पासवर्ड, हॅकिंग संकेतशब्द, मेल, ऑनलाइन बँकिंग, वाय-फाय किंवा व्हिक्टंटा आणि ओडोनक्लास्नीकी खात्यांमधून जे काही संकेतशब्द असू शकतात, अलीकडे वारंवार होत असलेल्या इव्हेंटमध्ये झाले आहेत. वापरकर्ते मोठ्या प्रमाणावर सुरक्षिततेचे नियम पाळत नाहीत तेव्हा संकेतशब्द तयार करताना, संग्रहित करतात आणि वापरतात. परंतु हेच चुकीचे कारण असू शकत नाही.
हा लेख वापरकर्ता संकेतशब्द क्रॅक करण्यासाठी कोणत्या पद्धतींचा वापर केला जाऊ शकतो आणि आपण अशा हल्ल्यांबद्दल कमकुवत आहात यावर विस्तृत माहिती प्रदान करते. आणि शेवटी आपल्याला ऑनलाइन सेवांची एक सूची मिळेल जी आपल्या संकेतशब्दाशी आधीच तडजोड केली गेली असेल तर आपल्याला कळवेल. विषयावरील दुसरा लेख देखील (आधीपासून) असेल, परंतु मी सध्याच्या पुनरावलोकनातून ते वाचण्याची शिफारस करतो आणि केवळ नंतर पुढीलकडे जातो.
अद्यतन: खालील सामग्री तयार आहे - संकेतशब्द सुरक्षिततेबद्दल, जे आपले खाते आणि संकेतशब्द त्यांना जास्तीत जास्त कसे सुरक्षित करते याचे वर्णन करते.
संकेतशब्द क्रॅक करण्यासाठी कोणत्या पद्धती वापरल्या जातात
हॅकिंग पासवर्डसाठी विविध तंत्रांचा विस्तृत वापर केला जात नाही. जवळजवळ सर्वजण ज्ञात आहेत आणि जवळजवळ गोपनीय माहितीची कोणतीही तडजोड वैयक्तिक पद्धती किंवा त्यांच्या संयोजनाद्वारे प्राप्त केली जाते.
फिशिंग
आजचे संकेतशब्द लोकप्रिय ईमेल सेवा आणि सोशल नेटवर्क्सच्या "काढून टाकणे" हा सर्वात सामान्य मार्ग आहे फिशिंग, आणि ही पद्धत वापरकर्त्यांच्या बर्याच मोठ्या टक्केवारीसाठी कार्य करते.
या पद्धतीचा सारांश म्हणजे आपण स्वत: ला एखाद्या ओळखीच्या साइटवर (त्याच Gmail, VC किंवा Odnoklassniki, उदाहरणार्थ) शोधू शकता आणि एका कारणास्तव आपल्याला दुसरे वापरकर्तानाव आणि संकेतशब्द प्रविष्ट करण्यास सांगितले जाईल (लॉग इन करण्यासाठी, पुष्टी करण्यासाठी, त्याच्या बदलासाठी इ.). संकेतशब्द प्रविष्ट केल्यानंतर लगेच घुसखोरांकडून आहे.
हे कसे होते: आपण आपल्या खात्यावर लॉग इन करणे आवश्यक आहे आणि आपण या साइटवर स्विच करता तेव्हा एक दुवा दिलेला आहे, जो समर्थन सेवेवरून कथितरित्या एक पत्र प्राप्त करू शकतो, जे वास्तविक मूळ कॉपी करते. संगणकावर अवांछित सॉफ्टवेअरची यादृच्छिक स्थापना झाल्यानंतर, सिस्टम सेटिंग्ज अशा प्रकारे बदलतात की जेव्हा आपण साइटचा पत्ता प्रविष्ट करता तेव्हा आपल्याला ब्राउझरच्या अॅड्रेस बारमध्ये आवश्यक असतं तर आपल्याला प्रत्यक्षात त्याच प्रकारे डिझाइन केलेली फिशिंग साइट मिळते.
मी आधीच नमूद केले आहे की, बर्याच वापरकर्त्यांसाठी हे घसरते आणि सहसा हे लापरवाहीमुळे होते:
- जेव्हा आपण एक फॉर्म किंवा दुसर्या फॉर्ममध्ये आपल्याला एक विशिष्ट साइटवर आपल्या खात्यात लॉग इन करता तेव्हा आपल्याला या साइटवरील ईमेल पत्त्यावरून ते पाठवले होते की नाही यावर लक्ष द्या: समान पत्ते सामान्यतः वापरले जातात. उदाहरणार्थ, [email protected] ऐवजी, तो समर्थन @ vk.org किंवा काहीतरी समान असू शकते. तथापि, योग्य पत्ता नेहमीच हमी देत नाही की सर्वकाही व्यवस्थित आहे.
- आपण आपला संकेतशब्द कुठेही प्रविष्ट करण्यापूर्वी, आपल्या ब्राउझरच्या अॅड्रेस बारकडे काळजीपूर्वक पहा. सर्वप्रथम, आपल्याला ज्या साइटवर जायचे आहे त्या साइटवर सूचित केले जावे. तथापि, संगणकावर मालवेअरच्या बाबतीत, हे पुरेसे नाही. आपण कनेक्शनच्या एन्क्रिप्शनच्या उपस्थितीकडे देखील लक्ष द्यावे जे HTTP च्याऐवजी https प्रोटोकॉल आणि अॅड्रेस बारमधील "लॉक" च्या प्रतिमेचा वापर करून निर्धारित केले जाऊ शकते, त्यावर क्लिक करुन आपण या साइटवर असल्याचे सुनिश्चित करू शकता. आपल्या खात्यात लॉग इन करणे आवश्यक असलेल्या जवळजवळ सर्व गंभीर संसाधने एन्क्रिप्शन वापरतात.
तसे, मी येथे लक्षात ठेवेल की फिशिंग आक्रमण आणि संकेतशब्द शोध पद्धत (खाली वर्णन केलेली) दोन्ही एक व्यक्तीच्या वेदनादायक अर्थाचा अर्थ लावत नाहीत (म्हणजेच, त्यांना स्वत: ला एक दशलक्ष संकेतशब्द प्रविष्ट करण्याची आवश्यकता नाही) - हे सर्व काही विशेष प्रोग्रॅमद्वारे त्वरित आणि मोठ्या प्रमाणात केले जाते. आणि नंतर आक्रमणकर्त्याच्या प्रगतीवर अहवाल द्या. याशिवाय, हे प्रोग्राम हॅकरच्या संगणकावर कार्य करू शकत नाहीत, परंतु आपला आणि इतर हजारो वापरकर्त्यांमध्ये गुप्तपणे कार्य करू शकतात, जे हॅकची प्रभावीता वाढवते.
संकेतशब्द निवड
संकेतशब्द पुनर्प्राप्ती (ब्रश फोर्स, रशियन भाषेत ब्रूट फोर्स) वापरुन हल्ले अगदी सामान्य आहेत. काही वर्षापूर्वी, यापैकी बहुतेक हल्ले खरोखर विशिष्ट लांबीचे संकेतशब्द तयार करण्यासाठी वर्णांच्या एका विशिष्ट संचाच्या सर्व संयोजनाद्वारे शोधले गेले होते, त्या क्षणी प्रत्येक गोष्ट थोडीशी (हॅकरसाठी) सोपी होती.
अलिकडच्या वर्षांमध्ये वाचलेल्या लाखो संकेतशब्दांचे विश्लेषण दर्शवते की त्यापैकी अर्ध्यापेक्षा कमी अद्वितीय आहेत, तर अशा साइट्सवर जेथे असुरक्षित वापरकर्ते राहतात त्या टक्केवारी अगदी लहान आहे.
याचा अर्थ काय आहे? सर्वसाधारणपणे, हॅकरला अमर्यादित लाखो संयोगाने जाणे आवश्यक नसते: 10-15 दशलक्ष संकेतशब्दांचे आधार (अंदाजे नंबर परंतु सत्य जवळ असणे) आणि केवळ हे संयोजन बदलून तो कोणत्याही साइटवर जवळपास अर्धा खाती हॅक करू शकतो.
एखाद्या विशिष्ट खात्यावर लक्ष्यित हल्ला झाल्यास, बेस व्यतिरिक्त, सामान्य वीट शक्ती वापरली जाऊ शकते आणि आधुनिक सॉफ्टवेअर आपल्याला ते लवकर करण्यास अनुमती देते: 8 वर्णांचे संकेतशब्द दिवसांच्या अवधीत क्रॅक केले जाऊ शकते (आणि जर हे वर्ण एक तारीख किंवा संयोजन असेल तर आणि तारख, असामान्य नाही - मिनिटांत).
कृपया लक्षात ठेवाः आपण भिन्न साइट्स आणि सेवांसाठी समान संकेतशब्द वापरल्यास, आपला संकेतशब्द आणि संबंधित ई-मेल पत्त्यावर कोणत्याही विशिष्ट सॉफ्टवेअरच्या सहाय्याने, तडजोड आणि संकेतशब्दाच्या समान संयोजनाची चाचणी शेकडो इतर साइटवर केली जाईल. उदाहरणार्थ, मागील वर्षाच्या शेवटी अनेक दशलक्ष जीमेल आणि यॅंडेक्स पासवर्ड रिसाव झाल्यानंतर लगेच, मूळ, स्टीम, बॅटलनेट आणि उप्ले (हॅचिंग अकाऊंट्स) ची एक लाट उद्भवली. (मला बर्याच इतरांबद्दल वाटते, फक्त विशिष्ट गेमिंग सेवेसाठी मी वारंवार संपर्क साधला).
हॅकिंग साइट्स आणि पासवर्ड हॅश मिळविणे
सर्वात गंभीर साइट्स आपला संकेतशब्द आपण ज्या फॉर्ममध्ये ओळखता त्या फॉर्ममध्ये संग्रहित करत नाहीत. डेटाबेसमध्ये फक्त हॅशच संग्रहित केला जातो - एक अपरिवर्तनीय फंक्शन (अर्थात, आपण या परिणामातून आपला संकेतशब्द पुन्हा मिळवू शकत नाही) लागू करण्याच्या परिणामास पासवर्डवर जतन करू शकता. जेव्हा आपण साइटवर लॉग ऑन करता तेव्हा हॅशची पुनर्रचना केली जाते आणि जर ते डेटाबेसमध्ये जे संचयित केले जाते ते जुळते तर याचा अर्थ आपण संकेतशब्द योग्यरितीने प्रविष्ट केला आहे.
हे अंदाज घेणे सोपे आहे कारण हे सुरक्षिततेच्या कारणास्तव केवळ संकेतशब्दांद्वारे संचयित केलेले नाही, आणि पासवर्ड स्वतःच नाहीत - जेणेकरून जेव्हा हॅकर डेटाबेसमध्ये प्रवेश करेल आणि प्राप्त होईल तेव्हा तो माहितीचा वापर करू शकत नाही आणि संकेतशब्द शिकू शकत नाही.
तथापि, बर्याचदा ते हे करू शकतात:
- हॅशची गणना करण्यासाठी, काही अल्गोरिदम वापरल्या जातात, त्यापैकी बहुतेक ज्ञात आणि सामान्य (म्हणजे, कोणीही ते वापरू शकतात).
- लाखो संकेतशब्दांसह (ब्र्यूट फोर्स क्लॉजपासून) डेटाबेससह, अॅलॉल्टरकडे सर्व उपलब्ध अल्गोरिदम वापरुन गणना केलेल्या या संकेतशब्दांच्या हॅशमध्ये देखील प्रवेश असतो.
- आपल्या स्वत: च्या डेटाबेसमधून परिणामी डेटाबेस आणि पासवर्ड हॅशमधून माहितीची तुलना करून, आपण कोणत्या अल्गोरिदमचा वापर केला आहे हे निर्धारित करू शकता आणि साध्या तुलनाद्वारे (सर्व अनन्य लोकांसाठी) डेटाबेसमधील रेकॉर्डचा वास्तविक संकेतशब्द शोधू शकता. आणि जबरदस्त साधने आपल्याला उर्वरित अद्वितीय, परंतु लहान संकेतशब्द शिकण्यास मदत करतील.
आपण पाहू शकता की, आपल्या साइटवर आपला संकेतशब्द संग्रहित करणार्या विविध सेवांचा विपणन दावा आवश्यकतेने आपल्या रिसावपासून आपले संरक्षण करीत नाही.
स्पायवेअर (स्पायवेअर)
स्पायवेअर किंवा स्पायवेअर - संगणकावर गुप्तपणे स्थापित केल्या जाणार्या दुर्भावनायुक्त सॉफ्टवेअरची विस्तृत श्रेणी (स्पायवेअरला काही आवश्यक सॉफ्टवेअरचा भाग म्हणून देखील समाविष्ट केले जाऊ शकते) आणि वापरकर्त्याची माहिती संकलित करते.
इतर गोष्टींमध्ये, स्पायवेअरचे काही प्रकार, उदाहरणार्थ, कीलॉगर्स (आपण दाबल्या जाणार्या प्रोग्राम्सचा मागोवा घेणारे प्रोग्राम) किंवा लपलेले रहदारी विश्लेषक, वापरकर्ता संकेतशब्द प्राप्त करण्यासाठी (आणि वापरली जातात) वापरली जाऊ शकतात.
सामाजिक अभियांत्रिकी आणि संकेतशब्द पुनर्प्राप्ती प्रश्न
विकिपीडिया आपल्याला सांगते की, सोशल इंजिनिअरिंग एखाद्या व्यक्तीच्या मानसशास्त्राच्या वैशिष्ट्यांवर आधारित माहितीमध्ये प्रवेश करण्याचा एक मार्ग आहे (यात वर उल्लेख केलेल्या फिशिंगचा समावेश आहे). इंटरनेटवर, आपल्याला सोशल इंजिनिअरिंग वापरण्याची अनेक उदाहरणे मिळू शकतात (मी शोध आणि वाचन करण्याची शिफारस करतो - हे मनोरंजक आहे), त्यापैकी काही त्यांच्या सुरेखपणात अडथळा आणत आहेत. सर्वसाधारणपणे, पध्दती खाली उकळते की गुप्त माहितीमध्ये प्रवेश करण्यासाठी आवश्यक असलेली कोणतीही माहिती मानवी कमतरता वापरुन मिळविली जाऊ शकते.
आणि मी संकेतशब्दांशी संबंधित फक्त एक साधा आणि विशेषतः मोहक घरगुती उदाहरण देऊ. आपल्याला माहित आहे की, संकेतशब्द पुनर्प्राप्तीसाठी बर्याच साइटवर, नियंत्रण प्रश्नाचे उत्तर प्रविष्ट करणे पुरेसे आहे: आपण कोणत्या शाळेत प्रवेश केला होता, आईचे पहिले नाव, पाळीव प्राण्याचे नाव ... जरी आपण ही माहिती सोशल नेटवर्क्सवरील मुक्त प्रवेशात आधीपासूनच पोस्ट केलेली नसली तरीही आपल्याला वाटते की हे कठीण आहे समान सोशल नेटवर्क्स वापरताना, आपल्याशी परिचित असल्यास, किंवा विशेषतः परिचित असलेल्या, अशा माहितीचा अनावश्यकपणे उपयोग करा?
आपला संकेतशब्द हॅक झाला आहे हे कसे माहित करावे
ठीक आहे आणि, लेखाच्या शेवटी, आपला संकेतशब्द क्रॅक केला गेला आहे की नाही हे शोधण्यासाठी अनेक सेवा, हॅकर्सद्वारे प्रवेश केल्या गेलेल्या पासवर्ड डेटाबेससह आपला ईमेल पत्ता किंवा वापरकर्तानाव तपासा. (मला आश्चर्य वाटतो की त्यापैकी रशियन भाषेतील सेवांद्वारे डेटाबेसेसमध्ये महत्त्वपूर्ण टक्केवारी आहे).
- //haveibeenpwned.com/
- //breachalarm.com/
- //pwnedlist.com/query
ज्ञात हॅकर्सच्या यादीत आपले खाते सापडले? पासवर्ड बदलणे अर्थपूर्ण आहे, परंतु खाते संकेतशब्दांशी संबंधित सुरक्षित पद्धतींबद्दल अधिक माहितीमध्ये, मी आगामी दिवसात लिहीन.
