Ang pag-hack sa mga password, bisan unsa pa ang ilang mga password - gikan sa mail, online banking, Wi-Fi o gikan sa mga account sa VKontakte ug Odnoklassniki, bag-o lang nahimo nga kanunay nga panghitabo. Kini sa kadaghanan tungod sa kamatuoran nga ang mga tiggamit dili motuman sa medyo yano nga mga lagda sa seguridad sa paghimo, pagtipig ug paggamit sa mga password. Apan dili kini ang hinungdan nga mga password mahulog sa sayup nga mga kamot.
Naghatag kini nga artikulo sa detalyado nga kasayuran kung unsang mga pamaagi ang magamit sa pag-crack sa mga password sa gumagamit ug kung unsa ka dali ka nga huyang sa mga pag-atake. Sa katapusan, makit-an nimo ang usa ka lista sa mga serbisyo sa online nga magpahibalo kanimo kung nakompromiso na ang imong password. Adunay usab (naa na) usa ka ikaduha nga artikulo sa hilisgutan, apan girekomenda ko nga magsugod sa pagbasa uban ang kasamtangan nga pagrepaso, ug dayon mobalhin sa sunod.
Pag-update: andam ang mosunud nga materyal - About sa seguridad sa password, nga naghubit kung giunsa pag-ayo ang seguridad sa imong mga account ug mga password alang kanila.
Unsa nga mga pamaagi ang gigamit aron ma-crack ang mga password?
Aron ma-crack ang mga password, gigamit ang dili kaayo halapad nga lainlaing mga pamaagi. Halos tanan sila nahibal-an ug hapit ang bisan unsang pagkompromiso sa pagkompidensyal nga kasayuran nakab-ot pinaagi sa paggamit sa mga indibidwal nga pamaagi o sa ilang mga kombinasyon.
Pagbalhin
Ang labing kasagaran nga paagi nga ang mga password sa mga tanyag nga serbisyo sa email ug mga social network “gipalihok” hangtod karon ang phishing, ug kini nga pamaagi nagtrabaho alang sa daghan kaayo nga porsyento sa mga tiggamit.
Ang lintunganay sa pamaagi mao ang pag-adto sa usa ka daw pamilyar nga site (parehas nga Gmail, VK o Odnoklassniki, pananglitan), ug sa usa ka hinungdan o usa ka gihangyo nga mosulod sa imong username ug password (aron makasulod, magpakumpirma sa usa ka butang, aron mabag-o kini, ug uban pa). Diha-diha dayon pagkahuman sa pagsulod sa password, nakita sa tig-atake ang iyang kaugalingon.
Giunsa kini mahitabo: mahimo ka makadawat usa ka sulat, nga giingon gikan sa serbisyo sa suporta nga nagpahibalo kanimo bahin sa kinahanglan nga pag-log in sa imong account ug gihatagan ang usa ka link, kung moadto ka sa kana nga site, usa ka website nga eksaktong kopyahon ang orihinal nga giablihan. Posible nga human sa dili tinuyo nga pag-instalar sa dili gusto nga software sa usa ka computer, nausab ang mga setting sa system mao nga kung mosulod ka sa adres sa site nga kinahanglan nimo sa browser address bar, moadto ka sa usa ka phishing site nga gidisenyo sa parehas nga paagi.
Ingon sa nahibal-an na nako, daghang mga gumagamit ang nakasabut niini, ug kasagaran kini tungod sa pagkalinga.
- Kung nakadawat ka usa ka sulat nga sa usa ka porma o lain nga nagdapit kanimo sa pag-log in sa imong account sa usa ka partikular nga site, hatagan pagtagad ang kung gipadala ba kini gikan sa mail address sa kini nga site: ang mga parehas nga mga adres kanunay nga gigamit. Pananglitan, imbis sa [email protected], mahimo nga adunay [email protected] o susama. Bisan pa, ang husto nga address dili kanunay garantiya nga ang tanan naa sa pagkasunud.
- Sa wala pa mosulod sa imong password sa bisan diin, tan-awa ang address bar sa imong browser. Una sa tanan, ang site nga gusto nimo nga adtoan kinahanglan nga gipakita didto. Bisan pa, sa kaso sa malware sa computer, kini dili igo. Kinahanglan usab nimo nga hatagan pagtagad ang presensya sa pag-encrypt sa koneksyon, nga mahimong matino pinaagi sa paggamit sa https protocol imbis sa http ug ang imahe sa "lock" sa address bar, pinaagi sa pag-klik kung diin nimo mapamatud-an nga ania ka sa kini nga site. Hapit tanan nga mga seryoso nga mga kapanguhaan nga nanginahanglan usa ka pag-encrypt sa paggamit sa account sa pag-login.
Pinaagi niini, makit-an ko dinhi nga ang mga pag-atake sa phishing ug mga pamaagi sa pag-crack sa password (gihulagway sa ubos) wala magpasabut sa sakit nga makapaayo ug makalilisang nga buhat sa usa ka tawo karon (nga mao, dili na niya kinahanglan nga mosulod sa usa ka milyon nga mga password nga mano-mano) - tanan kini gibuhat sa mga espesyal nga programa, dali ug sa daghang mga gidaghanon , ug dayon ireport ang kalampusan sa tig-atake. Dugang pa, kini nga mga programa mahimong dili molihok sa kompyuter sa hacker, apan sa tago sa imo ug sa libolibo pa nga uban nga mga tiggamit, nga usahay madugangan ang pagka-epektibo sa hack.
Pagpahiangay sa password
Ang mga pag-atake nga gigamit ang pagtag-an sa password (Brute Force, brute nga kusog sa Russian) kasagaran usab. Kung pipila ka tuig na ang milabay, kadaghanan sa mga pag-atake sa tinuud nga nag-isip sa tanan nga mga kombinasyon sa usa ka piho nga hugpong sa mga karakter aron magsulat mga password sa usa ka piho nga gitas-on, unya sa karon nga ang tanan medyo yano (alang sa mga hacker).
Ang pag-analisar sa minilyon nga mga password nga nahayag sa miaging mga tuig nagpakita nga dili moubos sa katunga sa mga kini talagsaon, samtang ang porsyento sa mga site nga kadaghanan wala makasinati "wala makasinati".
Unsa ang gipasabut niini? Sa kinatibuk-an nga kaso, ang hacker dili kinahanglan magsunud sa dili maihap nga milyon-milyon nga mga kombinasyon: nga adunay sukaranan nga 10-15 milyon nga mga password (usa ka gibanabanang numero, apan hapit sa kamatuoran) ug gipuli lamang kini nga mga kombinasyon, mahimo niyang basulon ang halos katunga sa mga asoy sa bisan unsang site.
Sa kaso sa usa ka target nga pag-atake sa usa ka piho nga account, dugang sa database, ang yano nga puwersa nga brute mahimong magamit, ug ang modernong software nagtugot kanimo nga buhaton kini dali: ang usa ka password sa 8 nga mga karakter mahimo nga cracked sa usa ka adlaw (ug kung kini nga mga karakter nagrepresentar sa usa ka petsa o kombinasyon sa mga ngalan ug mga petsa, nga dili kasagaran - sa mga minuto).
Palihug hinumdumi: kung gigamit nimo ang parehas nga password alang sa lainlaing mga site ug serbisyo, pagkahuman dayon ang imong password ug ang nahiangay nga email address nakompromiso sa bisan kinsa sa ila, sa tabang sa espesyal nga software ang parehas nga kombinasyon sa pag-login ug password masulayan sa gatusan ka ubang mga site. Pananglitan, pagkahuman sa pagtulo sa daghang milyon nga mga password sa Gmail ug Yandex sa katapusan sa miaging tuig, usa ka balud sa pag-hack sa mga asoy sa Pinagmulan, Steam, Battle.net ug Uplay (Sa akong hunahuna, ug daghan pa, nakontak nila ako sa gitakda nga mga serbisyo sa dula).
Pag-hack sa mga site ug pagkuha mga password hashes
Kadaghanan sa mga seryoso nga site wala magtipig sa imong password sa porma diin nahibal-an nimo kini. Usa ka hash lang ang gitipigan sa database - ang sangputanan sa pagpadapat sa dili mabag-o nga gimbuhaton (nga mao, dili nimo makuha ang imong password pag-usab gikan sa resulta) sa password. Kung nakasulod ka sa site, ang hash gikalkula usab ug, kung kini katumbas sa kung unsa ang gitipig sa database, hapsay nga gisulod nimo ang password.
Sama sa imong mahunahuna, kini ang mga hashes nga gitipig, ug dili ang mga password mismo, tungod lamang sa mga hinungdan sa seguridad - aron sa usa ka potensyal nga hack ug makuha sa usa ka tig-atake ang database, dili niya magamit ang kasayuran ug mahibal-an ang mga password.
Bisan pa, kanunay, mahimo niya kini:
- Aron makalkulo ang hash, gigamit ang pipila ka mga algorithm, alang sa kadaghanan nga bahin - naila ug sagad (nga mao, mahimo’g magamit kini sa tanan).
- Ang pagbaton sa mga database nga adunay minilyon nga mga password (gikan sa punto sa puwersa sa brute), ang tig-atake usab adunay access sa mga hashes sa kini nga mga password nga nakalkula gamit ang tanan nga magamit nga mga algorithm.
- Pinaagi sa pagtandi sa kasayuran gikan sa miresulta nga database ug mga pag-hasol sa password gikan sa imong kaugalingon nga database, mahimo nimo mahibal-an kung unsang algorithm ang gigamit ug mahibal-an ang tinuod nga mga password alang sa pipila ka mga pagsulod sa database pinaagi sa yano nga pagtutugma (alang sa tanan nga dili talagsaon). Ug ang mga gamit sa pagpangita makatabang kanimo nga mahibal-an ang nahabilin sa talagsaon, apan mubo nga mga password.
Sama sa imong nakita, ang mga pamahayag sa pagpamaligya sa lainlaing mga serbisyo nga wala nila gitipig ang imong mga password sa ilang website dili kinahanglan panalipdan ka gikan sa pagtulo niini.
Spyware (SpyWare)
Ang SpyWare o spyware - usa ka halapad nga malisyoso nga software nga dungan nga mai-install sa imong computer (mahimo usab nga i-upod ang mga function sa spyware sa pipila ka kinahanglan nga software) ug nangolekta kasayuran bahin sa user.
Lakip sa ubang mga butang, ang pipila ka mga matang sa SpyWare, pananglitan, ang mga keylogger (mga programa nga nagsubay sa mga yawi nga imong gipugos) o mga gitago nga mga tig-analisa sa trapiko, mahimong magamit (ug gigamit) aron makuha ang mga password sa gumagamit.
Mga Isyu sa Pagpanguha sa Social ug Password
Ingon sa gisulti kanato sa Wikipedia, ang sosyal nga engineering usa ka pamaagi sa pag-access sa kasayuran pinasukad sa mga kinaiya sa sikolohiya sa tawo (lakip na niini ang phishing nga gihisgutan sa ibabaw). Sa Internet makit-an nimo ang daghang mga pananglitan sa paggamit sa sosyal nga engineering (girekomenda ko ang pagpangita ug pagbasa - makapaikag kini), ang pipila niini nag-aghat sa ilang kaanyag. Sa kinatibuk-an nga mga termino, ang pamaagi nanghinabo sa kamatuoran nga hapit bisan unsang kasayuran nga gikinahanglan aron ma-access ang kompidensiyal nga kasayuran mahimong makuha gamit ang mga kahuyang sa tawo.
Ug hatagan ra nako ang usa ka yano ug dili labi ka madanihon nga panig-ingnan sa panimalay nga may kalabutan sa mga password. Sama sa nahibal-an nimo, sa daghang mga site, aron mabawi ang imong password, igo na nga isulat ang tubag sa pangutana sa seguridad: unsang eskuwelahan ang imong giadto, ngalan sa inahan, bata nga nickname ... Bisan kung wala ka pa nakapost niini nga kasayuran sa publiko nga domain sa mga social network, lisud kini. bisan kung gigamit ang parehas nga mga social network, pamilyar kanimo, o espesyal nga pagkita, dili madawat madawat ang ingon nga kasayuran?
Giunsa mahibal-an nga ang imong password na-hack
Bueno, sa katapusan sa artikulo, adunay daghang mga serbisyo nga nagpahibalo kanimo kung ang imong password na-hack pinaagi sa pagsusi sa imong email address o username sa usa ka database sa mga password nga na-access sa mga hacker. (Natingala ako gamay sa taliwala nila nga adunay daghan nga porsyento sa mga database gikan sa mga serbisyo nga sinultian sa Russia).
- //haveibeenpwned.com/
- //breachalarm.com/
- //pwnedlist.com/query
Nakaplag ang imong account sa lista sa mga nailhan nga hacker? Nakahimo kini hinungdan sa pagbag-o sa password, apan sa mas detalyado bahin sa luwas nga mga batasan nga may kalabotan sa mga password sa account nga akong isulat sa umaabot nga mga adlaw.
