O hacking de contrasinais, sen importar cales son os contrasinais: desde o correo, a banca en liña, o wifi ou as contas de VKontakte e Odnoklassniki, converteuse recentemente nun evento frecuente. Isto débese en gran medida a que os usuarios non se conforman a normas de seguridade bastante sinxelas ao crear, almacenar e usar contrasinais. Pero este non é o único motivo polo que os contrasinais poden caer nas mans equivocadas.
Este artigo ofrece información detallada sobre que métodos se poden usar para rachar contrasinais dos usuarios e por que son vulnerables a tales ataques. Ao final, atoparás unha lista de servizos en liña que che farán saber se o seu contrasinal xa foi comprometido. Tamén haberá (xa está) un segundo artigo sobre o tema, pero recomendo comezar a lectura coa revisión actual, e só despois pasar á seguinte.
Actualización: o seguinte material está listo - Acerca da seguridade do contrasinal, que describe como maximizar a seguridade das túas contas e contrasinais para elas.
Que métodos se empregan para rachar contrasinais?
Para rachar contrasinais, úsase un rango non moi amplo de diferentes técnicas. Coñécense case todos e conséguese case calquera compromiso de información confidencial mediante o uso de métodos individuais ou as súas combinacións.
Phishing
O xeito máis común de que os contrasinais dos servizos populares de correo electrónico e as redes sociais están "desviados" ata a data é o phishing, e este método funciona para unha porcentaxe moi grande de usuarios.
A esencia do método é que te atopes nun sitio que pensas que é familiar (o mesmo Gmail, VK ou Odnoklassniki, por exemplo), e por un motivo ou outro se lle solicita que introduza o seu nome de usuario e contrasinal (para introducir, confirmar algo, para cambialo, etc.). Inmediatamente despois de introducir o contrasinal, o atacante atópase.
Como isto sucede: pode recibir unha carta, supostamente do servizo de asistencia, informándolle sobre a necesidade de iniciar sesión na súa conta e se lle dará unha ligazón, ao ir a ese sitio, ábrese un sitio web que copia exactamente o orixinal. É posible que despois de instalar accidentalmente software non desexado nunha computadora, a configuración do sistema se cambie de tal xeito que ao introducir o enderezo do sitio que precisa na barra de enderezos do navegador, realmente chegue a un sitio de phishing deseñado exactamente da mesma forma.
Como xa notei, moitos usuarios atopan isto, e normalmente isto débese a un descoido:
- Cando reciba unha carta que nun formulario ou outro te invita a iniciar sesión na túa conta nun sitio determinado, preste atención a se realmente foi enviada dende a dirección de correo deste sitio: normalmente úsanse enderezos similares. Por exemplo, en vez de [email protected], pode haber [email protected] ou algo semellante. Non obstante, a dirección correcta non sempre garante que todo estea en orde.
- Antes de introducir o seu contrasinal nalgún lugar, mire atentamente a barra de enderezos do seu navegador. En primeiro lugar, o sitio ao que quere ir debe indicarse. Non obstante, no caso de malware no ordenador, isto non é suficiente. Tamén debe prestar atención á presenza de cifrado da conexión, que se pode determinar empregando o protocolo https en lugar de http e a imaxe do "bloqueo" na barra de enderezos, facendo clic sobre o que pode verificar que está neste sitio. Case todos os recursos serios que requiren un cifrado de inicio de sesión usan cifrado.
Por certo, observo aquí que os ataques de phishing e métodos de cracking de contrasinais (descritos a continuación) non implican o penoso e temible traballo dunha persoa hoxe (é dicir, non necesita introducir un millón de contrasinais manualmente); todo iso faise por programas especiais, de xeito rápido e en grandes volumes. e, a continuación, informe do éxito ao atacante. É máis, é posible que estes programas non funcionen na computadora do hacker, pero en segredo no seu e en miles de outros usuarios, o que ás veces aumenta a eficacia do piratería informática.
Combinación de contrasinal
Os ataques con adiviñación de contrasinais (forza bruta, forza bruta en ruso) tamén son bastante comúns. Se hai uns anos, a maioría destes ataques enumeraban realmente todas as combinacións dun determinado conxunto de caracteres para compoñer contrasinais dunha certa lonxitude, polo momento todo é algo máis sinxelo (para os hackers).
A análise de millóns de contrasinais filtrados nos últimos anos demostra que menos da metade deles son únicos, mentres que a porcentaxe de sitios que teñen maior parte de experiencia non ten experiencia.
Que significa isto? No caso xeral, o hacker non precisa clasificar a través de incontables millóns de combinacións: ter unha base de datos de 10-15 millóns de contrasinais (un número aproximado, pero próximo á verdade) e substituír só estas combinacións, pode rachar case a metade das contas en calquera sitio.
No caso dun ataque dirixido a unha conta determinada, ademais da base de datos, pódese empregar unha forza bruta sinxela e o software moderno permite facelo relativamente rápido: pódese rachar un contrasinal de 8 caracteres en cuestión de días (e se estes caracteres representan unha data ou unha combinación de nomes. e datas, pouco frecuentes (en minutos).
Teña en conta: se usa o mesmo contrasinal para sitios e servizos diferentes, logo que o seu contrasinal e o enderezo de correo electrónico correspondentes estean comprometidos en calquera deles, usando o software especial, probarase a mesma combinación de inicio de sesión e contrasinal en centos doutros sitios. Por exemplo, inmediatamente despois da filtración de varios millóns de contrasinais de Gmail e Yandex a finais do ano pasado, unha onda de piratería de contas de Origin, Steam, Battle.net e Uplay arrasou (creo que, e moitos outros, só contactaron comigo nos servizos do xogo especificados).
Hacking sitios e obtención de hashes de contrasinal
Os sitios máis graves non almacenan o seu contrasinal na forma en que o coñeces. Só se garda un hash na base de datos: o resultado de aplicar unha función irreversible (é dicir, non pode obter o seu contrasinal de novo a partir deste resultado) ao contrasinal. Cando entras no sitio, o hash recalcularase e, se coincide co almacenado na base de datos, introduciu o contrasinal correctamente.
Como podes adiviñar, son os hashes que se almacenan, e non os contrasinais, só por motivos de seguridade, de xeito que cun hack potencial e un atacante obtén a base de datos, non podía usar a información e atopar os contrasinais.
Non obstante, con bastante frecuencia, pode facelo:
- Para calcular o hash, úsanse certos algoritmos, na súa maioría - coñecidos e comúns (é dicir, todos poden usalos).
- Tendo bases de datos con millóns de contrasinais (desde o punto de forza bruta), o atacante tamén ten acceso aos hashes destes contrasinais calculados usando todos os algoritmos dispoñibles.
- Comparando información da base de datos e hashes de contrasinal resultantes da súa propia base de datos, pode determinar que algoritmo se usa e descubrir os contrasinais reais para algunhas das entradas da base de datos combinando sinxelos (para todos os que non sexan únicos). E as ferramentas de forza bruta axudarán a descubrir o resto de contrasinais únicos, pero curtos.
Como podes ver, as declaracións de mercadotecnia de varios servizos que non almacenan os teus contrasinais no seu sitio web non necesariamente protexenche da súa filtración.
Spyware (SpyWare)
SpyWare ou spyware: unha ampla gama de software malintencionado que instala de xeito secreto no seu ordenador (tamén se poden incluír funcións de spyware nalgún software necesario) e recolle información sobre o usuario.
Entre outras cousas, pódense empregar (e úsanse) certos tipos de SpyWare, por exemplo, keyloggers (programas que rastrexan as súas teclas) ou analizadores de tráfico ocultos.
Problemas de recuperación de contrasinal e enxeñería social
Como nos di Wikipedia, a enxeñería social é un método de acceso á información baseado nas características da psicoloxía humana (isto inclúe o phishing mencionado anteriormente). En Internet pódense atopar moitos exemplos do uso da enxeñaría social (recomendo buscar e ler - isto é interesante), algúns que chaman a súa elegancia. En termos xerais, o método refírese ao feito de que case calquera información necesaria para acceder a información confidencial pódese obter utilizando debilidades humanas.
E só vou dar un exemplo doméstico sinxelo e non especialmente elegante relacionado cos contrasinais. Como xa sabes, en moitos sitios para recuperar o teu contrasinal, basta con introducir a resposta á pregunta de seguridade: a que escola vas, nome de solteira da nai, apelido de mascota ... Aínda que aínda non publicaches esta información no dominio público nas redes sociais, é difícil tanto se usa as mesmas redes sociais, coñecéndote ou se reúne especialmente, recibe sen discusión esa información?
Como descubrir que o seu contrasinal foi pirateado
Ben, ao final do artigo, hai varios servizos que che informan se o seu contrasinal foi pirateado revisando o seu enderezo de correo electrónico ou nome de usuario cunha base de datos de contrasinais aos que accederon os hackers. (Sorpréndeme un pouco que entre eles haxa moita porcentaxe de bases de datos de servizos en lingua rusa).
- //haveibeenpwned.com/
- //breachalarm.com/
- //pwnedlist.com/query
Atopaches a túa conta na lista de hackers coñecidos? Ten sentido cambiar o contrasinal, pero con máis detalle sobre prácticas seguras en relación aos contrasinais da conta escribirei nos próximos días.
