8Sep
אנשים מדברים על חשבונות מקוונים שלהם להיות "פרוצים", אבל איך בדיוק זה פריצה לקרות?המציאות היא שחשבונות נפרצים בדרכים פשוטות למדי - התוקפים לא משתמשים בקסמים שחורים.
ידע הוא כוח.הבנת האופן שבו חשבונות נפרצים בפועל יכולה לעזור לך לאבטח את החשבונות שלך ולמנוע את הסיסמאות שלך מלהיות "פרוצים" מלכתחילה.
שימוש חוזר סיסמאות, במיוחד דלף
אנשים רבים - אולי אפילו רוב האנשים - לעשות שימוש חוזר סיסמאות עבור חשבונות שונים.אנשים מסוימים עשויים להשתמש באותה סיסמה עבור כל חשבון שבו הם משתמשים.זה מאוד לא בטוח.אתרים רבים - אפילו גדולים, ידועים כמו LinkedIn ו- eHarmony - היו מסדי נתונים הסיסמה שלהם דלף בשנים האחרונות.מסדי נתונים של סיסמאות דלף יחד עם שמות משתמשים וכתובות דוא"ל הם נגישים באופן מקוון באינטרנט.התוקפים יכולים לנסות את השילובים של כתובות דוא"ל, שם משתמש וסיסמאות באתרים אחרים ולקבל גישה לחשבונות רבים.
שימוש חוזר בסיסמה של חשבון הדואר האלקטרוני שלך מעמיד אותך בסיכון גבוה יותר, שכן חשבון הדוא"ל שלך יכול לשמש לאיפוס כל הסיסמאות האחרות שלך אם התוקף קיבל גישה אליו.
עם זאת, טוב שאתה מאובטח הסיסמאות שלך, אתה לא יכול לשלוט כמה טוב את השירותים שאתה משתמש מאובטח הסיסמאות שלך.אם תעשה שימוש חוזר בסיסמאות וחברה אחת תחליק, כל החשבונות שלך יהיו בסיכון.אתה צריך להשתמש בסיסמאות שונות בכל מקום - מנהל סיסמה יכול לעזור עם זה.
Keyloggers
Keyloggers הם חתיכות זדוניות של תוכנה שיכולה לרוץ ברקע, רישום כל שבץ מפתח שתבצע.הם משמשים לעתים קרובות ללכידת נתונים רגישים כגון מספרי כרטיסי אשראי, סיסמאות בנקאיות מקוונות ואישורי חשבון אחרים.לאחר מכן הם שולחים נתונים אלה לתוקף דרך האינטרנט.
תוכנות זדוניות מסוג זה יכולות להגיע דרך מנצלים - לדוגמה, אם אתה משתמש בגירסה מיושנת של Java, מאחר שרוב המחשבים באינטרנט הם, אתה יכול להיות בסכנה באמצעות יישומון Java בדף אינטרנט.עם זאת, הם יכולים גם להגיע מוסווה בתוכנות אחרות.לדוגמה, תוכל להוריד כלי צד שלישי למשחק מקוון.הכלי עשוי להיות זדוני, ללכוד את סיסמת המשחק שלך ולשלוח אותו לתוקף דרך האינטרנט.
להשתמש בתוכנית אנטי וירוס הגון, לשמור על התוכנה מעודכנת, ולהימנע הורדת תוכנות לא אמין.
הנדסה חברתית
תוקפים גם בדרך כלל להשתמש בטריקים הנדסיים חברתיים כדי לגשת לחשבונות שלך.דיוג הוא צורה ידועה של הנדסה חברתית - למעשה, התוקף מתחזה למישהו ומבקש את הסיסמה שלך.חלק מהמשתמשים מעבירים את הסיסמאות שלהם בקלות.הנה כמה דוגמאות להנדסה חברתית:
- אתה מקבל הודעת דוא"ל הטוענת כי היא מהבנק שלך, מפנה אותך לאתר בנק מזויף ומבקש ממך למלא את הסיסמה שלך.
- אתה מקבל הודעה בפייסבוק או בכל אתר חברתי אחר ממשתמש הטוען שהוא חשבון פייסבוק רשמי, המבקש ממך לשלוח את הסיסמה שלך כדי לאמת את עצמך.
- אתה מבקר באתר שמבטיח לתת לך משהו בעל ערך, כגון משחקים חינם על קיטור או זהב חינם בעולם של וורקראפט.כדי לקבל פרס מזויף זה, האתר דורש את שם המשתמש והסיסמה עבור השירות.
היזהר לגבי מי אתה נותן את הסיסמה שלך - אל תלחץ על קישורים בדוא"ל ועבור לאתר האינטרנט של הבנק שלך, אל תסגיר את הסיסמה שלך לכל מי שמקשר אותך ולבקש את זה, ואל תיתן את פרטי החשבון שלך ל-אתרים לא מהימנים, במיוחד אלה שמופיעים טוב מכדי להיות אמיתיים.
שאלות אבטחה בנושא
ניתן לאפס סיסמאות על-ידי מענה לשאלות אבטחה.שאלות אבטחה הן בדרך כלל חלשות להפליא - לעתים קרובות דברים כמו "איפה נולדת?", "איזה בית ספר תיכון ניגשת אליו?", ו"מה היה שם הנעורים של אמך? ".זה לעתים קרובות מאוד קל למצוא מידע זה על אתרי רשת חברתית נגיש לציבור, ורוב האנשים הרגילים יגידו לך מה בית הספר התיכון הם הלכו אם הם נשאלו.עם מידע זה קל לקבל, התוקפים יכולים לעתים קרובות לאפס סיסמאות ולקבל גישה לחשבונות.
באופן אידיאלי, עליך להשתמש בשאלות אבטחה עם תשובות שאינן מתגלות בקלות או מנחשות.אתרי אינטרנט צריכים גם למנוע מאנשים לקבל גישה לחשבון רק משום שהם יודעים את התשובות לשאלות אבטחה מסוימות, וחלקם עושים - אבל עדיין לא.אימייל חשבון איפוס סיסמאות
אם תוקף משתמש באחת מהשיטות שלמעלה כדי לקבל גישה לחשבונות הדוא"ל שלך, אתה בצרות גדולות יותר.חשבון האימייל שלך מתפקד בדרך כלל כחיפוש הראשי שלך באינטרנט.כל החשבונות האחרים שבהם אתה משתמש מקושרים אליו, וכל מי שיש לו גישה לחשבון הדוא"ל יכול להשתמש בו כדי לאפס את הסיסמאות שלך בכל מספר של אתרים שרשמת בכתובת הדוא"ל.
מסיבה זו, אתה צריך לאבטח את חשבון הדוא"ל שלך ככל האפשר.חשוב במיוחד להשתמש בסיסמה ייחודית עבורו ולשמור עליה בקפידה.
מה הסיסמה "פריצה" לא
רוב האנשים כנראה לדמיין את התוקפים מנסה כל סיסמה אחת אפשרית להיכנס לחשבון המקוון שלהם.זה לא קורה.אם ניסית להיכנס לחשבון המקוון של מישהו והמשיך לנחש סיסמאות, אתה תהיה האטה ולמנוע מנסה יותר קומץ סיסמאות.
אם התוקף היה מסוגל להיכנס לחשבון מקוון רק על ידי ניחוש סיסמאות, סביר להניח כי הסיסמה היה משהו ברור שניתן לנחש על ניסיונות הראשונים, כגון "סיסמה" או את שם חיית המחמד של האדם.
התוקפים יכולים להשתמש רק בשיטות כוח הזרוע הללו אם היו להם גישה מקומית לנתונים שלך - לדוגמה, נניח שנשמרת קובץ מוצפן בחשבון Dropbox שלך והתוקפים זכו לגישה אליו והורידו את הקובץ המוצפן.לאחר מכן הם יכולים לנסות בכוח בכוח ההצפנה, בעצם מנסה כל שילוב סיסמה אחת עד אחד עובד.
אנשים שאומרים שהחשבונות שלהם "נפרצו" עשויים להיות אשמים בשימוש חוזר בסיסמאות, בהתקנת לוגר מפתח או בהענקת אישורים לתוקף לאחר תרגילי הנדסה חברתית.הם עשויים גם להיות בסכנה כתוצאה של שאלות אבטחה לנחש בקלות.
אם תנקוט אמצעי זהירות מתאימים, לא יהיה קל "לפרוץ" את החשבונות שלך.שימוש באימות שני גורמים יכול לעזור גם - תוקף יצטרך יותר מאשר רק את הסיסמה כדי להיכנס.
תמונה אשראי: רוברט ואן דר Steeg על פליקר, asenat על Flickr