8Sep
Ludzie mówią o "hakowaniu" ich kont internetowych, ale jak dokładnie to się dzieje? W rzeczywistości konta są hakowane w dość prosty sposób - atakujący nie używają czarnej magii.
Wiedza to potęga. Zrozumienie, w jaki sposób konta faktycznie zostały naruszone, może pomóc w zabezpieczeniu kont i zapobiec "hakowaniu" haseł.
Ponowne wykorzystywanie haseł, w szczególności wyciekanych
Wiele osób - może nawet większość osób - używa haseł do różnych kont. Niektóre osoby mogą używać tego samego hasła do każdego konta, z którego korzystają.Jest to wyjątkowo niepewne. Wiele stron internetowych - nawet dużych, znanych takich jak LinkedIn i eHarmony - w ciągu ostatnich lat wyciekło z baz danych haseł.Bazy wycieków haseł wraz z nazwami użytkowników i adresami e-mail są łatwo dostępne online. Atakujący mogą wypróbować te adresy e-mail, nazwy użytkownika i kombinacje haseł na innych stronach internetowych i uzyskać dostęp do wielu kont.
Ponowne użycie hasła do konta e-mail naraża Cię jeszcze bardziej na ryzyko, ponieważ Twoje konto e-mail może zostać użyte do zresetowania wszystkich innych haseł, jeśli atakujący uzyskał do niego dostęp.
Jakkolwiek dobrze zabezpieczasz swoje hasła, nie możesz kontrolować, jak dobrze usługi, z których korzystasz, zabezpieczają twoje hasła. Jeśli ponownie użyjesz haseł, a jedna firma zerwie się, wszystkie Twoje konta będą zagrożone. Powinieneś używać różnych haseł wszędzie - może ci w tym pomóc menedżer haseł.
Keyloggery
Keyloggery to złośliwe programy, które mogą działać w tle rejestrując każdy kluczowy ruch. Są często używane do przechwytywania poufnych danych, takich jak numery kart kredytowych, hasła bankowości internetowej i inne dane uwierzytelniające konta. Następnie wysyłają te dane do atakującego przez Internet.
Takie złośliwe oprogramowanie może zostać wykryte przez exploity - na przykład, jeśli używasz przestarzałej wersji Javy, ponieważ większość komputerów w Internecie jest zagrożona, możesz zostać zaatakowany przez aplet Javy na stronie internetowej. Mogą jednak przybyć ukryte w innym oprogramowaniu. Na przykład możesz pobrać narzędzie innej firmy do gry online. Narzędzie może być złośliwe, przechwytuje hasło do gry i wysyła je do atakującego przez Internet.
Używaj porządnego programu antywirusowego, aktualizuj oprogramowanie i unikaj pobierania niegodnego oprogramowania.
Inżynieria społeczna
Atakujący często używają sztuczek inżynierii społecznej, aby uzyskać dostęp do swoich kont. Phishing to powszechnie znana forma inżynierii społecznej - w istocie atakujący podszywa się pod kogoś i prosi o podanie hasła. Niektórzy użytkownicy łatwo podają swoje hasła. Oto kilka przykładów inżynierii społecznej:
- Otrzymujesz wiadomość e-mail, która twierdzi, że pochodzi z Twojego banku, kierując Cię na fałszywą stronę banku i prosząc Cię o wpisanie swojego hasła.
- Otrzymujesz wiadomość na Facebooku lub jakiejkolwiek innej stronie społecznościowej od użytkownika, który twierdzi, że jest oficjalnym kontem na Facebooku, z prośbą o przesłanie hasła w celu uwierzytelnienia się.
- Odwiedzasz stronę internetową, która obiecuje dać Ci coś cennego, na przykład darmowe gry na Steam lub darmowe złoto w World of Warcraft. Aby uzyskać tę fałszywą nagrodę, strona internetowa wymaga nazwy użytkownika i hasła do usługi.
Uważaj na to, komu podajesz hasło - nie klikaj linków w wiadomościach e-mail i nie odwiedzaj witryny swojego banku, nie zdradzaj swojego hasła każdemu, kto się z Tobą kontaktuje i go żąda, i nie podawaj poświadczeń swojego kontaniewiarygodne strony internetowe, szczególnie te, które wydają się zbyt piękne, aby mogły być prawdziwe.
Odpowiadanie na pytania dotyczące bezpieczeństwa
Hasła często można resetować, odpowiadając na pytania bezpieczeństwa. Pytania dotyczące bezpieczeństwa są generalnie niewiarygodnie słabe - często takie rzeczy jak "Gdzie się urodziłeś?", "Do jakiego liceum poszedłeś?" I "Jakie było panieńskie nazwisko matki?".Często bardzo łatwo jest znaleźć te informacje na ogólnodostępnych portalach społecznościowych, a większość normalnych osób powie Ci, do jakiego liceum doszli, jeśli zostali zapytani. Dzięki tej łatwej do zdobycia informacji osoby atakujące często mogą resetować hasła i uzyskiwać dostęp do kont.
Idealnie powinieneś używać pytań bezpieczeństwa z odpowiedziami, które nie są łatwe do wykrycia lub odgadnięcia. Witryny powinny również uniemożliwiać użytkownikom uzyskanie dostępu do konta tylko dlatego, że znają odpowiedzi na kilka pytań bezpieczeństwa, a niektórzy to robią - ale niektórzy nadal nie.
Konto e-mail i hasło resetuje
Jeśli osoba atakująca zastosuje którąś z powyższych metod w celu uzyskania dostępu do kont e-mail, masz większe problemy. Twoje konto e-mail zazwyczaj działa jako główne konto online. Wszystkie inne konta, z których korzystasz, są z nim powiązane, a każdy, kto ma dostęp do konta e-mail, może go użyć do zresetowania haseł w dowolnej liczbie witryn, które zarejestrowałeś przy użyciu adresu e-mail.
Z tego powodu należy zabezpieczyć swoje konto e-mail w największym możliwym stopniu. Szczególnie ważne jest, aby użyć unikalnego hasła i uważnie go strzec.
Jakie hasło "hakowanie" nie jest
Większość osób prawdopodobnie wyobraża sobie, że atakujący próbują każdego możliwego hasła, aby zalogować się na swoje konto online. Tak się nie dzieje. Jeśli próbowałeś zalogować się na czyjeś konto online i kontynuowałeś zgadywanie haseł, zwolniłbyś i nie próbowałbyś więcej niż garści haseł.
Jeśli atakujący był w stanie uzyskać dostęp do konta online tylko przez zgadywanie haseł, prawdopodobnie hasło było oczywiste, co można było odgadnąć podczas pierwszych kilku prób, na przykład "hasło" lub imię zwierzęcia danej osoby.
Atakujący mogliby używać takich metod brutalnej siły, gdyby mieli lokalny dostęp do twoich danych - na przykład, powiedzmy, że przechowujesz zaszyfrowany plik na koncie Dropbox, a napastnicy uzyskali dostęp do niego i pobrali zaszyfrowany plik. Mogliby wtedy spróbować brutalnie wymusić szyfrowanie, zasadniczo próbując każdej kombinacji hasła, dopóki nie zadziała.
Użytkownicy, którzy twierdzą, że ich konta zostały "zhakowane", najprawdopodobniej ponoszą winę za ponowne użycie haseł, zainstalowanie klucza rejestrującego lub podanie poświadczeń atakującemu po sztuczkach inżynierii społecznej. Mogą również zostać naruszone w wyniku łatwych do odgadnięcia pytań bezpieczeństwa.
Jeśli podejmiesz odpowiednie środki bezpieczeństwa, nie będzie łatwo "zhakować" twoich kont. Pomocne może być również uwierzytelnianie dwuskładnikowe - osoba atakująca będzie potrzebować czegoś więcej niż tylko hasła.
Image Credit: Robbert van der Steeg w serwisie Flickr, asenat on Flickr