Нууц үгээ хакердах, мэйл, онлайн банк, Wi-Fi эсвэл Vkontakte, Odnoklassniki дансуудаас ирсэн ямар ч нууц үгс нь саяхан тохиолдсон үйл явдал болсон. Энэ нь хэрэглэгчид нууц үг үүсгэх, хадгалах, ашиглахад маш энгийн аюулгүй байдлын дүрмийг баримталдаггүйтэй холбоотой юм. Гэхдээ энэ нь буруу гарт орж ирж буй нууц үгний шалтгаан биш юм.
Энэ нийтлэлд хэрэглэгчийн нууц үгийг устгахад ямар аргуудыг ашиглаж болох, яагаад ийм халдлагад эмзэг өртөмтгий байдаг талаар дэлгэрэнгүй мэдээллээр хангана. Эцэст нь та нууц үгээ орхисон эсэхээ мэдэх боломжийг танд олгоно. Энэ сэдвээр хоёрдахь өгүүлэл байх болно, гэхдээ би одоогийн шүүмжээс уншиж өгөхийг зөвлөж байна, дараа нь дараагийнх руу явна.
Шинэчлэгдсэн: дараахь материал бэлэн байна - Нууц үг, аюулгүй байдлын талаархи таны нууц үг, нууц үгүүдийг хэрхэн аюулгүй болгох талаар өгүүлэх болно.
Нууц үгийг эвдэх ямар аргыг ашиглаж байна
Халдлагыг нууцлахын тулд өргөн хүрээний янз бүрийн арга хэрэглэдэггүй. Тэдний бараг бүх зүйл нь мэдэгдэж, нууцлаг мэдээллийн бараг ямар нэгэн эвлэрэлийг бие даасан аргууд эсвэл тэдгээрийн хослолыг ашиглан хийдэг.
Phishing
Хамгийн алдартай имэйл үйлчилгээ болон нийгмийн сүлжээнүүдийн "нууц үг" -ийг түгээмэл хэрэглэдэг хамгийн түгээмэл арга нь фишинг үүсгэдэг бөгөөд энэ арга нь маш олон хувь хэрэглэгчдийн хувьд ажилладаг.
Аргасын мөн чанар нь таныг танил сайттай (өөрөөр хэлбэл Gmail, VC эсвэл Odnoklassniki гэх мэт) дээр таньдаг бөгөөд нэг шалтгааны улмаас та хэрэглэгчийн нэр, нууц үгээ оруулахыг хүссэн (нэвтрэн орох, ямар нэг зүйл батлах, түүний өөрчлөлт, гэх мэт). Нууц үгээ оруулсны дараа тэр нь халдагчдаас гардаг.
Яаж ийм зүйл тохиолддог вэ? Та тусламжийн үйлчилгээнээсээ авсан захидал хүлээн авах боломжтой бөгөөд энэ нь таны акаунт руу нэвтрэх шаардлагатай, холбоос өгөгдсөн, энэ сайт руу шилжих үед, яг хуулбарыг нь хуулж өгдөг. Компьютер дээр хүсээгүй програм хангамжийг санамсаргүйгээр суулгасны дараа системийн тохиргоо нь сайтын хаягийг оруулаад хөтчийн хаягийн мөрөнд ороход яг үнэндээ баригдсан фишинг сайт руу орох болно.
Би үүнийг аль хэдийн тэмдэглэсэний хувьд маш олон хэрэглэгчид үүнийг унагадаг бөгөөд ихэвчлэн хайхрамжгүй байдлаас болж:
- Та нэг маягт дээр эсвэл өөр нэг сайт дээрээс өөрийн акаунтад нэвтэрч орохыг санал болгосноор энэ сайтын имэйл хаягаас илгээгдсэн эсэхээ анхаараарай: ижил төстэй хаягуудыг ихэвчлэн ашигладаг. Жишээ нь, [email protected] -н оронд дэмжлэг@vk.org эсвэл үүнтэй төстэй байж болох юм. Гэсэн хэдий ч, зөв хаяг нь бүх зүйл зохих ёсоор батлагддаггүй.
- Та хаанаас ч нууц үг оруулахаасаа өмнө хөтөчийнхөө хаягийн мөрийг анхааралтай хайх хэрэгтэй. Юуны өмнө, та хүссэн газраа яг зааж өгөх ёстой. Гэсэн хэдий ч, компьютер дээр үзүүлж чадахгүй програмын хувьд энэ нь хангалттай биш юм. Та холболтын шифрлэлтэнд анхаарлаа хандуулах хэрэгтэй бөгөөд энэ нь хаягийн мөрөнд http-ийн оронд http-ийн протокол ашиглан https протокол ашиглан тодорхойлогдох болно. Та энэ сайт дээр байгаа эсэхийг шалгаарай. Таны акаунт руу нэвтрэхийг шаарддаг бараг бүх ноцтой нөөцүүд нь шифрлэлтийг ашигладаг.
Дашрамд хэлэхэд, дор хаяж фишинг довтолж, нууц үг хайх аргуудыг нэг хүнээс хүндэтгэх ажил хийдэггүй нь гарцаагүй (өөрөөр хэлбэл сая нууц үгтэй гараар оруулах шаардлагагүй) - энэ бүгдийг тусгай програмуудаар хурдан, их хэмжээгээр хийдэг гэдгийг энд тэмдэглэх болно. , дараа нь халдагчийн явцын талаар тайлагнана. Үүнээс гадна, эдгээр програмууд нь хакерын компьютер дээр биш, харин таны болон бусад мянга мянган хэрэглэгчийн нууцаар ажиллах болно, энэ нь хакердах үр дүнг ихээхэн нэмэгдүүлдэг.
Нууц үг сонгох
Нууц үгээ сэргээх (Brute Force, Орос дахь харгислалын хүч) ашиглан довтолж байгаа нь бас түгээмэл байдаг. Хэдэн жилийн өмнө эдгээр халдлагын дийлэнх нь тодорхой урттай нууц үг зохиохын тулд тодорхой тооны тэмдэгтүүдийг хослуулан хайж байсан бөгөөд бүх зүйл нь арай энгийн (хакеруудын хувьд) юм.
Сүүлийн жилүүдэд оргон сая сая нууц үгүүдийн дүн шинжилгээнээс харахад тэдний талаас илүү хувь нь өвөрмөц шинжтэй байдаг бол ихэвчлэн туршлагагүй хэрэглэгчид амьдардаг эдгээр сайтууд дээр бага хувь эзэлж байна.
Энэ юу гэсэн үг вэ? Ерөнхийдөө хакерууд сая сая тооны нийлбэрийг тооцох шаардлагагүй: 10-15 сая нууц үг (ойролцоогоор тоогоор нь гэхдээ үнэндээ ойрхон) байх бөгөөд зөвхөн эдгээр хослолуудыг орлуулж болох юм бол тэрээр аль ч сайт дээрх дансны бараг тал хувийг орлох болно.
Онцгой акаунтанд чиглэсэн халдлагын үед үндсэн сууриас гадна энгийн балмад хүч хэрэглэж болох бөгөөд орчин үеийн програм хангамжийг та үүнийг хурдан хийх боломжийг олгодог: 8 тэмдэгт бүхий нууц үгийг хэдэн хоногийн дотор эвдэж болно (мөн эдгээр тэмдэгтүүд нь болзоо эсвэл болон огноо нь ховор тохиолддог.
Анхаарна уу: Хэрэв та өөр өөр сайт, үйлчилгээнд ижил нууц үг ашиглавал, таны нууц үг болон холбогдох имэйл хаяг нь аль нэгэнд нь эвдрэл гарсны дараа, тусгай програм хангамжийн тусламжтайгаар нэвтрэх болон нууц үгээ хослуулахтай адил олон зуун сайтуудад шалгагдана. Жишээлбэл, өнгөрсөн жилийн эцэс гэхэд сая сая Gmail болон Yandex нууц үгээ алдсаны дараа удалгүй гарал үүсэл, Steam, Battle.net болон Uplay-аас гаралтай хакердсан дансуудын давалгаа (би бусад олон тоглогчдод зөвхөн тодорхой тооны тоглоомын үйлчилгээнд хандаж байсан) -аас гаралтай хакердсан дансны давалгаа.
Хакердах сайтууд болон нууц үгийн тэмдгүүдийг авах
Хамгийн ноцтой сайтууд нь таны мэдэж буй маягт дээр нууц үгээ хадгалдаггүй. Зөвхөн өгөгдлийн санд хадгалдаг - буцалтгүй функцийг ашиглахын үр дүн (өөрөөр хэлбэл, энэ үр дүнгээс нууц үгээ дахин олж авах боломжгүй) нууц үг рүү хадгалагдана. Та сайтад нэвтрэн орохдоо хэшийг дахин тооцоолж, хэрэв мэдээллийн баазад тохирсон бол таарч байвал та нууц үгээ оруулна гэсэн үг юм.
Тооцоолоход амархан боловч аюулгүй байдлын үүднээс нууц үгс биш, нууц үгийг хадгалж үлддэг бөгөөд энэ нь мэдээллийн хорхойтоонд нэвтэрч, үүнийг хүлээж авсны дараа мэдээллийг нууцлаж, нууц үгийг олж чаддаггүй.
Гэсэн хэдий ч, тэр бүр үүнийг хийж чадна:
- Хэшийг тооцоолохын тулд зарим алгоритмууд ашиглагддаг бөгөөд тэдгээрийн дийлэнх нь мэдэгдэж байгаа бөгөөд нийтлэг байдаг (өөрөөр хэлбэл хэн ч үүнийг ашиглаж болно).
- Олон сая нууц үгтэй өгөгдлийн сантай (хүчирхийллийн хүчдэлийн бүлгийнхнээс) халдагч бүх бэлэн алгоритмуудыг ашиглан тооцоолсон эдгээр нууц үгийн хаалтанд хандах боломжтой.
- Үүсгэсэн өгөгдлийн сан болон нууц үгсээс өөрийн өгөгдлийн сангаас мэдээллийг харьцуулах замаар алгоритмийг аль ашиглалтад ашиглаж байгааг нь харьцуулж, энгийн харьцуулалтаар (бүх өвөрмөц онцлог биш) мэдээллийн баазаас бүрдэх нууц үгийн нууц үгийг олох боломжтой. Мөн хүчирхийллийн хэрэгсэл нь өвөрмөц, богино нууц үг үлдсэнийг сурахад тусална.
Таны харж байгаагаар, таны нууц үгийг хадгалдаггүй төрөл бүрийн үйлчилгээний маркетингийн зарга нь таныг сайтар хадгалах шаардлагагүй болно.
Spyware (SpyWare)
SpyWare эсвэл spyware - компьютер дээр нууцаар суулгасан хор хөнөөлтэй програм хангамж нь олон янз байдаг (spyware нь зарим програмын нэг хэсэг болж өгдөг) болон хэрэглэгчийн мэдээллийг цуглуулдаг.
Бусад зүйлээс гадна, зарим төрлийн SpyWare, жишээ нь, keyloggers (таны товчлуурыг дарж хянадаг програмууд) эсвэл далд урсгал анализаторыг ашиглаж болох бөгөөд (хэрэглэгддэг) хэрэглэгчийн нууц үгийг авахын тулд ашиглаж болно.
Нийгмийн инженерчлэл ба нууц үг сэргээх асуултууд
Википедиагийн хэлснээр, нийгмийн инженерчлэл нь хүний сэтгэл судлалын шинж чанарууд дээр үндэслэсэн мэдээлэлд нэвтрэх арга юм (үүнд дээр дурдсан фишинг агуулдаг). Интернет дээр та нийгмийн инженерчлэлийг ашиглах олон жишээг олж авч болно (би хайж, уншихыг зөвлөж байна - энэ нь сонирхолтой), зарим нь тэдний дэгжинд гайхалтай байдаг. Ерөнхийдөө арга нь нууц мэдээллийг олж авахад шаардагдах бараг бүх мэдээллийг хүний сул талыг ашиглан олж авах боломжтой болдог.
Мөн нууц үгэнд хамааралтай энгийн, нэн ялангуяа гоёмсог гэр бүлийн жишээг өгөх болно. Нууц үгээ сэргээх олон сайт дээр хяналтын асуултанд хариулах нь хангалттай юм: аль сургуульд сурч байсан, ээжийн нэр, гэрийн тэжээмэл нэр гэх мэт. Та энэ мэдээллийг нийтийн сүлжээнд нээлттэй хандалтанд оруулаагүй байсан ч гэсэн энэ нь хэцүү гэж бодож байна уу? ижил нийгмийн сүлжээг ашиглаж байгаа эсэх, таныг таних, эсвэл тусгайлан таниулах, тийм мэдээллийг олж авахгүй байх уу?
Таны нууц үг хакердчихсан гэдгийг хэрхэн мэдэх вэ?
За, өгүүлэлийн төгсгөлд, таны нууц үг эвдэрсэн эсэхийг мэдэх боломжийг олгодог хэд хэдэн үйлчилгээнүүд, хакеруудаас хандсан хандалтын нууц үг бүхий мэдээллийн баазынхаа и-мэйл хаягаа эсвэл хэрэглэгчийн нэрээр шалгах боломжтой. (ОХУ-ын хэлний үйлчилгээний мэдээллийн санг маш бага хувь эзэлж байгаа нь арай цөөхөн байна).
- //haveibeenpwned.com/
- //breachalarm.com/
- //pwnedlist.com/query
Мэдэгдэж буй хакеруудын жагсаалтад таны дансыг олсон уу? Нууц үгийг өөрчлөх нь утга учиртай болох боловч дансны нууц үгтэй холбоотой аюулгүй ажиллагааны талаар илүү дэлгэрэнгүйг би дараагийн өдрүүдэд бичих болно.
