ictimai şəbəkələrdə açıq şəkildə açıqlamasa da, çətin hesab edirsinizmi? eyni sosial şəbəkələrdən istifadə etmək, sizinlə tanış olmaq, yaxud xüsusi tanış olmaq, bu informasiyanı qeyri-səmimiyyətlə əldə etməkdirmi?

Şifrənizin hacked olduğunu bilmək

Yaxşı və məqalənin sonunda, hackerlər tərəfindən əldə edilən parol verilənlər bazası ilə e-poçt ünvanınızı və ya istifadəçi adınızı yoxlayaraq parolunuzun çatdırıldığını müəyyən etməyə imkan verən bir neçə xidmət. (Rus dilində olan məlumat bazalarının çox böyük hissəsi var ki, bir az təəccübləndim).

  • //haveibeenpwned.com/
  • //breachalarm.com/
  • //pwnedlist.com/query

Hesabınızı məlum hackerlər siyahısında tapdınız? Şifrəni dəyişmək məcburiyyətlidir amma hesab şifrələri ilə əlaqədar təhlükəsiz təcrübələr haqqında daha ətraflı məlumat verəcəyəm, önümüzdəki günlərdə yazacağam.