Parolni bekor qilish - ular pochta, onlayn-banking, Wi-Fi yoki Vkontakte va Odnoklassniki hisoblaridan kelgan parollar, yaqinda tez-tez uchraydigan voqea bo'ldi. Bu, asosan, parollarni yaratishda, saqlashda va ishlatishda foydalanuvchilar oddiy xavfsizlik qoidalariga rioya qilmasliklari bilan bog'liq. Ammo parollar noto'g'ri qo'llarga tushib qolishining yagona sababi emas.
Ushbu maqolada foydalanuvchining parollarini parchalash uchun qanday usullardan foydalanish mumkinligi va nima uchun siz bunday hujumlarga nisbatan zaif ekanligi haqida batafsil ma'lumotlar mavjud. Va nihoyat sizning parolingiz buzilgan-qilmaganligini bildiradigan onlayn xizmatlarning ro'yxatini topasiz. Mavzu bo'yicha ikkinchi maqola ham bo'ladi, lekin men uni hozirgi sharhdan o'qishni tavsiya etaman va faqatgina keyingi qismga o'ting.
Yangilanish: Sizning hisoblaringiz va parollaringizni ularga maksimal darajada xavfsiz tarzda qanday qilib xavfsiz tarzda saqlashingiz mumkinligini tavsiflovchi parol xavfsizligi haqida quyidagi material tayyor.
Parollarni parchalash uchun qanday usullardan foydalaniladi
Parolni buzish uchun turli xil texnikalar qo'llanilmaydi. Ularning deyarli barchasi ma'lum va deyarli har qanday konfidentsial axborotga alohida uslublar yoki ularning kombinatsiyalaridan foydalanish orqali erishiladi.
Phishing
Bugungi parollar ommabop elektron pochta xizmatlarini va ijtimoiy tarmoqlarini "olib qo'yadi", bu fishing bo'lib, bu usul juda ko'p foydalanuvchilar uchun ishlaydi.
Usulning mohiyati shundaki, siz o'zingizni tanish saytlardan (masalan, Gmail, VC yoki Odnoklassniki kabi) topasiz va shu sababli sizdan foydalanuvchi nomingiz va parolingizni kiritishingiz so'raladi (login, tasdiqlash, uning o'zgarishi va boshqalar.). Parolni kiritganingizdan keyin zudlik bilan zo'ravonlardan foydalaniladi.
Qanday qilib sodir bo'layapti? Siz, o'zingizning hisobingizga kirishingiz kerak bo'lgan va bu saytga o'tgandan so'ng, asl nusxasini nusxa ko'chirishingiz kerakligi haqida yozayotgan qo'llab-quvvatlash xizmatidan maktub olishingiz mumkin. Ehtimol, kompyuterda kiruvchi dasturiy ta'minotlarni tasodifiy o'rnatilgandan so'ng, tizim sozlamalari brauzerning manzil satriga kerakli sayt manziliga kirganingizda, aslida xuddi shu tarzda ishlab chiqarilgan fishing saytiga kirishingiz mumkin.
Men ilgari aytib o'tganimdek, bu juda ko'p foydalanuvchilar uchun bu tushadi va odatda bu beparvolik tufayli bo'ladi:
- Sizga ma'lum bir saytda o'z hisobingizga kirishni taklif qilgan xatni olganingizda, ushbu saytdagi elektron pochta manzilidan yuborilganmi yoki yo'qligiga e'tibor bering: odatda shu kabi manzillar ishlatiladi. Masalan, [email protected] o'rniga, [email protected] yoki shunga o'xshash biror narsa bo'lishi mumkin. Biroq, to'g'ri manzil har doim hamma narsa tartibda bo'lishini kafolatlamaydi.
- Sizning parolingizni biron bir joyga kirishdan oldin brauzeringizning manzil satriga diqqat bilan qarang. Avvalo, sizga kerakli saytni ko'rsatib o'tish kerak. Biroq, kompyuterda zararli dastur bo'lsa, bu etarli emas. Bundan tashqari, HTTP protokoli o'rniga http protokolini va manzil panelidagi "qulf" ning tasvirini aniqlash orqali aniqlanishi mumkin bo'lgan ulanishni shifrlash borligiga e'tibor qaratishingiz kerak. Buni bosish orqali siz ushbu saytda ekanligingizga ishonch hosil qilishingiz mumkin. Sizning hisobingizga kirishni talab qiladigan deyarli barcha jiddiy resurslar shifrlashdan foydalanadi.
Aytgancha, bu erda ham fishing hujumlari va parolni qidirish usullari (quyida tavsiflangan) bir kishining og'ir ish faoliyatini anglatmaydi (ya'ni millionlab parollarni qo'lda kiritish kerak emas) - bularning barchasi maxsus dasturlarda tez va katta hajmlarda amalga oshiriladi. , so'ngra tajovuzkorning harakatlari haqida xabar bering. Bundan tashqari, ushbu dasturlar hacker kompyuterida emas, balki sizning va sizning va boshqa minglab foydalanuvchilarning ichida yashirincha ishlaydi, bu hackning samaradorligini sezilarli darajada oshiradi.
Parol tanlash
Parolni tiklash orqali hujumlar (Brute Force, rus tilidagi qo'pol kuch) ham juda keng tarqalgan. Bir necha yil oldin, ushbu hujumlarning aksariyati ma'lum bir uzunlikdagi parollar yaratish uchun ma'lum belgilar to'plamining barcha kombinasyonlari orqali qo'ng'iroq qilgandi, endi esa har bir narsa oddiy (xakerlar uchun).
Oxirgi yillarda qochib qutilgan millionlab parollar tahlil qilish shuni ko'rsatadiki, ularning yarmidan kami noyobdir, asosan tajribasiz foydalanuvchilar yashaydigan saytlarda bu raqam juda kichikdir.
Bu nimani anglatadi? Umuman olganda, hackerga millionlab kombinatsiyalarni kiritish kerak emas: 10-15 million parol (taxminan raqam, lekin haqiqatga yaqin) bo'lgan va faqat shu kombinatsiyalarni o'rniga ega bo'lgan har qanday saytdagi hisoblarning qariyb yarmi kesilishi mumkin.
Muayyan hisobga mo'ljallangan hujumga qarshi, oddiy bazadan tashqari oddiy qo'g'irchoq kuch ishlatilishi mumkin va zamonaviy dasturiy ta'minot sizni tezkor ravishda bajarishga imkon beradi: 8 ta belgidan iborat parol bir necha kun ichida yorilishga olib kelishi mumkin (va agar bu belgilar sana yoki va noyob bo'lmagan sanalar - daqiqalarda).
E'tibor bering: agar siz turli xil saytlar va xizmatlar uchun bir xil paroldan foydalansangiz, parolingiz va ularga tegishli e-mail manzilingiz ulardan biron biriga buzilmasa, maxsus dastur yordamida bu login va parolning kombinatsiyasi yuzlab boshqa saytlarda sinab ko'riladi. Misol uchun, bir necha million Gmail va Yandex parolining o'tgan yil oxirida chiqib ketishi bilanoq darhol kelib chiqishi, bug ', Battle.net va Uplaydan chiqqan xakerlar to'lqini kelib chiqishi mumkin edi (o'ylaymanki, men faqat bir necha marta ko'rsatilgan o'yin xizmatlari uchun bir necha marta aloqaga chiqdim).
Hack-saytlar va parol olish
Eng jiddiy saytlar sizning parolingizni biladigan shaklda saqlamaydilar. Ma'lumotlar bazasida faqat xash saqlanadi - qaytarilmaydigan funksiyani qo'llash natijasida (parolni ushbu natijadan yana qaytarib olmaysiz) parolga. Saytga kirganingizda, xash qayta hisoblab chiqiladi va agar u ma'lumotlar bazasida saqlangan narsaga mos keladigan bo'lsa, parolni to'g'ri kiritganingizni bildiradi.
Tahmin qilish osonroq bo'lgani uchun, parollarni o'zlariga emas, faqat xavfsizlik sabablariga ko'ra saqlaydigan xaflar - bu hacker ma'lumotlar bazasiga kirib, uni qabul qilganida u ma'lumotlarni ishlata olmadi va parollarni o'rgana olmadi.
Ammo, tez-tez, u buni amalga oshirishi mumkin:
- Xashni hisoblash uchun ma'lum algoritmlardan foydalaniladi, ularning aksariyati ma'lum va keng tarqalgan (ya'ni har kim ulardan foydalanishi mumkin).
- Militsioner parol bilan ma'lumotlar bazasiga ega bo'lish (qo'pol kuch qoidasidan), tajovuzkor ham barcha mavjud algoritmlardan foydalangan holda hisoblangan parollardan foydalanishga ruxsat beradi.
- Ma'lumotlar bazasidan va ma'lumotlar bazasidan o'z ma'lumotlar bazasidan ma'lumotlaringizni solishtirib, siz qaysi algoritmdan foydalanishni aniqlashingiz va ma'lumotlar bazasidagi yozuvlarning bir qismi uchun haqiqiy parollarni oddiy taqqoslash bilan aniqlab olishingiz mumkin (barcha noyob bo'lmaganlar uchun). Va shafqatsiz kuch vositalari sizga noyob, ammo qisqa parollarni o'rganishingizga yordam beradi.
Ko'rib turganingizdek, sizning parolingizni saytingizda saqlamaydigan turli xizmatlarning marketing bo'yicha da'volari sizni uning qochqinligidan himoya qilmaydi.
Spyware (SpyWare)
SpyWare yoki josuslarga qarshi dastur - kompyuterda yashirincha o'rnatilgan keng tarqalgan zararli dastur (josuslarga qarshi dastur shuningdek, zarur dasturiy ta'minotning bir qismi sifatida ham kiritilishi mumkin) va foydalanuvchi ma'lumotlarini to'playdi.
Boshqa narsalar bilan bir qatorda SpyWare ning ba'zi turlari, masalan, keyloggers (siz bosgan kalitlarni kuzatish dasturlari) yoki maxfiy trafikni analizatorlari foydalanuvchi parollarini olish uchun ishlatilishi mumkin (va foydalaniladi).
Ijtimoiy muhandislik va parolni tiklash masalalari
Vikipediya ma'lumotiga ko'ra, ijtimoiy muhandislik - inson psixologiyasining xususiyatlariga asoslangan ma'lumotlardan foydalanish usulidir (bu yuqorida aytib o'tilgan fishingni o'z ichiga oladi). Internetda siz ijtimoiy muhandislikdan foydalanishning ko'pgina misollarini topa olasiz (bu men uchun qiziqarli va o'qish taklif qilaman), ularning ayrimlari o'zlarining nozikliklari bilan ajralib turadi. Umuman olganda, usul, insoniy zaifliklardan foydalanib, maxfiy axborotga kirish uchun zarur bo'lgan har qanday ma'lumotni olish imkonini beradi.
Men parollar bilan bog'liq oddiy va juda oqlangan bo'lmagan uy misolini beraman. Ma'lumki, ko'pgina saytlarda parolni tiklash uchun tekshiruv savoliga javob berish kifoya: qaysi maktabga tashrif buyurgan edingiz, onaning qizning familiyasi, uy bekasi nomami ... Agar siz ushbu ma'lumotlarni ijtimoiy tarmoqlarga ochiqdan ochiq kirishmagan bo'lsangiz ham, sizningcha, qiyinmi? bir xil ijtimoiy tarmoqlardan foydalansangiz, siz bilan tanishib qoldingizmi yoki maxsus tanishib chiqsangiz, bunday ma'lumotlarni bexosdan olishingiz mumkinmi?
Sizning parolingiz buzilganligini qanday bilsa bo'ladi
Va, maqolaning oxirida, sizning parolingiz buzilganligini aniqlashga imkon beruvchi bir qancha xizmatlar, sizning elektron pochta manzilingizni yoki foydalanuvchi nomini parol ma'lumotlar bazalari bilan hackerlar tomonidan ochilgan holda tekshirish orqali. (Men ularning orasida rus tilidagi xizmatlardan ma'lumotlar bazalarining juda katta qismi borligiga hayron bo'ldim).
- //haveibeenpwned.com/
- //breachalarm.com/
- //pwnedlist.com/query
Sizning hisobingizni ma'lum hackerlar ro'yxatida topdingizmi? Parolni o'zgartirish mantiqiy emas, lekin hisob qaydnomalari parollariga nisbatan xavfsiz amaliyotlar to'g'risida batafsilroq ma'lumotga ega bo'lishni men kelgusi kunlarda yozaman.