8Sep
Lidé mluví o tom, že jejich on-line účty jsou "hackované", ale jak přesně dochází k tomuto hackování?Realita je, že účty jsou hackovány poměrně jednoduchými způsoby - útočníci nepoužívají černé magie.
Znalost je moc. Porozumění tomu, jak jsou účty skutečně ohroženy, vám pomůže zabezpečit vaše účty a předejít tomu, aby vaše hesla byla "napadena" v první řadě.
Opakované používání hesel, zejména úniků
Mnoho lidí - možná i většina lidí - znovu používají hesla pro různé účty. Někteří lidé mohou dokonce použít stejné heslo pro každý účet, který používají.To je velmi nestabilní.Mnoho webových stránek - dokonce i velké, dobře známé, jako jsou LinkedIn a eHarmony - mají během několika posledních let své databáze hesel propuštěné.Databáze uniklých hesel spolu s uživatelskými jmény a e-mailovými adresami jsou snadno dostupné online.Útočníci mohou vyzkoušet tyto kombinace e-mailových adres, uživatelských jmen a hesel na jiných webových stránkách a získat přístup k mnoha účtům.
Opětovné použití hesla pro váš e-mailový účet vás ještě více ohrožuje, protože váš e-mailový účet může být použit k obnovení všech ostatních hesel, pokud k němu přistupuje útočník.
Ať už jste při zabezpečování hesel dobří, nemůžete řídit, jak dobře používané služby zabezpečují vaše hesla. Pokud opětovně použijete hesla a jedna společnost klesne, budou všechny vaše účty ohroženy. Měli byste používat všude různá hesla - s tím vám to pomůže správce hesel.
Keyloggery
Keyloggery jsou škodlivé části softwaru, které lze spustit na pozadí a zaznamenávat každý klíčový tah, který uděláte.Často se používají k zachycení citlivých dat, jako jsou čísla kreditních karet, hesla online bankovnictví a další pověření účtu. Potom tyto údaje odesílají útočníkovi prostřednictvím internetu.
Takový malware může přicházet prostřednictvím zneužití - například pokud používáte zastaralou verzi Java, jako většina počítačů na Internetu, můžete být napadeni prostřednictvím appletu Java na webové stránce. Mohou však přijít i v jiném softwaru. Můžete například stáhnout nástroj třetí strany pro online hru. Nástroj může být škodlivý, zachytit heslo hry a odeslat ho útočníkovi přes internet.
Používejte slušný antivirový program, aktualizujte svůj software a vyhněte se stahování nedůvěryhodného softwaru.
Sociální inženýrství
Útočníci také běžně používají triky sociálního inženýrství pro přístup k vašim účtům. Phishing je běžně známá forma sociálního inženýrství - v podstatě se útočník vydává za někoho a prosí heslo. Někteří uživatelé odevzdávají hesla snadno. Zde jsou některé příklady sociálního inženýrství:
- Obdržíte e-mail, který tvrdí, že pochází z vaší banky, směřuje vás na falešnou internetovou stránku banky a požádá vás o vyplnění hesla.
- Obdržíte zprávu na Facebooku nebo na jiné sociální stránce od uživatele, který tvrdí, že je oficiálním účtem Facebook, a požádá vás o zaslání hesla k ověření se.
- Navštívíte webovou stránku, která slibuje, že vám dá něco cenného, jako jsou bezplatné hry na Steam nebo bezplatné zlato ve World of Warcraft. Chcete-li získat tuto falešnou odměnu, webové stránky vyžadují vaše uživatelské jméno a heslo pro službu.
Dávejte pozor na to, komu dáte své heslo - neklikněte na odkazy v e-mailových adresách a přejděte na webové stránky banky, nezapomeňte své heslo komukoli, kdo vás kontaktoval a požádá o něj, a neudělejte pověření k účtunedůvěryhodné webové stránky, zejména ty, které vypadají příliš dobře, aby byly pravdivé.
Odpověď na bezpečnostní otázky
Hesla mohou být často resetována odpovědi na bezpečnostní otázky. Bezpečnostní otázky jsou obecně neuvěřitelně slabé - často se jedná o věci, "Kde jste se narodili?", "K čemu jste šli na střední školu?" A "Jaké bylo jméno vašeho matky?".Často je velmi snadné tyto informace nalézt na veřejných sociálních sítích, které jsou přístupné veřejnosti, a většina běžných lidí vám řekne, na jakou vysokou školu chodí, pokud budou požádáni. S tímto snadno přístupným informacem mohou útočníci často obnovovat hesla a získat přístup k účtům.
V ideálním případě byste měli používat bezpečnostní otázky s odpověďmi, které nelze snadno odhalit nebo odhadnout. Webové stránky by také měly zabránit tomu, aby lidé získali přístup k účtu, jen proto, že znají odpovědi na několik otázek týkajících se bezpečnosti, a někteří to - ale někteří stále ještě ne.
e-mailový účet a heslo resetuje
Pokud útočník použije některou z výše uvedených metod k získání přístupu k vašim e-mailovým účtům, máte větší potíže. Váš e-mailový účet obecně funguje jako hlavní účet online. Všechny ostatní účty, které používáte, jsou k němu propojeny a každý, kdo má přístup k e-mailovému účtu, by mohl použít heslo k obnovení hesla na libovolném počtu webů, které jste registrovali pomocí e-mailové adresy.
Z tohoto důvodu byste měli co nejvíce zabezpečit svůj e-mailový účet. Je obzvláště důležité používat pro něj jedinečné heslo a pečlivě ho střežit.
Které heslo "Hackování" není
Většina lidí si pravděpodobně představí, že útočníci zkoušejí každé možné heslo pro přihlášení do svého účtu online. To se neděje. Pokud jste se pokoušeli přihlásit do něčího online účtu a pokračovali v hádání hesel, zpomalili byste a zabránili pokusit se více než hrst hesel.
Pokud byl útočník schopen dostat se do online účtu pouze hádat hesla, je pravděpodobné, že heslo bylo něco zřejmé, které mohlo být odhadnuto v prvních několika pokusech, například "heslo" nebo jméno zvířete.
Útočníci mohli použít takové metody brute-force pouze tehdy, kdyby měli místní přístup k vašim datům - například řekněme, že jste uložili šifrovaný soubor do vašeho účtu Dropbox a útočníci získali přístup k němu a stáhli šifrovaný soubor. Mohli by se pak pokusit brutálně vynutit šifrování, v podstatě se snažili každou kombinaci hesel, dokud jedna nebude fungovat.
Lidé, kteří říkají, že jejich účty byly "hacknuty", jsou pravděpodobné, že jsou vinou opětovného použití hesel, instalace klíčového loggeru nebo poskytnutí pověření útočníkovi po technických tritech. Mohly být také ohroženy v důsledku snadno odhadnutých bezpečnostních otázek.
Pokud přijmete vhodná bezpečnostní opatření, nebude snadné "hackovat" vaše účty. Použití dvoufaktorové autentizace může také pomoci - útočník bude potřebovat víc než jen heslo, abyste se dostali dovnitř.
Image Credit: Robbert van der Steeg na Flickru, asenat na Flickr