L'accusazione di password, qualunque passwords chì possenu avè - da e-mail, banking online, Wi-Fi o da conti Vkontakte è Odnoklassniki, hè diventata recentemente un avvenimentu frequente. Quessa hè in gran parte à causa di u fattu chì l'utenti ùn abitanu micca à e regule di sicurezza abbastanza semplici quandu cresce, stanu è uttenendu password. Ma questu ùn hè micca l'unica ragione perchè i password pruvanu nantu à e mani sbagliate.
In questu articulu ghjunghjite infurmazioni dettagliate nantu à i metodi chì ponu esse aduprati per creà le password d'utenti è u perchè sò vulnerabili à tali attacchi. E à a fine vi truverete un elencu di servizii in ligna chì vi farà sapenu chì a vostra parola hè già stata compromessa. Ci sarà ancu (già) un secondu articulu nantu à u sughjettu, ma vi aduprà a lettura da a revisione in corso, è solu passà à u prossimu.
Aggiorna: u materiale chì seguita hè prontu - Circa a sicurezza di password, chì descrive cume prutezziunà i vostri conti è password in pruppiziu.
Chì i metudizoni sò usati per creà password
Per e password d'accidentu ùn hè micca usata una larga gamma di tecniche diverse. Quandu tutti sò stati cunnisciuti è quasi ogni compromisu di l'infurmazioni riservate hè ottenutu per mezu di i metudi individuali o di e so combinazioni.
Phishing
U modu più cumunale chì e password d'ogni "aduprate" di i servizii di e-mail popolari è reti sociali hè phishing, è stu metudu funziona per una percentuale assai larga di utenti.
L'essenza di u metudu hè chì vi truverete nantu à un situ familiari (u listessu Gmail, VC o Odnoklassniki, per esempiu), è per una ragione o altra vi invità à inserite u vostru username è a vostra password (per accede, conferma qualcosa, per u so cambiu, etc.). Subitu dopu avè inseritu u password, hè di l'intrusi.
Cumu accade: pudete riceve una lettera, suppugnativa di u serviziu di supportu, chì dichiara chì avete bisognu di cunnessu à u vostru contu è un link hè data, quandu vi cambiate à stu situ, chì copia chiaramente l'originale. Hè pussibule chì, dopu l'installazione casuale di prugrammi indesiderati nantu à un computer, e l'impostazioni di u sistema cambianu in modo chì quandu inserisci l'indirizzu di u situ chì avete bisognu in a barra di indirizzu di u navigatore, puderete vene versu un situ di phishing progettatu esattamente cum'è stissu.
Come aghju avutu annantu, parechji utilizatori cadenu per questu, è di solitu questu hè da a curuzia:
- Quandu ricevi una lettera chì, in una forma o altra, vi offre di accede à u vostru contu nantu à un situu particulare, fatti attenzione à se mandatu da u indirizzu e-mail nantu à o situ: o indirizzi simili sò in solitu usati. Per esempiu, invece di [email protected], pò esse [email protected] o qualcosa di simile. Tuttavia, l'indirizzu correttu ùn garantisce micca chì tuttu sia in ordine.
- Prima di entrà u vostru password sempre, guardate attentamente in a barra di indirizzu di u vostru navigatore. Prima di tutti, ci deve esse indicatu esattamente u situ à chì vulete andà. Tuttavia, in u casu di malware in un computer, questu ùn hè micca abbastanza. Duvete dinò prestu attenzione à a presenza di a crittografia di a cunnessione, chì pò esse determinata aduprendu u protocollo https invece di http è l'imagine di u "fermo" in a barra di indirizzu, cliccendu nantu à quale, pudete assicurà chì sì in stu situ. Quasi tutte e risorse seriate chì necessitanu di cunsultà in u vostru contu usanu la crittografia.
A propositu, annunceraghju quì chì l'attrizzi phishing è i metudi di ricerca di password (descrittu in seguitu) ùn implicanu micca u travagliu prudente di una persona (vale à dì ch'elli ùn anu micca bisognu à entrà un milione di password manualmente). , è dopu segnalate u prugressu di l'attardatore. Inoltre, sti prugrammi ponu travaglià micca nantu à l'urdinatore di l'hacker, ma à secretu pè u vostru è à mezu à migliaia di altri utilizatori, chì aumentanu assai l'efficacità di i hacks.
Selezzione di password
Attaccati cù recuperu di password (Brute Force, brute force in russe) sò ancu abbastanza cumuni. A i pochi anni fà, a maiò parte di sti attacchi sò stati veramente una ricerca in tutte e combinazioni di un certu serie di caratteri per compose password di certa lunghezza, allora à u mumentu tuttu hè pienu più simplice (per i pirati).
L'analisi di milioni di password chì sò fuggite in l'ultimi anni mostranu chì menu a metà di elli sò uniche, mentre in quelli siti in cui l'utenti sò senza esperienza vivendu, a percentuale hè abbastanza chjuca.
Cosa significa questu? In generale, l'hacker ùn hà bisognu di passà per parechje milioni di cumbinazioni: avè una basa di 10-15 milioni di password (un numeru approssimativu, ma vicinu à a verità) è sostituendu solu queste combinazioni, puderà pirà quasi a mità di i conti in ogni situ.
In u casu di un attaccu destinatu à un account specificu, in aggiunta à a basa, una forza pura di brutti pò esse aduprata, è un lugiziale moderno permette di fà ciò relativamente rapidamente: una password di 8 caratteri pò esse spaccata in pochi ghjorni (è se sti caratteri sò una data o una combinazione di è date, chì ùn hè micca rara - in minuti).
Nota: se aduprate a stessa password per i diversi siti è servizi, allora appena a vostra password è l'indirizzu di e-mail corrispondenti sò compromessi per qualunque di elli, cù l'aiutu di un software particulare, st'unica combinazione di login è password sarà testata nantu à centinaia di altri siti. Per esempiu, subitu dopu a fuga di parechji milioni di password di Gmail è Yandex à a fine di l'ultimu annu, una ondata di conti di hacking nasciuta da Origin, Steam, Battle.net è Uplay (pensu chì tanti altri, solu per i servizii di ghjocu specificati sò stati contu più volte.)
Hacking siti è riceve hashes password
A maiò parte di i posti serii ùn salvano micca a vostra password in a forma in cui u sapete. Solu un hash hè salvatu in a basa di dati - u risultatu di l'applicazione di una funzione irreversibile (vale à dì, ùn puderete micca ricuperà a vostra password da stu risultatu) à a password. Quandu accede in u situ, u hash hè calciatu nuvè è, s'ellu si contrapassa cù ciò chì si trò in u basa di dati, significa chì hai inseritu a password in modo correttu.
Cum'è hè facile à ghjunghje, sò i cotti chì sò salvati, e micca i password stessi, solu per ragioni di sicurezza - accussì chì quandu un hacker entra in a basa di dati è lu riceve, ùn puderebbe micca aduprà l'infurmazioni è imparà i password.
Tuttavia, spessu, pò fà quellu:
- Per calcular u hash, certi algoritmi sò aduprati, a maiò parte di i quali sò cunnisciuti è cumuni (vale à dì chì tutti ponu usarli).
- Avendu banche di dati cù milioni di password (da una clausula di forza brutale), un attaccante hà l'accessu à i hash di sti password calcolati cù tutti i algoritmi dispunibili.
- Trasparendu l'infurmazioni da u basatu di database è di password risultatu da a vostra basa di dati, pudete determinà quale algoritmu hè adupratu è scopre e vere password per una parte di i registri in a basa di dati cù un semplice paragunu (per tutti i non unici). È l'utili di forza brutale vi aiutanu à imparà u restu di parolle uniche, ma brevi.
Comu pudete vede, i reclami di marketing di vari servizii ch'elli ùn conservanu micca i vostri password nant'à u vostru situ ùn te micca necessariamente pruteggiati da a so fuga.
Spyware (SpyWare)
SpyWare o spyware - una larga gamma di prugrammi maliciosi chì hè installatu secretu in un computer (i spyware ponu esse inclusi cum'è parte di un prugrammu necessariu) è raccoglie l'infurmazioni di l'utenti.
Tra l'altro, certi tipi di SpyWare, per esempio, i keyloggers (prugrammi chì seguenu i tasti chì premete) o analizzatori nascosti di trafficu, ponu esse uti (è usati) per ottenere le password d'utenti.
Inghilii sociali è domande di recuperu di password
Cum'è a zitella di Wikipedia, l'ingegneria sughjettu hè un mètudu di accessu à l'infurmazione basata nantu à e caratteristiche di a psicologia di una persona (questu include u phishing citatu sopra). In Internet, pudete truvà parechji esempi d'usu di l'ingegneria sociali (vi pruponi una ricerca è una lettura - questu hè interessante), certi di i quali ponu esse impressionanti in a so eleganza. In generale, u metudu scaturisce da u fattu chì guasgi tutte e infurmazioni necessarie per accede à l'infurmazioni riservate ponu esse ottenute cù e debule umane.
È vi daraghju solu un simpru è micca particolarmente eleganti esempio di famiglia in i paroli. Comu sapete, in parechji siti per recuperu password, hè basta à arricchisce a risposta à a dumanda di cuntrollu: quale scola avete participatu, u nomu di a chjama di a mamma, u nomi di l'agnellu ... Ancu se ùn avete micca postu dà sì l'infurmazioni in accessu aperto nantu à i reti sociali, pensate chì sia difficiule? se usanu e stesse reti sociali, cunnuscite cun u vostru, o daveru cunnosce in particulare, ottene discretamente tali informazioni?
Cumu sapete chì a vostra parola hè stata hacked
Bè è, à a fine di l'articolo, parechji servizii chì ti permettenu di scopre se a vostra password hè stata sfacata, verificendu l'indirizzu di e-mail o un username cu basi di dati password chì avianu accessu da hacker. (Sò un pocu sorpresu chì in esse ci sia una percentuale troppu significativa di banche di dati da i servizii di e russe).
- //haveibeenpwned.com/
- //breachalarm.com/
- //pwnedlist.com/query
Avete scuppatu u vostru account in a lista di pirati cunnisciuti? Hà un sensu di cambià a password, ma in più dettallu nantu à e pratiche sicure in diretta di i password di account, scrivu in i ghjorni scorsi.