Задать вопрос

Несколько способов как могут взломать ваш пароль

Ежедневно злоумышленники взламывают тысячи паролей, подобное явление стало такой обыденностью, что такими новостями мало кого удивишь. Но согласитесь, ведь очень неприятно, когда взламывают именно ваш пароль. И за счет этого, кто-то посторонний получает доступ к почте, банковским счетам, аккаунтам в социальных сетях и даже к точке доступа Wi-Fi. Чтобы всего этого избежать, в большинстве случаев, достаточно придерживаться лишь элементарных правил информационной безопасности, чего не придерживается большинство пользователей. Но чтобы сильнее обезопасить себя, лучше всего понимать, как происходит взлом, и от куда можно ожидать опасность.

Сегодня мы подробно расскажем о каждом распространенном методе взлома паролей и покажем какие уязвимости могут ослабить вашу оборону. Так же, в самом конце статьи будет перечень онлайн-сервисов для тестирования паролей и проверки их на надежность.

Как взламывают пароли?

В целом, чтобы получить чужие данные для авторизации, применяются одни и те же способы, которые могут лишь со временем быть немного усовершенствованы. Про них всем давно известно и большинство сайтов применяет определенные методы борьбы и защиты, что, впрочем, далеко не всегда уберегает пароли от взлома. Кроме того, эти способы могут комбинироваться и совмещаться между собой.

Фишинг

Это достаточно простой способ узнать чужие пароли, который получил большое распространение. Несмотря на свою простоту, он позволяет «увести» аккаунты у значительного процента пользователей.

Злоумышленник создает сайт «фейк», своим внешним видом копирующий оригинальный интернет-ресурс, с которого планируется угон паролей. Далее на него начинает массово заманивать потенциальных жертв (например, показывает ссылку якобы на пост о быстром заработке, видео со смешными котами, и другой интересной информацией). Пользователь попадает на знакомый ему ресурс, допустим ВКонтакте (а на самом деле это сайт-фейк) и видит, что для просмотра этого контента нужно войти. Что он делает? Конечно же вводит свой логин и пароль и нажимает «Войти», тут же злоумышленник получает все эти данные, а незадачливый пользователь автоматически перенаправляется и авторизируется уже в настоящем сайте, так и ничего не заподозрив.

Таким же образом, на вашу почту может поступить письмо, похожее на сообщение от службы поддержки. В нем будет говориться о том, что по каким-либо причинам необходимо зайти в свой аккаунт и тут же предоставляется ссылка для входа. Пользователь заходит на этот сайт и все повторяется в точности, как было описано выше.
Еще так могут работать некоторые вредоносные программы, которые скрытно попадают на компьютеры своих жертв. Такие вирусы изменяют настройки уже на локальном компьютере и подсовывают свои сайты-копии, вместо оригинальных. Причем это делается таким образом, что даже в адресной строке будет точный домен настоящего сайта, хотя это и подделка.

Здесь основной расчет делается именно на невнимательность человека. Так что несколько простых правил должны уберечь вас от подобной беды:

  • Если видите на своей почте письмо от тех поддержки, предлагающее посетить свой аккаунт, то обратите внимание на адрес, с которого оно было отправлено. Скорее всего он будет достаточно похожим на настоящий, но все же с небольшими отличиями (например, [email protected] вместо [email protected]). Хотя наличие правильного адреса все равно не будет гарантировать полной безопасности.
  • При вводе любых паролей и данных для входа, обращайте внимание на адресную строку в своем браузере. Там должен быть только настоящий адрес ресурса, на котором собираетесь пройти авторизацию. Как и в случае с почтой, адрес может быть очень похожим, но в нем могут быть лишние или похожие символы. Хотя при заражении вирусом, который подменяет оригинальный сайт своим, все будет выглядеть слишком естественно, чтобы так сходу отличить подделку. Поэтому обращаем еще внимание на наличие шифрования в соединении с сайтом. Оно проявляется наличием протокола https а не http. Кроме того, в правом или левом углу адресной строки будет изображаться замочек, если кликнуть по нему, появится дополнительная информация о подключении, таким образом можно убедиться в оригинальности сайта. Большинство крупных сайтов пользуется шифрованием соединения, при авторизации, так что следите за этим.Как могут взломать ваш пароль

Стоит отметить, что атаки методом фишинга и подбор паролей выполняются далеко не вручную одним лишь человеком. Для этих целей используется специальный софт, который в автоматическом режиме подбирает миллионы комбинаций паролей и выполняет рассылку тысяч электронных писем и личных сообщений. Это значительно повышает количество взломанных аккаунтов и снижает время, затраченное на всю эту «работу». Дополнительно, для скрытия деятельности хакера, эти программы тайно устанавливаются и работают на выделенных серверах и компьютерах других пользователей.

Перебор паролей

Так же достаточно распространенный способ, ввиду своей простоты. Подбор паролей называют термином Brute Force — «грубая сила». Несмотря на то, что для хакера здесь процент успешных взломов бывает достаточно низок и случаен, за счет своей массовости и грамотного подхода, даже такие атаки приносят достаточно богатый улов.

В последние годы, эффективность подобных атак намного возросла. Это связанно с тем, что получив огромное количество взломанных паролей, хакеры их проанализировали и вывели «словарь» из наиболее часто повторяющихся и применяемых пользователями. За счет этого, подбор паролей занимает меньшее время и дает больших эффект. И чем больше на интернет-ресурсе неопытных пользователей с простыми паролями, тем выше процент успеха.

При этом, если атака производится на конкретный аккаунт, то с помощью специального ПО для перебора, пароль из 8 знаков может ломаться за несколько дней. А если он совсем простой и в нем используются такие данные, как имя и день рождения (что довольно частое явление), то на это уйдет пара минут.

[lt_alert style=»orange» bottom=»20″ icon=»fa-exclamation»]Внимание! Старайтесь использовать на всех сайтах разные пароли. Как правило, при взломе аккаунта на одном ресурсе, тут же полученный пароль проверяется на сотнях других сайтов. В итоге, если вы пользуетесь одинаковыми паролями, могут взломать еще несколько других ваших учетных записей на других сервисах. Всегда, после волны взлома паролей на почтовых сервисах и в социальных сетях, следует еще несколько сопутствующих волн, со взломами других интернет-ресурсов.[/lt_alert]

Получение хэшей паролей через взлом сайта

Перейдем к более серьезным и сложным способам, которыми пользуются злоумышленники для получения ваших паролей. Основная масса нормальных сайтов хранит пароли пользователей в зашифрованном состоянии – в виде хэша. То есть, при регистрации, ваш пароль обрабатывается определенным алгоритмом и превращается в несвязанный набор чисел и символов, из которого назад уже практически невозможно получить пароль. При каждом входе на сайт, введенный вами пароль будет обработан этим же алгоритмом и сравнен с первоначальным, если они совпадут, вы попадаете на свою страничку.

Как уже многие успели догадаться, это сделано специально для безопасности – если сайт будет взломан и хакер получит доступ к базе данных, то он не сможет из сохраненных хэшей узнать пароли пользователей и воспользоваться ими.Взлом сайтов и получение хэшей паролей

Но к сожалению, реальность не такая уж и безоблачная и временами, хакерам удается добраться до паролей. Происходит это по следующим причинам:

  1. В большинстве случаев хэш вычисляется по известным алгоритмам, информация о которых доступна каждому;
  2. Обладая хорошим словарем с распространенными паролями (см. предыдущий раздел), хакер будет иметь и их хэш, по всем возможным алгоритмам;
  3. Таким образом используя пункт 1 и 2, хакер может сопоставить свою базу паролей и хешей с полученной после взлома, тем самым он найдет совпадения и получит пароли к учетным записям. А все остальные, могут быть получены тем же перебором по словарю паролей.

Так что, даже если где-то будут писать, что ваши пароли хранятся в зашифрованном виде, это еще не значит, что такая мера убережет сайт от массового взлома.

Шпионское ПО (SpyWare)

Это очень обширная ниша вредоносных программ, которые незаметно от пользователя устанавливаются в систему и выполняют шпионские функции, собирая полезную информацию о владельце компьютера, а в первую очередь его данные для входа на различные сайты.

Они бывают различных типов и действуют разными способами. Практически никак не выдают себя и бывает, что даже антивирусы их не замечают. Вы можете и не заметить тот момент, когда поделились своими паролями с кем-то посторонним.

Для избегания заражения шпионскими программами, действуют те же правила, что и для всех остальных вирусов: избегайте подозрительных сайтов, внимательно следите за тем, что загружаете с интернета, скачивайте софт исключительно с официальных сайтов и регулярно проводите сканирование своего компьютера на наличие вредоносного ПО.

Социальная инженерия и хитрые способы восстановления пароля

Социальная инженерия это уже взлом не программного обеспечения, а сознания человека. Да, звучит довольно странно, но это целая наука, которая позволяет, используя особенности человеческой психики, получать необходимую мошеннику информацию. В сети можно встретить просто огромное количество примеров этого метода, можете сами поискать больше статей на эту тему и ознакомиться с ними – это действительно интересная тема.

Давайте посмотрим, как соц инженерия применяется для получения паролей. Многие из вас знают, что есть много сайтов, на которых можно восстановить свой пароль, ответив на секретный вопрос: девичья фамилия матери, первый автомобиль, любимый цвет, имя домашнего питомца и тому подобное. Даже если вы проявили осторожность и нигде не писали об этом в соц сетях, постороннему человеку (или даже знакомому) будет несложно в том же ВКонтакте познакомиться с вами, войти в доверие и как бы по ходу дела разузнать всю необходимую информацию. Бывают настолько изящные способы, что мошенникам (которые обычно представляются тех поддержкой и усыпляют бдительность специальными приемами) незадачливые пользователи сами сообщают все свои логины и пароли, номера кредитных карт и много других полезных вещей.

Как определить, был ли взломан пароль?взломать пароль

В сети существует несколько ресурсов, выполняющих сверку введенного пароля с базами паролей, которые удалось добыть хакерам. Из них самые популярные:

  • https://haveibeenpwned.com
  • https://breachalarm.com
  • https://pwnedlist.com/query

Если такой поиск по базам паролей обнаружил совпадение с вашими данными для входа, то рекомендуем оперативно сменить свой пароль на новый и причем более надежный, и сложный.

На этом все, если будут вопросы – пишите в комментариях к статье.

Это может пригодиться:
Добавить комментарий

Новые комментарии