Kubadilisha nywila, haijalishi ni manenosiri gani - kutoka kwa barua, benki mkondoni, Wi-Fi au kutoka kwa akaunti za VKontakte na Odnoklassniki, hivi karibuni imekuwa tukio la kawaida. Hii ni kwa sababu ya ukweli kwamba watumiaji hawafuati sheria rahisi za usalama wakati wa kuunda, kuhifadhi na kutumia nywila. Lakini hii sio sababu ya nywila pekee ambayo inaweza kuingia katika mikono mibaya.
Kifungi hiki kinatoa maelezo ya kina juu ya njia gani zinaweza kutumiwa kwa nywila za watumiaji na kwa nini una hatari ya kushambuliwa. Mwishowe, utapata orodha ya huduma za mkondoni ambazo zitakujulisha ikiwa nywila yako tayari imeshatapeliwa. Pia kutakuwa na (tayari kuna) nakala ya pili juu ya mada, lakini nilipendekeza kuanza kusoma na hakiki ya sasa, na kisha tu kuendelea na ijayo.
Sasisha: nyenzo zifuatazo ziko tayari - Kuhusu usalama wa nenosiri, ambayo inaelezea jinsi ya kuongeza usalama wa akaunti na nywila zao.
Je! Ni njia gani zinazotumika kuziba nywila?
Ili ufa nywila, anuwai nyingi za mbinu tofauti hutumiwa. Karibu wote wanajulikana na karibu maelewano yoyote ya habari ya siri hupatikana kupitia matumizi ya njia za kibinafsi au mchanganyiko wao.
Ulaghai
Njia ya kawaida ambayo nywila za huduma maarufu za barua pepe na mitandao ya kijamii "zinaondolewa" leo ni ulaghai, na njia hii inafanya kazi kwa asilimia kubwa sana ya watumiaji.
Kiini cha njia hiyo ni kwamba unafika kwenye wavuti inayoonekana kufahamika (ile ile ya Gmail, VK au Odnoklassniki, kwa mfano), na kwa sababu moja au nyingine unaulizwa kuingiza jina lako la mtumiaji na nenosiri (kuingia, thibitisha kitu, kuibadilisha, nk). Mara tu baada ya kuingia nywila, mshambuliaji hujikuta.
Jinsi hii inafanyika: unaweza kupokea barua, inayodaiwa kutoka kwa huduma ya usaidizi, ikikuarifu juu ya hitaji la kuingia kwenye akaunti yako na kupewa kiunga, unapoenda kwenye tovuti hiyo, tovuti ambayo nakala halisi ni ya kwanza imefunguliwa. Inawezekana kwamba baada ya kusanikisha kwa bahati mbaya programu kwenye kompyuta, mipangilio ya mfumo inabadilishwa ili unapoingia anwani ya tovuti unayohitaji kwenye upau wa anwani ya kivinjari, kwa kweli unafika kwenye wavuti ya ulaghai iliyoundwa kwa njia ile ile.
Kama nilivyoona tayari, watumiaji wengi huja kwenye hii, na kawaida hii ni kwa sababu ya kutojali:
- Unapopokea barua ambayo kwa namna moja au nyingine inakualika kuingia kwenye akaunti yako kwenye wavuti fulani, sikiliza ikiwa ni kweli imetumwa kutoka kwa anwani ya barua kwenye wavuti hii: anwani zinazofanana kawaida hutumiwa. Kwa mfano, badala ya [email protected], kunaweza kuwa na [email protected] au kitu sawa. Walakini, anwani sahihi sio wakati wote inahakikishia kila kitu kiko katika mpangilio.
- Kabla ya kuingiza nenosiri lako mahali pengine, angalia kwa uangalifu bar ya anwani ya kivinjari chako. Kwanza kabisa, wavuti unayotaka kwenda lazima imeonyeshwa hapo. Walakini, katika kesi ya programu hasidi kwenye kompyuta, hii haitoshi. Unapaswa pia kuzingatia uwepo wa usimbuaji wa unganisho, ambao unaweza kuamua kwa kutumia itifaki ya https badala ya http na picha ya "funga" kwenye bar ya anwani, kwa kubonyeza ambayo unaweza kuthibitisha kuwa uko kwenye tovuti hii. Karibu rasilimali zote kubwa zinaohitaji usimbuaji wa akaunti ya akaunti.
Kwa njia, nitaona hapa kwamba shambulio la ulaghai na njia za kukamata nywila (ilivyoelezwa hapo chini) haimaanishi kazi ya uchungu na ya kumbukumbu ya mtu mmoja leo (ambayo ni kwamba, haitaji kuingiza nywila milioni kwa mikono) - yote haya hufanywa na programu maalum, haraka na kwa kiasi kikubwa. , na kisha uripoti mafanikio kwa mshambuliaji. Kwa kuongezea, programu hizi zinaweza kufanya kazi kwenye kompyuta ya mpigaji, lakini kwa siri kwako na kwa maelfu ya watumiaji wengine, ambayo wakati mwingine huongeza ufanisi wa utapeli.
Kulinganisha nenosiri
Mashambulio kwa kutumia utabiri wa nywila (Nguvu ya Brute, nguvu ya brute katika Urusi) pia ni kawaida. Ikiwa miaka michache iliyopita, shambulio hili lilikuwa linaangazia mchanganyiko wote wa wahusika fulani kutunga nywila za urefu fulani, basi kwa sasa kila kitu ni rahisi zaidi (kwa watapeli).
Mchanganuo wa mamilioni ya nywila zilizokodishwa kwa miaka iliyopita zinaonyesha kuwa chini ya nusu yao ni ya kipekee, wakati asilimia ya tovuti ambazo hazina uzoefu zaidi ni "zisizo na uzoefu".
Je! Hii inamaanisha nini? Katika hali ya kijumla, hashi haina haja ya kupanga kupitia mamilioni ya mchanganyiko usio na hesabu: kuwa na msingi wa nywila milioni 10 (nambari inayokadiriwa, lakini karibu na ukweli) na kuingiza mchanganyiko huu tu, anaweza kuvunja karibu nusu ya akaunti kwenye tovuti yoyote.
Katika kesi ya shambulio lililolengwa kwenye akaunti fulani, pamoja na hifadhidata, nguvu rahisi ya brute inaweza kutumika, na programu ya kisasa hukuruhusu kufanya hivi haraka: nywila ya herufi 8 inaweza kupasuka katika suala la siku (na ikiwa wahusika hawa wanawakilisha tarehe au mchanganyiko wa majina na tarehe, ambazo sio kawaida - kwa dakika).
Tafadhali kumbuka: ikiwa unatumia nenosiri moja kwa tovuti na huduma tofauti, basi mara tu nenosiri lako na anwani inayolingana ya barua pepe itakapoathirika kwa yeyote, kwa msaada wa programu maalum mchanganyiko huo wa kuingia na nywila utapimwa kwenye mamia ya tovuti zingine. Kwa mfano, mara tu baada ya kuvuja nywila za milioni kadhaa za Gmail na Yandex mwishoni mwa mwaka jana, wimbi la utekaji wa hesabu za Mwanzo, Steam, Battle.net na Uplay zilipika (nadhani, na wengine wengi, waliwasiliana nami tu kwenye huduma maalum za mchezo).
Kuvinjari tovuti na kupata nywila za nywila
Tovuti nzito zaidi hazihifadhi nywila yako kwa njia ambayo unaijua. Hashi tu ndio iliyohifadhiwa kwenye hifadhidata - matokeo ya kutumia kazi isiyoweza kubadilishwa (ambayo ni kusema, huwezi kupata nywila yako tena kutoka kwa matokeo haya) hadi nywila. Unapoingia kwenye wavuti, hashi hiyo inahesabiwa tena na, ikiwa inafanana na kile kilichohifadhiwa kwenye hifadhidata, basi uliingiza nenosiri kwa usahihi.
Kama unavyodhani, ni haraka zinazohifadhiwa, na sio nywila zenyewe, kwa sababu za kiusalama - ili kwa kukamata na mshambuliaji apate hifadhidata, hakuweza kutumia habari hiyo na kujua nywila.
Walakini, mara nyingi, anaweza kufanya hivi:
- Ili kuhesabu hash, algorithms fulani hutumiwa, kwa sehemu kubwa - inayojulikana na ya kawaida (ambayo ni, kila mtu anaweza kuitumia).
- Kuwa na hifadhidata na mamilioni ya nywila (kutoka kwa uhakika wa nguvu ya nguvu), mshambuliaji pia ana ufikiaji wa kasi ya nywila hizi zilizohesabiwa kwa kutumia algorithms zote zinazopatikana.
- Kwa kulinganisha habari kutoka kwa hifadhidata inayosababisha na haraka ya nywila kutoka kwa hifadhidata yako mwenyewe, unaweza kuamua ni algorithm gani inayotumiwa na ujue nywila halisi za viingizo kadhaa kwenye hifadhidata kwa kulinganisha rahisi (kwa yote yasiyo ya kipekee). Na zana za nguvu ya brute zitakusaidia kujua mabaki mengine ya kipekee, lakini nywila fupi.
Kama unavyoona, taarifa za uuzaji za huduma mbali mbali ambazo hazihifadhi nywila zako kwenye wavuti zao sio lazima zikulinde kutokana na uvujaji wake.
Spyware (SpyWare)
SpyWare au spyware - anuwai ya programu hasidi ambayo inasisitiza kwa siri kwenye kompyuta yako (pia kazi za spyware zinaweza kujumuishwa katika programu fulani muhimu) na kukusanya habari kuhusu mtumiaji.
Kati ya mambo mengine, aina fulani za SpyWare, kwa mfano, vifungashio (mipango ambayo inafuatilia vinjari vyako) au wachambuzi wa trafiki waliofichwa, inaweza kutumika (na hutumiwa) kupata nywila za watumiaji.
Uhandisi wa Jamii na Maswala ya Urejeshaji Nywila
Kama Wikipedia inavyotwambia, uhandisi wa kijamii ni njia ya kupata habari kwa kuzingatia sifa za saikolojia ya wanadamu (hii ni pamoja na hadaa iliyotajwa hapo juu). Kwenye mtandao unaweza kupata mifano mingi ya utumiaji wa uhandisi wa kijamii (ninapendekeza kutafuta na kusoma - hii inafurahisha), ambayo kadhaa ni ya kuvutia sana. Kwa jumla, njia hiyo inaongezeka kwa ukweli kwamba karibu habari yoyote inayohitajika kupata habari za siri inaweza kupatikana kwa udhaifu wa kibinadamu.
Nami nitatoa mfano rahisi tu na sio kifahari wa kaya unaohusiana na nywila. Kama unavyojua, kwenye tovuti nyingi, ili kupata nenosiri lako, ni vya kutosha kuingiza jibu la swali la usalama: ulikwenda shule gani, jina la mama, jina la utani la pet ... Hata kama haujatuma habari hii kwenye kikoa cha umma kwenye mitandao ya kijamii, ni ngumu kufikiria ikiwa unatumia mitandao ile ile ya kijamii, kuwa na mazoea na wewe, au mkutano maalum, hupokea habari hizo bila shida?
Jinsi ya kujua kuwa nywila yako imekatwa
Mwisho wa kifungu hicho, kuna huduma kadhaa ambazo hukujulisha ikiwa nywila yako imekataliwa kwa kuangalia anwani yako ya barua pepe au jina la mtumiaji na hifadhidata ya nywila ambayo imepatikana na watapeli. (Inanishangaza kidogo kuwa kati yao kuna asilimia nyingi ya hifadhidata kutoka kwa huduma za lugha ya Kirusi).
- //haveibeenpwned.com/
- //breachalarm.com/
- //pwnedlist.com/query
Je! Umepata akaunti yako kwenye orodha ya watapeli wanaojulikana? Inafahamika kubadili nywila, lakini kwa undani zaidi juu ya mazoea salama kuhusiana na nywila za akaunti nitaziandika katika siku zijazo.
