האַקקינג פּאַסווערדז, וועלכער פּאַסווערדז זיי קען האָבן - פון פּאָסט, אָנליין באַנקינג, ווי-פי אָדער פון ווקאָנטאַקטע און אָדנאָקלאַססניקי אַקאַונץ, לעצטנס געווארן אַ אָפט געשעעניש געשעעניש. דעם איז לאַרגעלי רעכט צו דעם פאַקט אַז וסערס טאָן ניט אַדכיר צו פשוט פּשוט זיכערהייַט כּללים ווען שאפן, סטאָרינג און ניצן פּאַסווערדז. אבער דעם איז ניט דער בלויז סיבה פּאַסווערדז קענען פאַלן אין די פאַלש הענט.
דעם אַרטיקל גיט דיטיילד אינפֿאָרמאַציע אויף וואָס מעטהאָדס קענען זיין געניצט צו פּלאַצן באַניצער פּאַסווערדז און וואָס איר זענט שפּירעוודיק צו אַזאַ אנפאלן. און אין די סוף איר וועט געפֿינען אַ רשימה פון אָנליין באַדינונגען וואָס וועט לאָזן איר וויסן אויב דיין פּאַראָל איז שוין קאַמפּראַמייזד. עס וועט אויך זייַן (שוין) אַ צווייטע אַרטיקל אויף דער טעמע, אָבער איך רעקאָמענדירן לייענען עס פון די קראַנט אָפּשאַצונג, און בלויז דעמאָלט גיינ ווייַטער צו דער ווייַטער איינער.
אַפּדייט: די פאלגענדע מאַטעריאַל איז גרייט - וועגן פּאַראָל זיכערהייַט, וואָס באשרייבט ווי צו מאַקסאַמאַלי זיכער דיין אַקאַונץ און פּאַסווערדז צו זיי.
וואָס מעטהאָדס זענען געניצט צו פּלאַצן פּאַסווערדז
פֿאַר כאַקינג פּאַסווערדז איז נישט געניצט אַ ברייט קייט פון פאַרשידענע טעקניקס. כּמעט אַלע פון זיי זענען באקאנט און כּמעט קיין קאָמפּראָמיס פון קאַנפאַדענטשאַל אינפֿאָרמאַציע איז אַטשיווד דורך די נוצן פון יחיד מעטהאָדס אָדער זייער קאַמבאַניישאַנז.
Phishing
די מערסט פּראָסט וועג אַז הייַנט ס פּאַסווערדז "נעמען אַוועק" פון פאָלקס בליצפּאָסט באַדינונגען און געזעלשאַפטלעך נעטוואָרקס איז פישינג, און דעם אופֿן אַרבעט פֿאַר אַ זייער גרויס פּראָצענט פון וסערס.
די עסאַנס פון דעם אופֿן איז אַז איר געפֿינען זיך אויף אַ באַקאַנט פּלאַץ (די זעלבע Gmail, ווק אָדער אָדנאָקלאַססניקי, פֿאַר בייַשפּיל), און פֿאַר איין סיבה אָדער אנדערן, איר זענט געבעטן צו אַרייַן דיין נאמען און פּאַראָל (צו אַרייַנלאָגירן, באַשטעטיקן עפּעס, פֿאַר זייַן טוישן, אאז"ו ו). תיכף נאָך ענטערינג די פּאַראָל איז פון ינטרודערז.
ווי עס כאַפּאַנז: איר קענען באַקומען אַ בריוו, אַלעדזשאַדלי פון די שטיצן דינסט, וואָס שטימען אַז איר דאַרפֿן צו קלאָץ אין צו דיין חשבון, און אַ לינק איז געגעבן, ווען איר יבערבייַט צו דעם פּלאַץ, וואָס פּונקט עקזעמפלארן די אָריגינעל. עס איז מעגלעך אַז נאָך די רעגיסטרי ייַנמאָנטירונג פון אַנוואָנטיד ווייכווארג אויף אַ קאָמפּיוטער, די סיסטעם סעטטינגס טוישן אין אַזאַ אַ וועג אַז ווען איר אַרייַן די אַדרעס פון דעם פּלאַץ איר דאַרפֿן אין די אַדרעס באַר פון דעם בלעטערער, איר פאקטיש באַקומען צו אַ פישינג פּלאַץ דיזיינד אין פּונקט דער זעלביקער וועג.
ווי איך האב שוין אנגעוויזן, זייער פילע וסערס פאַלן פֿאַר דעם, און יוזשאַוואַלי דאָס איז רעכט צו קערלאַסנאַס:
- ווען איר באַקומען אַ בריוו אַז אין איין פאָרעם אָדער אנדערן אָפפערס איר צו אַרייַנלאָגירן דיין חשבון אויף אַ באַזונדער פּלאַץ, באַצאָלן ופמערקזאַמקייַט צו צי עס איז געשיקט פון די בליצפּאָסט אַדרעס אויף דעם פּלאַץ: די ענלעך ווענדט זענען יוזשאַוואַלי געניצט. פֿאַר בייַשפּיל, אַנשטאָט פון [email protected], עס קען זיין [email protected] אָדער עפּעס ענלעך. אָבער, די ריכטיק אַדרעס טוט נישט שטענדיק גאַראַנטירן אַז אַלץ איז אין סדר.
- איידער איר אַרייַן דיין פּאַראָל ערגעץ, קערפאַלי קוק אין די אַדרעס באַר פון דיין בלעטערער. ערשטער פון אַלע, עס מוזן זייַן פּונקט דער פּלאַץ וואָס איר ווילן צו גיין. אָבער, אין דעם פאַל פון מאַלוואַרע אויף אַ קאָמפּיוטער, דאָס איז נישט גענוג. איר זאָל אויך באַצאָלן ופמערקזאַמקייט צו דעם בייַזייַן פון די פארבונדן פון די קשר, וואָס קענען זיין באשלאסן דורך ניצן די הטטפּס פּראָטאָקאָל אַנשטאָט פון הטטפּ און דער בילד פון די "שלאָס" אין די אַדרעס באַר, דורך געבן אַ קליק אויף וואָס, איר קענען מאַכן זיכער אַז איר זענט אויף דעם פּלאַץ. כּמעט אַלע די ערנסט רעסורסן וואָס דאַרפן לאָגינג אין דיין חשבון ניצן ענקריפּשאַן.
ביי די וועג, איך וועט טאָן דאָ אַז ביידע פישינג אנפאלן און פּאַראָל זוכן מעטהאָדס (דיסקרייבד אונטן) טאָן ניט מיינען די פּיינסטייקינג קאָרעס פון איין מענטש (וואָס איז, זיי טאָן ניט דאַרפֿן צו אַרייַן אַ מיליאָן פּאַסווערדז מאַניואַלי) - אַלע דעם איז געטאן דורך ספּעציעל מגילה, געשווינד און אין גרויס וואַליומז. , און דעמאָלט מעלדונג אויף די פּראָגרעס פון די אַטאַקער. דערצו, די מגילה קענען נישט אַרבעטן אויף די העקער ס קאָמפּיוטער, אָבער בעשאָלעם אויף דייַן און צווישן טויזנטער פון אנדערע ניצערס, וואָס זייער ינקריסיז די יפעקטיוונאַס פון כאַקס.
פּאַראָל סעלעקציע
אַטאַקץ ניצן פּאַראָל אָפּזוך (ברוט פאָרס, ברוט קראַפט אין רוסיש) זענען אויך גאַנץ פּראָסט. עטלעכע יאָרן צוריק, רובֿ פון די אנפאלן זענען טאַקע אַ זוכן דורך אַלע די קאַמבאַניישאַנז פון אַ זיכער שטעלן פון אותיות צו קאַמפּאָוז פּאַסווערדז פון אַ זיכער לענג, און אין דעם מאָמענט אַלץ איז עפּעס סימפּלער (פֿאַר כאַקערז).
די אַנאַליסיס פון מיליאַנז פון פּאַסווערדז וואָס האָבן אנטרונען אין די לעצטע יאָרן ווייזט אַז ווייניקער ווי העלפט פון זיי זענען יינציק, בשעת אויף די זייטלעך וווּ עס זענען מערסטנס יניקספּיריאַנסט ניצערס לעבן, די פּראָצענט איז גאַנץ קליין.
וואָס טוט דאָס מיינען? אין אַלגעמיין, די העקער טוט נישט דאַרפֿן צו גיין דורך אַנאָנעמע מיליאָן פון קאַמבאַניישאַנז: בעת אַ באַזע פון 10-15 מיליאָן פּאַסווערדז (אַן אַפּפּראָקסימייט נומער, אָבער נאָענט צו דעם אמת) און סאַבסטיטוטינג בלויז די קאַמבאַניישאַנז, ער קענען כאַק כּמעט האַלב פון די אַקאַונץ אויף קיין פּלאַץ.
אין דעם פאַל פון אַ טאַרגעטעד באַפאַלן אויף אַ ספּעציפיש חשבון, אין דערצו צו די באַזע, פּשוט ברוט קראַפט קענען זיין געניצט, און מאָדערן סאָפטווער אַלאַוז איר צו טאָן דאָס לעפיערעך געשווינד: אַ פּאַראָל פון 8 אותיות קענען זיין קראַקט אין אַ ענין פון טעג (און אויב די אותיות זענען אַ דאַטע אָדער אַ קאָמבינאַציע פון און דאַטעס, וואָס איז נישט ומגעוויינטלעך - אין מינוט).
ביטע טאָן: אויב איר נוצן די זעלבע פּאַראָל פֿאַר פאַרשידענע זייטלעך און באַדינונגען, אַזוי ווי דיין פּאַראָל און די קאָראַספּאַנדינג E- פּאָסט אַדרעס זענען קאַמפּראַמייזד אויף קיין פון זיי, מיט די הילף פון ספּעציעל סאָפטווער, די זעלביקער קאָמבינאַציע פון לאָגין און פּאַראָל וועט זיין טעסטעד אויף הונדערטער אנדערע זייטלעך. פֿאַר בייַשפּיל, נאָך די ליקאַדזש פון עטלעכע מיליאָן Gmail און יאַנדעקס פּאַסווערדז אין די סוף פון לעצטע יאָר, אַ כוואַליע פון כאַקינג אַקאַונץ ערידזשאַנייטאַד פון אָריגין, סטים, Battle.net און Uplay (איך טראַכטן פילע אנדערע, נאָר פֿאַר די ספּעסאַפייד גאַמינג באַדינונגען איך איז געווען ריפּיטידלי קאָנטאַקטעד).
האַקקינג זייטלעך און געטינג פּאַראָל כאַשאַז
רובֿ ערנסט זייטלעך טאָן ניט קראָם דיין פּאַראָל אין די פאָרעם וואָס איר וויסן עס. בלויז אַ האַש איז סטאָרד אין די דאַטאַבאַסע - דער רעזולטאַט פון אַפּלייינג אַ יריווערסאַבאַל פונקציאָנירן (אַז איז, איר קענען נישט באַקומען דיין פּאַראָל ווידער פון דעם רעזולטאַט) צו די פּאַראָל. ווען איר קליימז אויף דעם פּלאַץ, די האַש איז ריפּלייסט און אויב עס גלייַכן וואָס איז סטאָרד אין די דאַטאַבאַסע, עס מיטל אַז איר זענט אין די פּאַראָל ריכטיק.
ווי עס איז גרינג צו טרעפן, עס איז די האַשעס וואָס זענען סטאָרד, און נישט די פּאַראָלס זיך, נאָר פֿאַר זיכערהייַט סיבות - אַזוי אַז ווען אַ העקער קומט אין די דאַטאַבאַסע און באקומען עס, ער קען נישט נוצן די אינפֿאָרמאַציע און לערנען די פּאַסווערדז.
אָבער, גאַנץ אָפט, ער קען טאָן דאָס:
- צו רעכענען די האַש, זיכער אַלגערידאַמז זענען געניצט, רובֿ פון וואָס זענען באקאנט און פּראָסט (אַז איז, ווער עס יז קענען נוצן זיי).
- ווייל דאַטאַבייסיז מיט מיליאַנז פון פּאַסווערדז (פון אַ ברוט קראַפט פּונקט), אַ אַטאַקער אויך האט צוטריט צו די כאַשאַז פון די פּאַסווערדז קאַלקיאַלייטיד ניצן אַלע בנימצא אַלגערידאַמז.
- דורך קאַמפּערינג אינפֿאָרמאַציע פון די ריזאַלטינג דייטאַבייס און פּאַראָל כאַשיז פון דיין אייגן דייטאַבייס, איר קענען באַשטימען וואָס אַלגערידאַם איז געניצט און געפינען אויס די פאַקטיש פּאַסווערדז פֿאַר אַ טייל פון די רעקאָרדס אין די דאַטאַבאַסע דורך אַ פּשוט פאַרגלייַך (פֿאַר אַלע ניט-יינציק). און ברוט-קראַפט מכשירים וועט העלפן איר לערנען די מנוחה פון די יינציק אָבער קורץ פּאַסווערדז.
ווי איר קענען זען, די פֿאַרקויף קליימז פון פארשיידענע באַדינונגען אַז זיי טאָן ניט קראָם דיין פּאַסווערדז אויף דיין פּלאַץ טאָן ניט דאַווקע באַשיצן איר פון זייַן ליקאַדזש.
ספּיוואַרע (ספּיוואַרע)
ספּיוואַרע אָדער ספּיוואַרע - אַ ברייט קייט פון מאַלישאַס ווייכווארג וואָס איז קאָוווערטלי אינסטאַלירן אויף אַ קאָמפּיוטער (ספּיוואַרע קענען אויך זיין אַרייַנגערעכנט ווי טייל פון עטלעכע נייטיק ווייכווארג) און קאַלעקץ באַניצער אינפֿאָרמאַציע.
צווישן אנדערע, עטלעכע טייפּס פון ספּיוואַרע, פֿאַר בייַשפּיל, קיילאָגגערס (מגילה אַז שפּור די שליסלען איר דריקן) אָדער פאַרבאָרגן פאַרקער אַנאַליזערס, קענען ווערן געניצט (און זענען געניצט) צו באַקומען באַניצער פּאַסווערדז.
סאציאל אינזשעניריע און פּאַראָל אָפּזוך פֿראגן
ווי וויקיפעדיע דערציילט אונדז, געזעלשאַפטלעך אינזשעניריע איז אַ אופֿן פון צוטריט צו אינפֿאָרמאַציע באזירט אויף די קעראַקטעריסטיקס פון אַ פּסיטשאָלאָגי מענטש (דאָס כולל פישינג דערמאנט אויבן). אויף דעם אינטערנעט, איר קענען געפֿינען פילע ביישפילן פון ניצן געזעלשאַפטלעך אינזשעניריע (איך רעקאָמענדירן זוך און לייענען - דאָס איז טשיקאַווע), עטלעכע פון וואָס זענען סטרייקינג אין זייער עלאַגאַנס. אין אַלגעמיין, דער אופֿן באָילס אַראָפּ צו די פאַקט אַז כּמעט קיין אינפֿאָרמאַציע נייטיק צו צוטרוי קאַנפאַדענטשאַל אינפֿאָרמאַציע קענען זיין באקומען ניצן מענטשלעך וויקנאַסאַז.
און איך וועל געבן בלויז אַ פּשוט און ניט דער הויפּט עלעגאַנט הויזגעזינד בייַשפּיל שייַכות צו פּאַסווערדז. ווי איר וויסן, אויף פילע זייטלעך פֿאַר שפּריכוואָרט אָפּזוך, עס איז גענוג צו אַרייַן די ענטפער צו די קאָנטראָל קשיא: וואָס שולע האָט איר באַדינער, די מיידל 'ס מיידל נאָמען, ליבלינג' ס נאָמען ... אפילו אויב איר האָט נישט שוין ארויס דעם אינפֿאָרמאַציע אין עפענען צוטריט אויף געזעלשאַפטלעך נעטוואָרקס, צי איר טראַכטן עס ס שווער צי איר נוצן די זעלבע געזעלשאַפטלעך נעטוואָרקס, זייַענדיק באַקאַנט מיט איר, אָדער ספּעשאַלי באַקאַנט, אַנאַבטרוסיוולי באַקומען אַזאַ אינפֿאָרמאַציע?
ווי צו וויסן אַז דיין פּאַראָל איז געווען כאַקט
געזונט און, אין די סוף פון די אַרטיקל, עטלעכע באַדינונגען וואָס לאָזן איר צו געפינען אויס אויב דיין פּאַראָל איז קראַקט, דורך טשעק דיין email אַדרעס אָדער נאמען מיט פּאַסווערדז דאַטאַבייסיז וואָס זענען אַקסעסט דורך כאַקערז. (איך בין אַ ביסל סאַפּרייזד אַז צווישן זיי עס איז אויך אַ באַטייַטיק פּראָצענט פון דאַטאַבייסיז פון רוסיש-שפּראַך באַדינונגען).
- //haveibeenpwned.com/
- //breachalarm.com/
- //pwnedlist.com/query
געפונען דיין חשבון אין דער רשימה פון באקאנט כאַקערז? עס מאכט זינען צו טוישן די פּאַראָל, אָבער אין מער דעטאַל וועגן זיכער פּראַקטאַסאַז אין באַציונג צו חשבון פּאַסווערדז, איך וועל שרייַבן אין די קומענדיק טעג.