8Sep
Människor pratar om att deras onlinekonton är "hackade", men hur händer exakt denna hacking? Verkligheten är att konton hackas på ganska enkla sätt - angripare använder inte svart magi.
Kunskap är makt. Att förstå hur konton faktiskt äventyras kan hjälpa dig att säkra dina konton och förhindra att dina lösenord blir "hackade" i första hand.
Återanvända lösenord, speciellt läckta
Många - kanske till och med de flesta - återanvänd lösenord för olika konton. Vissa människor kan till och med använda samma lösenord för varje konto de använder. Detta är extremt osäkert. Många webbplatser - även stora, kända som LinkedIn och eHarmony - har haft sina lösenordsdatabaser läckta de senaste åren. Databaser av läckta lösenord tillsammans med användarnamn och e-postadresser är lättillgängliga online. Attackers kan prova dessa kombinationer av e-postadresser, användarnamn och lösenord på andra webbplatser och få tillgång till många konton.
Återanvändning av ett lösenord för ditt e-postkonto gör att du är ännu mer utsatt eftersom ditt e-postkonto kan användas för att återställa alla dina andra lösenord om en angripare fått tillgång till det.
Men bra du är att säkra dina lösenord, du kan inte kontrollera hur väl de tjänster du använder skyddar dina lösenord. Om du återanvänd lösenord och ett företag glider upp, kommer alla dina konton att ligga i fara. Du borde använda olika lösenord överallt - en lösenordschef kan hjälpa till med detta.
Keyloggers
Keyloggers är skadliga programvaror som kan springa i bakgrunden och loggar varje tangentslag du gör. De brukar användas för att fånga känsliga data som kreditkortsnummer, lösenord för onlinebanker och andra kontonuppgifter. De skickar sedan dessa data till en angripare via Internet.
Sådana skadliga program kan komma fram via exploits - till exempel om du använder en gammal version av Java, eftersom de flesta datorer på Internet är, kan du äventyras genom en Java-applet på en webbsida. Men de kan också komma fram dolda i annan mjukvara. Till exempel kan du hämta ett tredjepartsverktyg för ett onlinespel. Verktyget kan vara skadligt, fånga ditt spellösenord och skicka det till angriparen via Internet.
Använd ett anständigt antivirusprogram, behåll din programvara uppdaterad och undvik att ladda ner otillförlitlig programvara.
Socialteknik
Attackers använder också vanliga tricks för socialt bruk för att få tillgång till dina konton. Phishing är en allmänt känd form av socialteknik. I huvudsak utövar angriparen någon och frågar efter ditt lösenord. Vissa användare lämnar sina lösenord snabbt. Här är några exempel på socialteknik:
- Du får ett e-postmeddelande som hävdar att du kommer från din bank och riktar dig till en falsk banks hemsida och ber dig fylla i ditt lösenord.
- Du får ett meddelande på Facebook eller någon annan social webbplats från en användare som hävdar att det är ett officiellt Facebook-konto och frågar dig att skicka ditt lösenord för att autentisera dig själv.
- Du besöker en webbplats som lovar att ge dig något värdefullt, till exempel gratis spel på Steam eller gratis guld i World of Warcraft. För att få denna falska belöning kräver webbplatsen ditt användarnamn och lösenord för tjänsten.
Var försiktig med vem du ger ditt lösenord till - klicka inte på länkar i e-post och gå till din banks hemsida, ge inte bort ditt lösenord till alla som kontaktar dig och begär det och ge inte ditt kontouppgifter tillotillförlitliga webbplatser, särskilt de som verkar för bra för att vara sanna.
Svara på säkerhetsfrågor
Lösenord kan ofta återställas genom att besvara säkerhetsfrågor. Säkerhetsfrågor är i allmänhet otroligt svaga - ofta saker som "Var föddes du?", "Vilken gymnasie gick du till?" Och "Vad var din mammas namn?".Det är ofta mycket lätt att hitta den här informationen på allmänt tillgängliga sociala nätverk, och de flesta vanliga människor skulle berätta vilken gymnasium de gick till om de blev tillfrågade. Med denna lättillgängliga information kan angripare ofta återställa lösenord och få tillgång till konton.
Helst bör du använda säkerhetsfrågor med svar som inte lätt upptäcks eller gissas. Webbplatser bör också hindra människor från att få tillgång till ett konto bara för att de känner till svaren på några säkerhetsfrågor, och vissa gör - men vissa gör det fortfarande inte.
E-postkonto och lösenord återställs
Om en angripare använder någon av ovanstående metoder för att få tillgång till dina e-postkonton, har du större problem. Ditt e-postkonto fungerar som huvudkonto som ditt huvudkonto online. Alla andra konton du använder är kopplade till den, och alla som har tillgång till e-postkontot kan använda den för att återställa dina lösenord på vilket antal webbplatser du registrerade hos e-postadressen.
Av denna anledning bör du säkra ditt mailkonto så mycket som möjligt. Det är särskilt viktigt att använda ett unikt lösenord för det och skydda det försiktigt.
Vilket lösenord "Hacking" är inte
De flesta tror sannolikt att angripare försöker varje enskilt lösenord för att logga in på deras online-konto. Det här händer inte. Om du försökte logga in på någons online-konto och fortsatte gissa lösenord, skulle du sakta ner och förhindra att försöka mer än en handfull lösenord.
Om en angripare kunde komma in i ett onlinekonto bara genom att gissa lösenord, är det troligt att lösenordet var något uppenbart som kan gissas under de första försöken, till exempel "lösenord" eller namnet på personens husdjur.
Attackers kan bara använda sådana brutna kraftmetoder om de hade lokal åtkomst till dina data. Låt oss säga att du lagrade en krypterad fil i ditt Dropbox-konto och angriparna fick tillgång till det och hämtade den krypterade filen. De kan då försöka brute-force krypteringen, i huvudsak försöker varje enskild lösenordskombination tills en fungerar.
Människor som säger att deras konton har blivit "hackade" är troligen skyldiga att återanvända lösenord, installera en nyckellogg eller ge sina referenser till en angripare efter sociala manipulationstryck. De kan också ha äventyras till följd av lätt gissade säkerhetsfrågor.
Om du vidtar lämpliga säkerhetsåtgärder är det inte lätt att "hacka" dina konton. Användning av tvåfaktors autentisering kan också hjälpa till - en angripare behöver mer än bara ditt lösenord för att komma in.
Bildkredit: Robbert van der Steeg på Flickr, asenat på Flickr