Os contrasinais de hacking, as contraseñas que teñan - de correo, banca en liña, conexión Wi-Fi ou de contas Vkontakte e Odnoklassniki, converteuse recentemente nun evento frecuente. Isto débese en gran parte ao feito de que os usuarios non se adhiren a regras de seguridade bastante sinxelas ao crear, almacenar e usar contrasinais. Pero este non é o único motivo polo que as contraseñas poden caer nas mans erradas.
Este artigo fornece información detallada sobre os métodos que se poden usar para crackear contrasinais de usuario e por que é vulnerable a tales ataques. E ao final atoparás unha lista de servizos en liña que che fará saber se o teu contrasinal xa foi comprometido. Tamén haberá (xa) un segundo artigo sobre o tema, pero recomendo que o lea da revisión actual e só despois proceda ao seguinte.
Actualización: o seguinte material está listo: sobre a seguridade de contrasinal, que describe como protexelos ao máximo das súas contas e contrasinais.
Que métodos se usan para romper contrasinais
Para piratear contrasinais non se emprega unha ampla gama de técnicas diferentes. Case todos son coñecidos e case calquera compromiso de información confidencial lógrase mediante o uso de métodos individuais ou as súas combinacións.
Phishing
O xeito máis común de que os contrasinais de hoxe "quitan" os servizos populares de correo electrónico e as redes sociais é o phishing, e este método funciona para unha porcentaxe moi grande de usuarios.
A esencia do método é que se atopa nun sitio familiar (o mesmo Gmail, VC ou Odnoklassniki, por exemplo), e por unha razón ou outra se lle solicita que insira o seu nome de usuario e contrasinal (para iniciar sesión, confirmar algo, para o seu cambio, etc.). Inmediatamente despois de introducir o contrasinal é de intrusos.
Como ocorre: pode recibir unha carta, supostamente do servizo de soporte, que indica que ten que iniciar sesión na súa conta e dáse unha ligazón cando cambia a este sitio, que copia exactamente o orixinal. É posible que tras a instalación aleatoria de software non desexado nun computador, a configuración do sistema cambie de xeito que cando introduza o enderezo do sitio web que precisa na barra de enderezos do navegador, chegue realmente a un sitio de phishing deseñado exactamente do mesmo xeito.
Como xa dixen, moitos usuarios caen por isto, e normalmente isto débese a un descoido:
- Cando recibas unha carta que nunha forma ou outra lle ofrece a posibilidade de acceder á túa conta nun determinado sitio, faga caso de que se enviou ou non desde o enderezo de correo electrónico deste sitio: adóitanse usar enderezos similares. Por exemplo, no canto de [email protected], pode ser [email protected] ou algo semellante. Non obstante, o enderezo correcto non sempre garante que todo estea en orde.
- Antes de introducir o seu contrasinal en calquera lugar, mire atentamente na barra de enderezos do seu navegador. Primeiro de todo, debe indicarse exactamente o sitio ao que quere ir. Non obstante, no caso de malware nun computador, isto non é suficiente. Tamén debe prestar atención á presenza de cifrado da conexión, que se pode determinar empregando o protocolo https no canto de http e a imaxe do "bloqueo" na barra de enderezos, premendo en que pode asegurarse de que está neste sitio. Case todos os recursos serios que requiren acceder á túa conta usan cifrado.
Por certo, notarei aquí que tanto os ataques de phishing como os métodos de busca de contraseñas (descritos a continuación) non implican a minuciosa tarefa dunha persoa (é dicir, non precisan ingresar un millón de contrasinais manualmente). Todo isto faise por programas especiais, de xeito rápido e en grandes volumes. , e despois informe sobre o progreso do atacante. Ademais, estes programas poden funcionar non no ordenador do hacker, senón secretamente no seu e entre miles de outros usuarios, o que aumenta moito a eficacia dos hacks.
Selección de contrasinal
Os ataques con recuperación de contraseñas (Forza Bruta, forza bruta en ruso) tamén son bastante comúns. Hai uns anos, a maioría destes ataques eran realmente unha busca a través de todas as combinacións dun determinado conxunto de personaxes para compoñer contrasinais de certa lonxitude, polo que de momento todo é algo máis sinxelo (para hackers).
A análise de millóns de contrasinal que se escapou nos últimos anos demostra que menos da metade deles son únicos, mentres que nos sitios onde viven na súa maioría usuarios sen experiencia, a porcentaxe é bastante pequena.
Que significa isto? En xeral, o hacker non necesita pasar por numerosos millóns de combinacións: ter unha base de 10-15 millóns de contrasinais (un número aproximado, pero próximo á verdade) e substituíndo só estas combinacións, pode cortar case a metade das contas en calquera sitio.
No caso dun ataque específico a unha conta específica, ademais da base, pódese usar a forza bruta sinxela, e o software moderno permítelle facelo relativamente rápido: un contrasinal de 8 caracteres pódese rachar en cuestión de días (e se estes personaxes son unha data ou unha combinación de e datas, que non é infrecuente - en minutos).
Ten en conta: Se usa o mesmo contrasinal para diferentes sitios e servizos, logo que o seu contrasinal e o enderezo de correo electrónico correspondente estean comprometidos en calquera deles, coa axuda dun software especial probarase a mesma combinación de login e contrasinal en centos de outros sitios. Por exemplo, inmediatamente despois da fuga de varios millóns de contrasinais de Gmail e Yandex a finais do ano pasado, unha onda de contas de piratería orixinouse de Origin, Steam, Battle.net e Uplay (creo que moitos outros só para os servizos de xogo especificados que me fixen varias veces en contacto).
Hackear sitios e obter hashs de contrasinal
A maioría dos sitios serios non almacenan o seu contrasinal na forma en que a coñeces. Na base de datos só se almacena un hash: o resultado de aplicar unha función irreversible (é dicir, non pode recuperar o contrasinal deste resultado) para o contrasinal. Cando inicie sesión no sitio, calcúlase de novo o hash e, se coincide co almacenado na base de datos, significa que introduciu o contrasinal correctamente.
Como é fácil de adiviñar, son os hash que se almacenan, e non os propios contrasinais, só por razóns de seguridade - de xeito que cando un hacker entra na base de datos e o recibiu, non podería usar a información e aprender os contrasinais.
Con todo, moitas veces pode facelo:
- Para calcular o hash, úsanse determinados algoritmos, a maioría dos cales son coñecidos e comúns (é dicir, calquera pode usalos).
- Tendo bases de datos con millóns de contrasinais (a partir dunha cláusula de forza bruta), un atacante tamén ten acceso aos hashs destes contrasinais calculados empregando todos os algoritmos dispoñibles.
- Ao comparar a información da base de datos e contrasinal de contrasinal resultante da súa propia base de datos, pode determinar que algoritmo se usa e descubrir as contrasinais reais para unha parte dos rexistros da base de datos mediante unha comparación sinxela (para todos os que non son únicos). E as ferramentas de forza bruta axudarán a aprender o resto dos contrasinais únicos, pero curtos.
Como podes ver, as reivindicacións de comercialización de varios servizos que non almacenan nos teus contrasinais no teu sitio web non necesariamente che protexen da súa fuga.
Spyware (SpyWare)
SpyWare ou spyware: unha ampla gama de programas maliciosos que está instalado de forma secreta nunha computadora (o spyware tamén se pode incluír como parte dalgún software necesario) e recolle a información do usuario.
Entre outras cousas, pódense usar certos tipos de SpyWare, por exemplo, os keyloggers (programas que rastrexan as teclas que preme) ou os analizadores de tráfico ocultos (e úsanse) para obter contrasinais de usuario.
Preguntas sobre enxeñaría social e recuperación de contrasinal
Como nos di a Wikipedia, a enxeñaría social é un método de acceso á información baseado nas características da psicoloxía dunha persoa (isto inclúe o phishing mencionado anteriormente). En Internet, podes atopar moitos exemplos de usar a enxeñaría social (recomendo a busca e a lectura, isto é interesante), algúns dos cales son impresionantes pola súa elegancia. En xeral, o método redúcese ao feito de que case toda a información necesaria para acceder á información confidencial pode obterse empregando debilidades humanas.
E só vou dar un exemplo sinxelo e non especialmente elegante relacionado cos contrasinais. Como sabes, en moitos sitios para a recuperación de contrasinal, basta con introducir a resposta á pregunta de control: a escola á que asistiu, o nome de solteira da nai, o nome da mascota ... Aínda que aínda non publicaches esta información en acceso aberto nas redes sociais, ¿crees que é difícil se está a usar as mesmas redes sociais, estar familiarizado con vostede ou coñecer especialmente esta información?
Como saber que o seu contrasinal foi hackeado
Ben e, ao final do artigo, varios servizos que che permiten descubrir se o seu contrasinal foi rachado, verificando o seu enderezo de correo electrónico ou o seu nome de usuario con bases de datos de contrasinal ás que se accedeu os hackers. (Estou un pouco sorprendido de que entre eles hai unha porcentaxe moi significativa de bases de datos de servizos de lingua rusa).
- //haveibeenpwned.com/
- //breachalarm.com/
- //pwnedlist.com/query
Atopou a túa conta na lista de hackers coñecidos? Ten sentido cambiar o contrasinal, pero con máis detalles sobre prácticas seguras en relación cos contrasinais de conta, escribirei nos próximos días.