Žmonės kalba apie tai, kad jų internetinės sąskaitos yra „nulaužtos“, tačiau kaip tiksliai tai įvyksta? Realybė yra tokia, kad paskyros yra įsilaužtos gana paprastai - užpuolikai nenaudoja juodosios magijos.
Žinios yra galia. Supratimas, kaip iš tikrųjų pakenkiama paskyroms, gali padėti apsaugoti paskyras ir užkirsti kelią slaptažodžių „nulaužimui“.
Pakartotinis slaptažodžių, ypač nutekėjusių, naudojimas
Daugelis žmonių - galbūt net dauguma žmonių - pakartotinai naudojasiskirtingų paskyrų slaptažodžiai. Kai kurie žmonės gali naudoti tą patį slaptažodį kiekvienoje paskyroje. Tai nepaprastai nesaugu. Daugelio svetainių - net ir didelių žinomų, tokių kaip „LinkedIn“ ir „eHarmony“ - slaptažodžių duomenų bazės per keletą pastarųjų metų nutekėjo. Nutekėjusių slaptažodžių duomenų bazės, taip pat vartotojo vardai ir el. Pašto adresai, lengvai prieinamos internete. Užpuolikai gali išbandyti šiuos el. Pašto adresų, vartotojo vardo ir slaptažodžių derinius kitose svetainėse ir gauti prieigą prie daugelio paskyrų.
Pakartotinis slaptažodžio naudojimas el. Pašto abonementui kelia dar didesnę riziką, nes jūsų el. Pašto paskyra gali būti naudojama visiems kitiems slaptažodžiams atkurti, jei užpuolikas įgis prieigą prie jos.
Kad ir kaip gerai, saugote savo slaptažodžius,negalite valdyti, kaip gerai jūsų naudojamos paslaugos apsaugo slaptažodžius. Jei pakartotinai naudosite slaptažodžius ir viena įmonė paslys, rizikuoja visos jūsų sąskaitos. Turėtumėte visur naudoti skirtingus slaptažodžius - tai gali padėti slaptažodžių tvarkyklė.
Keyloggers
„Keyloggers“ yra kenkėjiškos programinės įrangos dalysgali veikti fone, registruodamas kiekvieną klavišą, kurį atlikote. Jie dažnai naudojami neskelbtiniems duomenims, pavyzdžiui, kreditinių kortelių numeriams, internetinės bankininkystės slaptažodžiams ir kitiems sąskaitos akreditatams fiksuoti. Tada jie perduoda šiuos duomenis užpuolikui internetu.
Tokia kenkėjiška programa gali patekti per išnaudojimąpvz., jei naudojate pasenusią „Java“ versiją, nes dauguma interneto kompiuterių yra tokie, galite būti pažeisti per „Java“ programėlę tinklalapyje. Tačiau jie taip pat gali būti paslėpti kitoje programinėje įrangoje. Pvz., Galite atsisiųsti internetinių žaidimų trečiųjų šalių įrankius. Įrankis gali būti kenkėjiškas: jis gali užfiksuoti žaidimo slaptažodį ir nusiųsti jį puolėjui internetu.
Naudokite tinkamą antivirusinę programą, nuolat atnaujinkite savo programinę įrangą ir venkite atsisiųsti nepatikimą programinę įrangą.
Socialinė inžinerija
Užpuolikai taip pat dažniausiai naudojasi socialine inžinerijagudrybės norint pasiekti savo paskyras. Sukčiavimas yra plačiai žinoma socialinės inžinerijos forma - iš esmės užpuolikas kuo nors apsimeta ir prašo jūsų slaptažodžio. Kai kurie vartotojai lengvai perduoda savo slaptažodžius. Čia yra keletas socialinės inžinerijos pavyzdžių:
- Gaunate el. Laišką, kuriame teigiama, kad esate iš jūsų banko, nukreipdami jus į netikrą banko svetainę ir paprašydami įvesti slaptažodį.
- Iš vartotojo, kuris pretenduoja į oficialią „Facebook“ paskyrą, „Facebook“ ar bet kurioje kitoje socialinėje svetainėje gaunate pranešimą, kuriame prašoma atsiųsti slaptažodį, kad patvirtintumėte save.
- Apsilankote svetainėje, kurią žadate jums suteiktiko nors vertingo, pavyzdžiui, nemokami „Steam“ žaidimai ar nemokamas „World of Warcraft“ auksas. Norėdami gauti šį suklastotą atlygį, svetainei reikalingas jūsų vartotojo vardas ir paslaugos slaptažodis.
Būkite atsargūs dėl to, kam suteikiate slaptažodį -nespustelėkite el. laiškuose esančių nuorodų ir eikite į savo banko svetainę, neišduokite savo slaptažodžio visiems, kurie su jumis susisiekia ir prašo, ir neduokite savo sąskaitos kredencialo nepatikimoms svetainėms, ypač toms, kurios atrodo per geros, kad būtų tiesa.
Atsakymai į saugumo klausimus
Slaptažodžius dažnai galima atstatyti atsakantApsaugos klausimai. Saugumo klausimai paprastai yra neįtikėtinai silpni - dažnai tai būna tokie dalykai kaip „Kur tu gimei?“, „Kokioje vidurinėje mokykloje lankėtės?“ Ir „Kokia buvo tavo motinos mergautinė pavardė?“. Dažnai labai lengva rasti šią informaciją viešai prieinamose socialinių tinklų svetainėse, o normalūs žmonės papasakos, į kurią vidurinę mokyklą jie kreipėsi, jei jų paprašė. Turėdami šią lengvai gaunamą informaciją, užpuolikai dažnai gali iš naujo nustatyti slaptažodžius ir gauti prieigą prie paskyrų.
Idealiu atveju saugos klausimus turėtumėte naudoti suatsakymų, kurių nelengva atrasti ar atspėti. Tinklalapiai taip pat turėtų užkirsti kelią žmonėms gauti prieigą prie sąskaitos vien todėl, kad jie žino atsakymus į keletą saugumo klausimų, o kai kurie -, bet kai kurie vis dar to neturi.
Pašto abonemento ir slaptažodžio nustatymai
Jei užpuolikas naudoja kurį nors iš aukščiau nurodytų metodųkad gautumėte prieigą prie savo el. pašto abonementų, esate sunkesni. Paprastai jūsų el. Pašto paskyra veikia kaip pagrindinė sąskaita internete. Visos kitos jūsų naudojamos paskyros yra su ja susietos, ir visi, turintys prieigą prie el. Pašto abonemento, galėtų ją naudoti norėdami iš naujo nustatyti jūsų slaptažodžius bet kurioje svetainių, kuriose užsiregistravote naudodami el. Pašto adresą, numeriuose.
Dėl šios priežasties turėtumėte kiek įmanoma labiau apsaugoti savo el. Pašto paskyrą. Ypač svarbu naudoti unikalų slaptažodį ir atsargiai jį saugoti.
Koks slaptažodis „įsilaužimas“ nėra
Dauguma žmonių greičiausiai įsivaizduoja užpuolikus, kurie bando kiekvienąvieną galimą slaptažodį prisijungti prie savo internetinės paskyros. Tai nevyksta. Jei bandytumėte prisijungti prie kažkieno internetinės paskyros ir toliau atspėtumėte slaptažodžius, sulėtėtumėte tempimas ir neleistumėte bandyti daugiau nei tik keletas slaptažodžių.
Jei užpuolikas sugebėjo patekti įinternetinėje paskyroje tiesiog atspėjus slaptažodžius, tikėtina, kad slaptažodis buvo kažkas akivaizdaus, kurį buvo galima atspėti atliekant keletą pirmųjų bandymų, pvz., „slaptažodis“ arba asmens augintinio vardas.
Užpuolikai galėjo naudoti tik tokius žiaurios jėgos metodusjei jie turėjo vietinę prieigą prie jūsų duomenų, pavyzdžiui, tarkime, kad „Dropbox“ paskyroje saugojote užšifruotą failą, o užpuolikai gavo prieigą prie jo ir atsisiuntė užšifruotą failą. Tada jie galėjo bandyti užgniaužti šifravimą, iš esmės bandydami kiekvieną slaptažodžio derinį, kol vienas veiks.
Žmonės, kurie sako, kad jų sąskaitos buvo „nulaužtos“greičiausiai yra kalti dėl pakartotinio slaptažodžių naudojimo, pagrindinio duomenų kaupiklio įdiegimo ar savo įgaliojimo suteikimo užpuolikui atlikus socialinės inžinerijos triukus. Jie taip pat galėjo būti pažeisti dėl lengvai atspėjamų saugumo klausimų.
Jei imsis tinkamų saugos priemonių, „nulaužti“ jūsų paskyras nebus lengva. Dviejų veiksnių autentifikavimas taip pat gali padėti - užpuolikui patekti reikės ne tik slaptažodžio.
Atvaizdo kreditas: Robbertas van der Steegas „Flickr“, o „Flickr“
