Qanday parollar bo'lishidan qat'i nazar, parollarni buzish - pochta, Internet-banking, Wi-Fi yoki VKontakte va Odnoklassniki-dagi hisob-kitoblar yaqinda tez-tez uchraydigan hodisaga aylandi. Bu ko'p jihatdan foydalanuvchilar parollarni yaratish, saqlash va ulardan foydalanishda juda oddiy xavfsizlik qoidalariga rioya qilmasliklari bilan bog'liq. Lekin bu parollar noto'g'ri qo'llarga tushib qolishining yagona sababi emas.
Ushbu maqolada foydalanuvchi parollarini buzish uchun qanday usullardan foydalanish mumkinligi va nima uchun siz bunday hujumlarga duchor bo'lishingiz haqida batafsil ma'lumot berilgan. Oxirida siz parolingiz buzilgan yoki yo'qligi haqida sizga xabar beradigan onlayn xizmatlar ro'yxatini topasiz. Mavzu bo'yicha ikkinchi maqola ham mavjud (allaqachon), lekin men o'qishni hozirgi sharhdan boshlashni va faqat shundan keyingisiga o'tishni maslahat beraman.
Yangilanish: quyidagi material tayyor - parol xavfsizligi to'g'risida, bu sizning hisoblaringiz va ular uchun parollarning xavfsizligini qanday oshirishni tavsiflaydi.
Parollarni buzishda qanday usullardan foydalaniladi?
Parollarni buzish uchun turli xil texnikalardan unchalik keng foydalanilmaydi. Ularning deyarli barchasi ma'lum va shaxsiy ma'lumotlarning deyarli har qanday komprometiga individual usullar yoki ularning kombinatsiyalari yordamida erishiladi.
Phishing
Ommabop elektron pochta xizmatlari va ijtimoiy tarmoqlarning parollarining bugungi kunga qadar "yo'naltirilishi" eng keng tarqalgan usul - bu фишинг va bu usul foydalanuvchilarning juda ko'p foizi uchun ishlaydi.
Usulning mohiyati shundaki, siz o'zingizni tanish deb biladigan saytda topasiz (xuddi shu Gmail, VK yoki Odnoklassniki, masalan), va biron sababga ko'ra boshqa sababga ko'ra sizdan foydalanuvchi nomingiz va parolingizni kiritishingiz so'raladi (biror narsani kiritish, tasdiqlash, uni o'zgartirish va boshqalar). Parolni kiritgandan so'ng darhol tajovuzkor o'zini topadi.
Bu qanday sodir bo'ladi: siz qo'llab-quvvatlash xizmatidan xatni olishingiz mumkin, u sizning hisobingizga kirish zarurligi haqida ma'lumot beradi va havolani taqdim etadi, ushbu saytga kirganingizda asl nusxasini aniq nusxasini ko'chiradigan veb-sayt ochiladi. Ehtimol, istalmagan dasturni kompyuterga o'rnatganingizdan so'ng, tizim sozlamalari shunday o'zgartirilishi mumkinki, brauzer manzil satriga kerak bo'lgan sayt manzilini kiritganingizda, xuddi shu tarzda yaratilgan фишинг saytiga o'tasiz.
Yuqorida aytib o'tganimdek, ko'p foydalanuvchilar buni ko'rishadi va odatda bu beparvolik tufayli yuzaga keladi:
- Agar siz biron bir shaklda yoki boshqasida sizni biron bir saytda o'z hisob qaydnomangizga kirishni taklif qiladigan xat olganingizda, ushbu saytdagi pochta manzilidan haqiqatan ham yuborilganligiga e'tibor bering: odatda shunga o'xshash manzillar ishlatiladi. Masalan, [email protected] o'rniga [email protected] yoki shunga o'xshash narsa bo'lishi mumkin. Biroq, to'g'ri manzil har doim hammasi joyida bo'lishiga kafolat bermaydi.
- Parolingizni biron bir joyga kiritishdan oldin brauzeringizning manzil satriga diqqat bilan qarang. Avvalo, siz borishni xohlagan sayt u erda ko'rsatilishi kerak. Biroq, kompyuterda zararli dastur mavjud bo'lsa, bu etarli emas. Shuningdek, siz ushbu saytda ekanligingizni tasdiqlashingiz mumkin bo'lgan tugmachani bosish orqali http-ning o'rniga https protokoli yordamida va manzil panelidagi "qulflash" tasviri yordamida aniqlanishi mumkin bo'lgan ulanishni shifrlash mavjudligiga e'tibor qaratishingiz kerak. Hisobga kirishni shifrlashni talab qiladigan deyarli barcha jiddiy manbalar.
Aytgancha, shuni ta'kidlaymanki, фишинг hujumlari va parolni sindirish usullari (quyida tasvirlangan) bugungi kunda bir odamning mashaqqatli va og'ir ishini anglatmaydi (ya'ni, qo'lda million parolni kiritishga hojat yo'q) - bularning barchasi tez va katta hajmda maxsus dasturlar tomonidan amalga oshiriladi. , keyin muvaffaqiyat haqida tajovuzkorga xabar bering. Bundan tashqari, ushbu dasturlar xakerning kompyuterida ishlamasligi mumkin, lekin yashirin ravishda sizda va minglab boshqa foydalanuvchilarda ishlaydi, bu esa ba'zida buzish samaradorligini oshiradi.
Parollarni moslash
Parolni taxmin qilish usulidan foydalanilgan hujumlar (Brute Force, rus tilidagi shafqatsiz kuch) ham juda keng tarqalgan. Agar bir necha yil oldin, ushbu hujumlarning aksariyati ma'lum bir uzunlikdagi parollarni yaratish uchun ma'lum bir belgilar to'plamining barcha birikmalarini sanab chiqqan bo'lsa, hozirgi paytda hamma narsa biroz sodda (xakerlar uchun).
So'nggi yillarda yashirilgan millionlab parollarning tahlili shuni ko'rsatadiki, ularning yarmidan kami noyob, aksariyat hollarda tajribasiz saytlarning ulushi "tajribasiz".
Bu nimani anglatadi? Umumiy holda, xaker hisoblab bo'lmaydigan millionlab kombinatsiyalar orqali saralashga hojat yo'q: 10-15 million paroldan iborat ma'lumotlar bazasiga ega (taxminiy raqam, ammo haqiqatga yaqin) va faqatgina ushbu birikmalarni almashtirib, u istalgan saytdagi hisoblarning deyarli yarmini buzishi mumkin.
Muayyan hisob raqamiga maqsadli hujum qilingan taqdirda, ma'lumotlar bazasiga qo'shimcha ravishda oddiy shafqatsiz kuch ishlatilishi mumkin va zamonaviy dasturiy ta'minot sizga buni tezda amalga oshirishga imkon beradi: 8 belgidan iborat parol bir necha kun ichida yorilib ketishi mumkin (va agar bu belgilar sana yoki nomlarning kombinatsiyasini anglatsa) va sanalar, kam emas (daqiqada).
E'tibor bering: agar siz bir xil parolni turli saytlar va xizmatlar uchun ishlatsangiz, parolingiz va tegishli elektron pochta manzilingiz biron birida buzilishi bilanoq, maxsus dasturiy ta'minot yordamida login va parolning bir xil kombinatsiyasi yuzlab boshqa saytlarda sinovdan o'tkaziladi. Masalan, o'tgan yilning oxirida bir necha million Gmail va Yandex parollari tarqalgandan so'ng, Origin, Steam, Battle.net va Uplay akkauntlarini buzish to'lqini o'chib ketdi (menimcha va boshqa ko'plab odamlar, ular shunchaki ko'rsatilgan o'yin xizmatlari bilan bog'lanishdi).
Saytlarni buzish va parolli xeshlarni olish
Ko'pgina jiddiy saytlar sizning parolingizni o'zingiz bilgan shaklda saqlamaydi. Ma'lumotlar bazasida faqat hash saqlanadi - qaytarib bo'lmaydigan funktsiyani parolga kiritish natijasida (ya'ni siz parolni bu natijadan qaytara olmaysiz). Saytga kirganingizda, hash qayta hisoblab chiqiladi va agar u ma'lumotlar bazasida saqlanadigan narsalarga mos bo'lsa, siz parolni to'g'ri kiritdingiz.
Siz taxmin qilganingizdek, bu xavfsizlik nuqtai nazaridan parollar emas, balki xeshlar saqlanadi - potentsial xakerlar va tajovuzkorlar ma'lumotlar bazasini olishganda, u ma'lumotlardan foydalana olmaydi va parollarni topa olmaydi.
Ammo, odatda, u buni amalga oshirishi mumkin:
- Xeshni hisoblash uchun ma'lum algoritmlar qo'llaniladi, ko'pchilik uchun - taniqli va keng tarqalgan (ya'ni, ularni hamma ishlatishi mumkin).
- Millionlab parollar bilan ma'lumotlar bazasiga ega bo'lgan (shafqatsiz kuch ishlatish nuqtasidan), tajovuzkor, shuningdek, mavjud bo'lgan barcha algoritmlardan foydalangan holda hisoblab chiqilgan ushbu parollarni yuvishga kirish huquqiga ega.
- Olingan ma'lumotlar bazasi va parolli xeshlarni o'zingizning ma'lumotlar bazangizdagi ma'lumotlarni taqqoslab, qaysi algoritm ishlatilishini aniqlab, bazadagi ba'zi kirishlar uchun haqiqiy parollarni oddiy taqqoslash orqali aniqlashingiz mumkin (barcha noyob bo'lmaganlar uchun). Va shafqatsiz kuch vositalari sizga boshqa noyob, ammo qisqa parollarni topishga yordam beradi.
Ko'rinib turibdiki, parollarni o'z veb-saytlarida saqlamaydigan turli xil xizmatlarning marketing bayonotlari sizni uning buzilishidan himoya qilmaydi.
Spyware (SpyWare)
SpyWare yoki josuslik dasturi - zararli dasturlarning keng doirasi, bu sizning kompyuteringizga yashirin tarzda o'rnatiladi (shuningdek, shpion dasturlari ba'zi zarur dasturlarga qo'shilishi mumkin) va foydalanuvchi to'g'risida ma'lumot to'playdi.
Boshqa narsalar qatorida, foydalanuvchi parollarini olish uchun SpyWare-ning ba'zi turlari, masalan, klaviatura dasturlari (sizning tugmachalaringizni kuzatadigan dasturlar) yoki yashirin trafik tekshirgichlaridan foydalanish mumkin (ishlatiladi).
Ijtimoiy muhandislik va parolni tiklash masalalari
Vikipediyada aytilganidek, ijtimoiy muhandislik bu inson psixologiyasining xususiyatlariga asoslangan ma'lumotlarga kirish usuli (yuqorida aytib o'tilgan phishing ham kiradi). Internetda siz ijtimoiy muhandislikdan foydalanishning ko'plab misollarini topishingiz mumkin (men qidirishni va o'qishni maslahat beraman - bu juda qiziq), ularning ba'zilari nafisligi bilan ajralib turadi. Umuman olganda, usul maxfiy ma'lumotlarni olish uchun zarur bo'lgan deyarli har qanday ma'lumotni insonning zaif tomonlaridan foydalangan holda olish mumkinligiga asoslanadi.
Va men parollar bilan bog'liq bo'lgan oddiy va juda nafis uy xo'jaligini misolini keltiraman. Ma'lumki, ko'p saytlarda parolni tiklash uchun xavfsizlik savoliga javobni kiritish kifoya: siz qaysi maktabga borgansiz, onaning qizining ismi, uy hayvonining laqabi ... Agar siz ushbu ma'lumotni ijtimoiy tarmoqlarda ommaviy nashrga joylashtirmagan bo'lsangiz ham, bu juda qiyin. bir xil ijtimoiy tarmoqlardan foydalanganda, sizga tanish bo'lganmisiz yoki maxsus uchrashuvda, bemalol shunday ma'lumotni olasizmi?
Sizning parolingiz buzilganligini qanday aniqlash mumkin
Xo'sh, maqolaning oxirida, xakerlar kirgan parollar bazasi bilan elektron pochta manzilingiz yoki foydalanuvchi nomingizni tekshirish orqali parolingiz buzilganmi yoki yo'qligi haqida sizga xabar beradigan bir nechta xizmatlar mavjud. (Bu meni ajablantiradi, ular orasida rus tilidagi xizmatlarning ma'lumotlar bazalari juda ko'p).
- //haveibeenpwned.com/
- //breaklarm.com/
- //pwnedlist.com/query
Hisobingizni taniqli xakerlar ro'yxatida topdingizmi? Parolni o'zgartirish mantiqiy, lekin men yaqin kunlarda yozma parollar bilan bog'liq xavfsiz usullar haqida batafsilroq yozaman.
