Les contrasenyes d’usuaris, qualsevol que sigui la contrasenya que tinguin: des del correu electrònic, la banca en línia, la connexió Wi-Fi o des dels comptes de Vkontakte i Odnoklassniki, recentment s’ha convertit en un esdeveniment freqüent. Això es deu principalment al fet que els usuaris no compleixen amb regles de seguretat bastant senzilles quan creen, emmagatzemen i utilitzen contrasenyes. Però aquesta no és l’única raó per la qual les contrasenyes poden caure en mans equivocades.
Aquest article proporciona informació detallada sobre quins mètodes es poden utilitzar per trencar contrasenyes d’usuaris i per què és vulnerable a aquests atacs. I al final trobareu una llista de serveis en línia que us farà saber si la vostra contrasenya ja ha estat compromesa. També hi haurà (ja) un segon article sobre el tema, però us recomanem que el llegeixi de la ressenya actual i només passem a la següent.
Actualització: el següent material està preparat: sobre la seguretat de les contrasenyes, que descriu com protegir al màxim els vostres comptes i contrasenyes.
Quins mètodes s’utilitzen per trencar contrasenyes
Per a la pirateria de contrasenyes no s’utilitza una àmplia gamma de tècniques diferents. Gairebé tots es coneixen i gairebé qualsevol compromís d’informació confidencial s’aconsegueix mitjançant l’ús de mètodes individuals o de les seves combinacions.
Phishing
La forma més comuna que avui es "treu" per les contrasenyes dels serveis de correu electrònic populars i de les xarxes socials és la pesca, i aquest mètode funciona per a un percentatge molt gran d’usuaris.
L’essència del mètode és que us trobeu en un lloc familiar (el mateix Gmail, VC o Odnoklassniki, per exemple) i, per un motiu o altre, us demanem que introduïu el vostre nom d’usuari i contrasenya (per iniciar sessió, confirmar alguna cosa, per al seu canvi, etc.). Immediatament després d’introduir la contrasenya és d’intrusos.
Com succeeix: podeu rebre una carta, suposadament del servei de suport, que indica que heu d’iniciar sessió al vostre compte i que s’ofereix un enllaç quan canvieu a aquest lloc, que copia exactament l’original. És possible que després d’instal·lar aleatòriament un programari no desitjat a l’ordinador, la configuració del sistema canviï de manera que quan introduïu l’adreça del lloc que necessiteu a la barra d’adreça del navegador, realment arribeu a un lloc de pesca dissenyat exactament de la mateixa manera.
Com ja he assenyalat, molts usuaris s'enfronten a això i, generalment, això es deu a la descuit:
- Quan rebeu una carta que, d'una manera o altra, us ofereix per iniciar sessió al vostre compte en un lloc determinat, presteu atenció si s’ha enviat o no des de l’adreça de correu electrònic d’aquest lloc: normalment s’utilitzen adreces similars. Per exemple, en lloc de [email protected], pot ser [email protected] o alguna cosa similar. Tanmateix, l’adreça correcta no sempre garanteix que tot estigui en ordre.
- Abans d’introduir la vostra contrasenya en qualsevol lloc, mireu-vos amb cura a la barra d’adreça del vostre navegador. En primer lloc, cal indicar exactament el lloc al qual voleu anar. Tanmateix, en el cas del malware en un ordinador, això no és suficient. També heu de prestar atenció a la presència de xifratge de la connexió, que es pot determinar utilitzant el protocol https en comptes d’Inspector http i la imatge del "bloqueig" a la barra d’adreça, fent clic a sobre d’aquest lloc. Gairebé tots els recursos seriosos que necessiten iniciar sessió al vostre compte utilitzen xifratge.
Per cert, notaré que tant els atacs de phishing com els mètodes de cerca de contrasenyes (que es descriuen a continuació) no impliquen la tasca meticulosa d’una persona (és a dir, no necessiten introduir un milió de contrasenyes manualment). Tot això es realitza mitjançant programes especials de forma ràpida i en grans quantitats. , i després informeu sobre l’avanç de l’atacant. A més, aquests programes poden funcionar no a l'ordinador de l'hacker, sinó secretament al vostre i entre milers d'altres usuaris, cosa que augmenta considerablement l'eficàcia dels hacks.
Selecció de contrasenya
Els atacs amb recuperació de contrasenyes (Força Bruta, força bruta en rus) també són força habituals. Si fa uns quants anys, la majoria d’aquests atacs eren realment una recerca a través de totes les combinacions d’un determinat conjunt de caràcters per compondre contrasenyes d’una certa longitud, aleshores tot és una mica més senzill (per als pirates informàtics).
L’anàlisi de milions de contrasenyes que s’ha escapat en els darrers anys mostra que menys de la meitat d’elles són úniques, mentre que en aquells llocs on viuen la majoria els usuaris sense experiència, el percentatge és bastant petit.
Què significa això? En general, el pirata informàtic no ha de passar per incomptables milions de combinacions: tenir una base de 10-15 milions de contrasenyes (un nombre aproximat, però proper a la veritat) i substituir només aquestes combinacions, pot piratejar gairebé la meitat dels comptes de qualsevol lloc.
En el cas d’un atac dirigit a un compte específic, a més de la base, es pot utilitzar la força bruta simple i el programari modern permet fer-ho relativament ràpid: es pot trencar una contrasenya de 8 caràcters en qüestió de dies (i si aquests personatges són una data o una combinació de i les dates, que no són infreqüents - en minuts).
Tingueu en compte: Si utilitzeu la mateixa contrasenya per a diferents llocs i serveis, llavors tan aviat com la vostra contrasenya i la vostra adreça de correu electrònic estiguin compromeses en qualsevol d’ells, l’ajuda d’un programari especial la provarà en centenars d’altres llocs web. Per exemple, immediatament després de la fuga de diversos milions de contrasenyes de Gmail i Yandex a finals de l'any passat, es va originar una onada de comptes de hacking d’Origen, Steam, Battle.net i Uplay (crec que molts altres, només per als serveis de joc especificats que es van posar en contacte repetidament).
Hacking sites i obtenció de contrasenyes
La majoria de llocs seriosos no emmagatzemen la vostra contrasenya en la forma en què la coneixeu. Només s’emmagatzema un hash a la base de dades: el resultat d’aplicar una funció irreversible (és a dir, no podeu recuperar la contrasenya d’aquest resultat) a la contrasenya. Quan inicieu sessió al lloc, es torna a calcular el hash i, si coincideix amb allò emmagatzemat a la base de dades, heu introduït la contrasenya correctament.
Com és fàcil d'endevinar, són els hashes emmagatzemats, i no les mateixes, per motius de seguretat, de manera que quan un hacker entra a la base de dades i el rebi, no podrà utilitzar la informació i aprendre les contrasenyes.
No obstant això, sovint pot fer-ho:
- Per calcular el hash, s’utilitzen certs algoritmes, la majoria coneguts i comuns (és a dir, qualsevol pot utilitzar-los).
- Tenir bases de dades amb milions de contrasenyes (a partir d'una clàusula de força bruta), un atacant també té accés als hashes d'aquestes contrasenyes, calculats amb tots els algorismes disponibles.
- En comparar la informació de la base de dades i de les contrasenyes resultants de la vostra pròpia base de dades, podeu determinar quin algorisme s’utilitza i trobar les contrasenyes reals per a una part dels registres de la base de dades mitjançant una comparació senzilla (per a tots els que no siguin únics). I les eines de força bruta us ajudaran a aprendre la resta de contrasenyes úniques, però curtes.
Com podeu veure, les reclamacions de màrqueting de diversos serveis que no emmagatzemen les vostres contrasenyes al vostre lloc no us protegeixen necessàriament de la seva fuita.
Spyware (SpyWare)
SpyWare o programari espia: una àmplia gamma de programes maliciosos instal·lats de manera secreta en un ordinador (el programari espia també es pot incloure com a part d’un programari necessari) i recopila la informació de l’usuari.
Entre altres coses, es poden utilitzar certs tipus de SpyWare, per exemple, keyloggers (programes que fan el seguiment de les tecles que premeu) o analitzadors de trànsit amagats (i s'utilitzen) per obtenir contrasenyes d’usuaris.
Preguntes sobre enginyeria social i recuperació de contrasenyes
Com ens diu la Wikipedia, l’enginyeria social és un mètode d’accés a la informació basat en les característiques de la psicologia d’una persona (això inclou el phishing esmentat anteriorment). A Internet, podeu trobar molts exemples d’ús d’enginyeria social (recomano la cerca i la lectura, això és interessant), alguns dels quals són sorprenents per la seva elegància. En general, el mètode es redueix al fet que gairebé qualsevol informació necessària per accedir a informació confidencial es pot obtenir mitjançant debilitats humanes.
I només donaré un exemple senzill i no especialment elegant relacionat amb les contrasenyes. Com ja sabeu, en molts llocs per a la recuperació de contrasenyes, n'hi ha prou amb introduir la resposta a la pregunta de control: quina escola vau assistir, el nom de soltera de la mare, el nom de la mascota ... Fins i tot si encara no heu publicat aquesta informació en accés obert a les xarxes socials, creieu que és difícil si utilitzeu les mateixes xarxes socials, familiaritzar-vos amb vosaltres o conèixer-les de manera discreta?
Com saber que la vostra contrasenya ha estat piratada
Bé i, al final de l’article, diversos serveis que us permeten esbrinar si la vostra contrasenya s’ha trencat, comprovant la vostra adreça de correu electrònic o el nom d’usuari amb bases de dades de contrasenyes a les quals es va accedir el pirata informàtic. (Estic una mica sorprès que entre ells hi hagi un percentatge massa significatiu de bases de dades de serveis de llengua russa).
- //haveibeenpwned.com/
- //breachalarm.com/
- //pwnedlist.com/query
Heu trobat el vostre compte a la llista de pirates informàtics coneguts? Té sentit canviar la contrasenya, però amb més detall sobre les pràctiques segures en relació amb les contrasenyes de comptes, escriuré en els propers dies.
