رمز عبور شما چگونه هک می شود

هکرها رمزهای عبور، هر چه گذرواژههایی که ممکن است از ایمیل، بانکداری آنلاین، Wi-Fi یا از حسابهای Vkontakte و Odnoklassniki داشته باشند، به تازگی یک رویداد غالبا رخ داده است. این به طور عمده به این دلیل است که کاربران هنگام ایجاد، ذخیره و استفاده از کلمه عبور، قوانین امنیتی نسبتا ساده را رعایت نمی کنند. اما این تنها دلیل نیست که گذرواژهها میتوانند به اشتباه وارد شوند.

این مقاله اطلاعات مفصلی در مورد روش هایی که می تواند برای رمزگشایی کلمات عبور کاربر استفاده کند و همچنین اینکه چرا شما برای چنین حملاتی آسیب پذیر است، ارائه می شود. و در نهایت شما یک لیست از خدمات آنلاین را خواهید یافت که به شما اجازه می دهد در صورتی که رمز عبور شما در حال حاضر به خطر افتاده باشد اطلاع دهید. همچنین (در حال حاضر) یک مقاله دیگر در مورد موضوع وجود خواهد داشت، اما من توصیه می کنم آن را از بررسی کنونی خواند، و تنها پس از آن به یکی دیگر بروید.

به روز رسانی: مواد زیر آماده است - درباره امنیت رمز عبور، که توضیح می دهد چگونه برای حداکثر امنیت حساب ها و رمزهای عبور خود را به آنها.

چه روش هایی برای رمزگشایی کلمات استفاده می شود

برای هک رمزهای عبور از طیف گسترده ای از تکنیک های مختلف استفاده نمی شود. تقریبا همه آنها شناخته شده اند و تقریبا هر گونه سازش اطلاعات محرمانه از طریق استفاده از روش های فردی یا ترکیب آنها به دست می آید.

فیشینگ

رایج ترین شیوه ای که امروز توسط کلمه عبور سرویس های پست الکترونیکی محبوب و شبکه های اجتماعی حذف شده است فیشینگ است و این روش برای درصد بسیار زیادی از کاربران کار می کند.

ماهیت روش این است که شما خود را بر روی یک سایت آشنا (همانند جیمیل، VC یا Odnoklassniki همانند) پیدا کنید و از یک یا چند دلیل دیگر از شما خواسته می شود که نام کاربری و رمز عبور خود را وارد کنید (برای ورود به سیستم، تایید چیزی، برای تغییر او، و غیره). بلافاصله پس از ورود رمز عبور از مزاحمان است.

چگونه این اتفاق می افتد: شما می توانید یک نامه دریافت کنید، ادعا شده از سرویس پشتیبانی، که بیان می کند که شما باید وارد حساب کاربری خود شوید و یک لینک زمانی که شما به این سایت تغییر می دهید، دقیقا همان کپی اصلی را داشته باشید. ممکن است پس از نصب تصادفی نرم افزار ناخواسته بر روی یک کامپیوتر، تنظیمات سیستم به گونه ای تغییر می کنند که هنگام وارد کردن آدرس سایت مورد نیاز در نوار آدرس مرورگر، شما در واقع به یک سایت فیشینگ طراحی شده دقیقا همان شیوه.

همانطور که قبلا اشاره کردم، بسیاری از کاربران برای این کار می افتند و معمولا این به خاطر بی دقتی است:

  • هنگامی که نامه ای دریافت می کنید که در یک فرم یا یکی دیگر از شما را برای ورود به حساب کاربری خود در یک سایت خاص در اختیار شما قرار می دهد، توجه داشته باشید که آیا از آدرس ایمیل در این سایت ارسال شده است یا خیر: آدرس های مشابه معمولا استفاده می شود. به عنوان مثال، به جای [email protected]، ممکن است [email protected] یا چیزی مشابه باشد. با این حال، آدرس صحیح همیشه تضمین نمی کند که همه چیز در حالت درست باشد.
  • قبل از وارد کردن رمز عبور خود در هر نقطه، به دقت در نوار آدرس مرورگر خود نگاه کنید. اول از همه، باید دقیقا همان سایتی را که میخواهید بروید مشخص کنید. با این حال، در مورد نرم افزارهای مخرب در رایانه، این کافی نیست. شما همچنین باید به حضور رمزگذاری اتصال توجه کنید، که می تواند با استفاده از پروتکل HTTPS به جای HTTP و تصویر «قفل» در نوار آدرس مشخص شود، با کلیک بر روی آن، می توانید اطمینان حاصل کنید که شما در این سایت هستید. تقریبا تمام منابع جدی که نیاز به ورود به حساب کاربری خود دارند، از رمزگذاری استفاده می کنند.

به هر حال، من در اینجا یادآور می شویم که هر دو حمله فیشینگ و روش های جستجوی رمز عبور (که در زیر شرح داده شده است)، کار سختی را برای یک نفر انجام نمی دهند (یعنی بدون نیاز به وارد کردن یک میلیون کلمه عبور به صورت دستی) - همه این کار با برنامه های خاص، به سرعت و در حجم های بالا انجام می شود. ، و سپس گزارش پیشرفت مهاجم. علاوه بر این، این برنامه ها می توانند بر روی کامپیوتر هکرها کار کنند، اما مخفیانه بر روی شما و در میان هزاران کاربر دیگر، که تا حد زیادی اثربخشی هک را افزایش می دهد.

انتخاب رمز عبور

حملات با استفاده از بازیابی رمز عبور (نیروی بیرحمانه، نیروی بیرحمانه در روسیه) نیز بسیار معمول است. چند سال پیش، بسیاری از این حملات واقعا یک جستجو از طریق تمام ترکیبات خاصی از شخصیت ها برای ساخت رمزهای عبور از یک طول مشخص بود، در حال حاضر همه چیز تقریبا ساده است (برای هکرها).

تجزیه و تحلیل میلیون ها کلمه عبور که در سال های اخیر فرار کرده اند، نشان می دهد که کمتر از نیمی از آنها منحصر به فرد هستند، در حالی که در سایت هایی که عمدتا کاربران بی تجربه آنها زندگی می کنند، درصد آن بسیار کم است.

این معنی چیست؟ به طور کلی، هکر نیازی به رفتن به میلیون ها حساب کاربری نداشته باشد: داشتن پایگاه 10 تا 15 میلیون کلمه عبور (یک عدد تقریبی، اما نزدیک به حقیقت) و جایگزینی تنها این ترکیب ها، می تواند تقریبا نیمی از حساب ها را در هر سایت هک کند.

در مورد حملات هدفمند بر روی یک حساب خاص، علاوه بر پایه، می توان از نیروی بی رحم ساده استفاده کرد و نرم افزار مدرن به شما این امکان را می دهد که نسبتا سریع این کار را انجام دهید: یک رمز عبور از 8 کاراکتر می تواند در عرض چند روز (و اگر این کاراکتر ها یک تاریخ یا ترکیبی از و تاریخ، که غیر معمول نیست - در عرض چند دقیقه).

لطفا توجه داشته باشید: اگر از رمز عبور مشابه برای سایت ها و سرویس های مختلف استفاده می کنید، به محض این که رمز عبور و آدرس ایمیل مربوطه به هر یک از آنها آسیب می رساند، با کمک نرم افزار خاص، همان ترکیب ورود و رمز عبور در صدها سایت دیگر مورد آزمایش قرار می گیرد. به عنوان مثال، بلافاصله پس از نشت چندین میلیون رمز عبور جیمیل و یانداکس در پایان سال گذشته، موجهای حسابهای هک از Origin، Steam، Battle.net و Uplay (من فکر می کنم بسیاری دیگر فقط برای خدمات بازی مشخص شده من بارها با آنها تماس گرفتم).

هک کردن سایت ها و گرفتن هش رمزهای عبور

سایت های بسیار جدی رمز عبور خود را در فرم که در آن شما آن را می دانید ذخیره نمی کند. فقط یک هش در پایگاه داده ذخیره می شود - نتیجه استفاده از تابع برگشت ناپذیر (یعنی شما نمی توانید دوباره از این نتیجه رمز عبور خود را دریافت کنید) به رمز عبور. هنگامی که شما وارد سایت می شوید، هش مجددا محاسبه می شود و اگر با آنچه در پایگاه داده ذخیره می شود، درست وارد کنید.

به راحتی می توان حدس زد که هش ها ذخیره می شوند و نه فقط رمزهای عبور، فقط به دلایل امنیتی - به طوری که هنگامی که یک هکر وارد پایگاه داده می شود و آن را دریافت می کند، نمی تواند از اطلاعات استفاده کند و کلمه عبور را یاد بگیرد.

با این حال، اغلب اوقات، او می تواند این کار را انجام دهد:

  1. برای محاسبه هش، از الگوریتم های خاصی استفاده می شود، بیشتر آنها شناخته شده و رایج هستند (یعنی هر کسی می تواند از آنها استفاده کند).
  2. داشتن پایگاه داده با میلیون ها کلمه عبور (از یک بخش نیروی خشن)، مهاجم همچنین دسترسی به هش های این کلمات عبور را، با استفاده از تمام الگوریتم های موجود محاسبه می کند.
  3. با مقایسه اطلاعات از پایگاه داده ها و هش های رمز عبور از پایگاه داده خود، شما می توانید تعیین کنید که کدام الگوریتم استفاده می شود و پیدا کردن کلمه عبور واقعی برای بخشی از سوابق در پایگاه داده با مقایسه ساده (برای همه موارد غیر منحصر به فرد). ابزارهای خشونت آمیز به شما کمک می کنند تا بقیه کلمات عبور منحصر به فرد، اما کوتاه را یاد بگیرید.

همانطور که می بینید، ادعای بازاریابی خدمات مختلفی که آنها کلمه عبور شما را در سایت خود ذخیره نمی کنند، لزوما از نشتی شما محافظت نمی کنند.

جاسوس افزار (SpyWare)

SpyWare یا نرم افزارهای جاسوسی - طیف گسترده ای از نرم افزارهای مخرب که به صورت مخفی در یک رایانه نصب می شوند (نرم افزارهای جاسوسی نیز می توانند بعنوان بخشی از برخی نرم افزار های ضروری در نظر گرفته شوند) و اطلاعات کاربر را جمع آوری می کنند.

در میان چیزهای دیگر، انواع خاصی از SpyWare، به عنوان مثال، keyloggers (برنامه هایی که کلید های مورد نظر شما را دنبال می کنند) یا تجزیه و تحلیل ترافیک پنهان، می تواند برای استفاده از کلمه عبور کاربر استفاده شود (و استفاده می شود).

سوالات مهندسی اجتماعی و بازیابی رمز عبور

همانطور که ویکی پدیا به ما می گوید، مهندسی اجتماعی یک روش دسترسی به اطلاعات بر اساس ویژگی های روان شناسی فرد است (شامل فیشینگ که در بالا ذکر شد). در اینترنت، شما می توانید نمونه های بسیاری از استفاده از مهندسی اجتماعی را بیابید (من توصیه می کنم جستجو و خواندن - این جالب است)، که برخی از آنها در زیبایی ظاهر می شوند. به طور کلی، این روش به این واقعیت رسیده است که تقریبا هر گونه اطلاعاتی که برای دسترسی به اطلاعات محرمانه لازم است با استفاده از ضعف های انسانی به دست می آید.

و من تنها یک نمونه ساده و غیرمعمول خانوار در رابطه با کلمه عبور خواهم داد. همانطور که می دانید، در بسیاری از سایت ها برای بازیابی رمز عبور، کافی است که پاسخ سوال کنترل را وارد کنید: کدام مدرسه حضور داشتید، نام خانوادگی مادر، نام حیوان خانگی ... حتی اگر شما قبلا این اطلاعات را در دسترسی آزاد در شبکه های اجتماعی منتشر نکرده اید، آیا فکر می کنید مشکل است آیا با استفاده از همان شبکه های اجتماعی، با شما آشنا هستند یا به طور ویژه آشنا هستند، به طور غریزی چنین اطلاعاتی را دریافت می کنند؟

چگونه می دانیم که گذرواژه شما هک شده است

خوب و در انتهای مقاله چندین سرویس وجود دارد که به شما امکان می دهد تا با شناسایی آدرس ایمیل یا نام کاربری خود با پایگاه داده های رمز عبور که توسط هکرها دسترسی پیدا کرده اید شناسایی شده است. (من کمی شگفت زده شده ام که در میان آنها درصد قابل توجهی از پایگاه های داده از خدمات زبان روسی وجود دارد).

  • //haveibeenpwned.com/
  • //breachalarm.com/
  • //pwnedlist.com/query

حساب کاربری شما در لیست هکرهای شناخته شده یافت شده است؟ منطقی است که رمز عبور را تغییر دهید، اما در جزئیات بیشتر در مورد شیوه های امن در رابطه با کلمات عبور حساب کاربری، در روزهای آینده نوشتم.