Şifrələrin nə olursa olsun - poçtdan, onlayn bankçılıqdan, Wi-Fi-dan və ya VKontakte və Odnoklassniki hesablarından gizlətmək son zamanlarda tez-tez baş verən hadisəyə çevrilib. Bu, istifadəçilərin parol yaratmaq, saxlamaq və istifadə edərkən kifayət qədər sadə təhlükəsizlik qaydalarına əməl etməmələri ilə əlaqədardır. Ancaq bu, parolların səhv əllərə düşməsinin yeganə səbəbi deyil.
Bu yazıda istifadəçi şifrələrini sındırmaq üçün hansı üsullardan istifadə oluna biləcəyi və bu cür hücumlara qarşı həssas olduğunuz barədə ətraflı məlumat verilir. Sonda, parolunuzun artıq pozulduğunu bildirəcək onlayn xidmətlərin siyahısını tapa bilərsiniz. Mövzuyla əlaqədar ikinci bir məqalə də (artıq var) olacaq, ancaq oxu hazırkı araşdırmadan başlamağı və yalnız bundan sonra növbəti hissəyə keçməyi məsləhət görürəm.
Yeniləmə: aşağıdakı material hazırdır - Hesablarınızın və onlar üçün şifrələrin təhlükəsizliyini necə artırmağı izah edən parol təhlükəsizliyi haqqında.
Şifrələri sındırmaq üçün hansı metodlardan istifadə olunur?
Şifrələri sındırmaq üçün çox fərqli olmayan müxtəlif üsullardan istifadə olunur. Demək olar ki, hamısı məlumdur və məxfi məlumatların demək olar ki, hər hansı bir kompromisinə fərdi metodlardan və ya onların birləşmələrindən istifadə etməklə nail olur.
Fişinq
Məşhur e-poçt xidmətləri və sosial şəbəkələrin şifrələrinin bu günə qədər “yayılması” nın ən yaygın yolu, fişinqdir və bu üsul istifadəçilərin çox böyük bir hissəsi üçün işləyir.
Metodun mahiyyəti, zahirən tanış bir sayta (məsələn, eyni Gmail, VK və ya Odnoklassniki, məsələn) daxil olmağınızdır və bu və ya digər səbəbdən istifadəçi adınızı və şifrənizi daxil etməyiniz xahiş olunur (bir şey daxil etmək, təsdiqləmək, onu dəyişdirmək və s.). Şifrəni daxil etdikdən dərhal sonra təcavüzkar özünü tapır.
Bu necə olur: hesab xidmətinə girərək, hesabınıza daxil olmağınız barədə məlumat verən və bir keçid verildiyi iddia edilən bir məktub ala bilərsiniz, o sayta girdiyiniz zaman orijinalını tam olaraq çıxaran veb sayt açılır. İstənməyən bir proqramı təsadüfən bir kompüterə quraşdırdıqdan sonra sistem parametrləri dəyişdirilir ki, brauzerinizin adres çubuğunda ehtiyac duyduğunuz saytın adresini daxil edərkən, eyni şəkildə hazırlanmış bir phishing saytına daxil olursunuz.
Artıq qeyd etdiyim kimi, bir çox istifadəçi buna rast gəlir və ümumiyyətlə bu diqqətsizlikdən qaynaqlanır:
- Bir formada və ya başqa bir saytı hesabınıza daxil olmağa dəvət edən bir məktub aldıqda, həqiqətən bu saytdakı poçt ünvanından göndərilib göndərilməməsinə diqqət yetirin: oxşar ünvanlar ümumiyyətlə istifadə olunur. Məsələn, [email protected] əvəzinə [email protected] və ya oxşar bir şey ola bilər. Ancaq düzgün ünvan həmişə hər şeyin qaydasında olduğuna zəmanət vermir.
- Şifrənizi bir yerə girməzdən əvvəl brauzerinizin ünvan çubuğuna diqqətlə baxın. Əvvəlcə getmək istədiyiniz sayt orada göstərilməlidir. Bununla birlikdə, kompüterdə zərərli proqram varsa, bu kifayət deyil. Bu saytın olduğunuzu təsdiqlədiyinizi tıklayaraq http-in əvəzinə https protokolu və ünvan çubuğundakı "kilid" şəklini istifadə edərək müəyyən edilə bilən bağlantı şifrələməsinin mövcudluğuna diqqət yetirməlisiniz. Bir haqq-hesab giriş şifrələməsini tələb edən demək olar ki, bütün ciddi mənbələr.
Yeri gəlmişkən, qeyd edim ki, fişinq hücumları və şifrəni sındırma üsulları (aşağıda təsvir edilmişdir) bu gün bir insanın əziyyətli və cəsarətli işini nəzərdə tutmur (yəni bir milyon parolun əllə daxil olmasına ehtiyac yoxdur) - bütün bunlar xüsusi proqramlar tərəfindən sürətlə və böyük həcmdə edilir , sonra müvəffəqiyyəti təcavüz edənə bildirin. Üstəlik, bu proqramlar hakerin kompüterində işləməyə bilər, ancaq gizli olaraq sizin və minlərlə istifadəçinizin üzərində ola bilər ki, bu da zaman-zaman hackların effektivliyini artırır.
Şifrə uyğunluğu
Şifrə tapmadan istifadə edilən hücumlar (Brute Force, rus dilində qəddar qüvvə) də olduqca yaygındır. Bir neçə il əvvəl, bu hücumların əksəriyyəti həqiqətən müəyyən bir uzunluqdakı şifrələr yaratmaq üçün müəyyən bir simvol dəstinin bütün birləşmələrini sadalayırdısa, bu anda hər şey bir qədər sadədir (hakerlər üçün).
Ötən illər ərzində sızan milyonlarla parolun təhlili göstərir ki, onların yarısından az hissəsi unikaldır, əsasən təcrübəsiz saytların faizi isə “təcrübəsizdir”.
Bu nə deməkdir? Ümumiyyətlə, haker sayılmaz milyonlarla birləşmə ilə çeşidlənməyə ehtiyac duymur: 10-15 milyon şifrə bazasına sahibdir (təxmini sayı, lakin həqiqətə yaxındır) və yalnız bu birləşmələri əvəz edərək istənilən saytdakı hesabların yarısını qıra bilər.
Müəyyən bir hesaba hədəf hücumu halında, verilənlər bazasına əlavə olaraq sadə kobud güc tətbiq oluna bilər və müasir proqram bunu nisbətən tez etməyə imkan verir: 8 simvoldan ibarət bir parol bir neçə gün ərzində yarana bilər (və bu simvol bir tarix və ya ad birləşməsini təmsil edirsə) və nadir olmayan tarixlər - dəqiqələrlə).
Xahiş edirəm unutmayın: fərqli saytlar və xidmətlər üçün eyni şifrəni istifadə edirsinizsə, parolunuz və müvafiq e-poçt adresiniz hər hansı birində güzəştə getdikdən sonra xüsusi proqram köməyi ilə yüzlərlə digər saytlarda eyni giriş və şifrə kombinasiyası sınaqdan keçiriləcəkdir. Məsələn, keçən ilin sonunda bir neçə milyon Gmail və Yandex şifrələrinin sızmasından dərhal sonra Origin, Buxar, Battle.net və Uplay hesablarının haker hücumu dalğası süpürüldü (düşünürəm ki, və bir çoxları, yalnız göstərilən oyun xidmətləri ilə əlaqə saxladılar).
Saytların hack edilməsi və şifrələrin yuyulması
Ən ciddi saytlar parolunuzu özünüz bildiyiniz formada saxlamır. Verilənlər bazasında yalnız bir hash saxlanılır - geri dönməz bir funksiyanın tətbiqi nəticəsində (yəni bu nəticədən parolunuzu yenidən ala bilməzsiniz). Sayta girdiyiniz zaman, hash yenidən hesablanır və verilənlər bazasında saxlanılanlara uyğun gəlirsə, onda şifrəni düzgün daxil etdiniz.
Güman etdiyiniz kimi, şifrələrin deyil, yalnız təhlükəsizlik səbəblərinə görə saxlanılan çuxurlardır - potensial hack və təcavüzkar verilənlər bazasını əldə edərkən məlumatdan istifadə edə və şifrələri tapa bilmədi.
Lakin, çox vaxt, bunu edə bilər:
- Haş hesablamaq üçün, müəyyən bir alqoritm istifadə olunur, əksər hissəsi - tanınmış və ümumi (yəni hamı onlardan istifadə edə bilər).
- Milyonlarla şifrə ilə məlumat bazalarına sahib olan (qəddar qüvvə nöqtəsindən) təcavüzkar, bütün mövcud alqoritmlərdən istifadə edərək hesablanmış bu şifrələrin yuvalarına girmə imkanı əldə edir.
- Yaranan məlumat bazasından və şifrənizin içindəki məlumatlardan öz verilənlər bazanızdakı məlumatları müqayisə edərək, hansı alqoritmin istifadə olunduğunu müəyyənləşdirə və verilənlər bazasındakı bəzi girişlər üçün həqiqi parolları sadə müqayisə (bütün qeyri-adi) üçün tapa bilərsiniz. Və qəddar güc alətləri unikal, lakin qısa parolların qalan hissəsini tapmağa kömək edəcəkdir.
Gördüyünüz kimi, şifrələrinizi veb saytında saxlamadıqları müxtəlif xidmətlərin marketinq açıqlamaları sizi mütləq sızmasından qorumur.
Spyware (SpyWare)
SpyWare və ya casus proqram - kompüterinizə gizli şəkildə quraşdıran zərərli proqram (həmçinin casus proqram funksiyaları bəzi zəruri proqram təminatına daxil edilə bilər) və istifadəçi haqqında məlumat toplayır.
Digər şeylər arasında, istifadəçi şifrələrini əldə etmək üçün SpyWare-nin müəyyən növləri, məsələn, keyloggerlər (düymələrinizi izləyən proqramlar) və ya gizli trafik analizatorları istifadə edilə bilər (istifadə olunur).
Sosial mühəndislik və parolun bərpası problemləri
Vikipediyada bizə deyildiyi kimi, sosial mühəndislik insan psixologiyasının xüsusiyyətlərinə əsaslanan məlumat əldə etmək üsuludur (yuxarıda göstərilən phishing daxildir). İnternetdə sosial mühəndisliyin istifadəsinə dair bir çox nümunə tapa bilərsiniz (axtarmağı və oxumağı məsləhət görürəm - bu maraqlıdır), bəziləri zərifliyi ilə diqqət çəkir. Ümumiyyətlə, metod məxfi məlumatlara girmək üçün lazım olan hər hansı bir məlumatın insan zəifliklərindən istifadə edərək əldə edilə biləcəyi ilə nəticələnir.
Şifrələrlə bağlı yalnız sadə və xüsusilə zərif bir ev nümunəsi verəcəyəm. Bildiyiniz kimi, bir çox saytlarda şifrənizi bərpa etmək üçün təhlükəsizlik sualına cavabı daxil etmək kifayətdir: hansı məktəbə getmisiniz, ananın qız adı, ev heyvanının ləqəbi ... Bu məlumatları ictimai şəbəkələrdə əvvəllər ictimaiyyətə göndərməmisinizsə belə düşünmək çətindir. eyni sosial şəbəkələrdən istifadə edərək, sizinlə tanış olmaq və ya xüsusi görüşmək, bu cür məlumatları maneəsiz olaraq alırsınızmı?
Şifrənizin sındırıldığını necə tapmaq olar
Yaxşı, məqalənin sonunda, şifrənizin elektron poçt adresinizi və ya istifadəçi adınızı hakerlər tərəfindən daxil edilmiş parolların verilənlər bazası ilə yoxlamaqla sındırıldığını bildirən bir neçə xidmət var. (Məni bir az təəccübləndirir ki, bunların arasında rus dilli xidmətlərdən verilənlər bazasının çox faizi var).
- //haveibeenpwned.com/
- //breeklerm.com/
- //pwnedlist.com/query
Hesabınızı tanınmış hakerlər siyahısında tapdınız? Şifrəni dəyişdirməyin mənası var, amma hesab şifrələri ilə əlaqəli təhlükəsiz tətbiqlər barədə daha ətraflı məlumatı yaxın günlərdə yazacağam.
