கடவுச்சொற்களை ஹேக்கிங் செய்வது, கடவுச்சொற்கள் எதுவாக இருந்தாலும் - அஞ்சல், ஆன்லைன் வங்கி, வைஃபை அல்லது VKontakte மற்றும் Odnoklassniki கணக்குகளிலிருந்து, சமீபத்தில் ஒரு அடிக்கடி நிகழ்வாகிவிட்டது. கடவுச்சொற்களை உருவாக்கும் போது, சேமிக்கும் போது மற்றும் பயன்படுத்தும்போது பயனர்கள் மிகவும் எளிமையான பாதுகாப்பு விதிகளை கடைப்பிடிக்காததே இதற்கு பெரும்பாலும் காரணம். கடவுச்சொற்கள் தவறான கைகளில் விழ ஒரே காரணம் இதுவல்ல.
பயனர் கடவுச்சொற்களை சிதைக்க என்ன வழிமுறைகளைப் பயன்படுத்தலாம் மற்றும் இதுபோன்ற தாக்குதல்களுக்கு நீங்கள் ஏன் பாதிக்கப்படுகிறீர்கள் என்பது பற்றிய விரிவான தகவல்களை இந்த கட்டுரை வழங்குகிறது. முடிவில், உங்கள் கடவுச்சொல் ஏற்கனவே சமரசம் செய்யப்பட்டுள்ளதா என்பதை உங்களுக்குத் தெரிவிக்கும் ஆன்லைன் சேவைகளின் பட்டியலைக் காண்பீர்கள். தலைப்பில் இரண்டாவது கட்டுரை (ஏற்கனவே உள்ளது) இருக்கும், ஆனால் தற்போதைய மதிப்பாய்வு மூலம் வாசிப்பைத் தொடங்க நான் பரிந்துரைக்கிறேன், பின்னர் மட்டுமே அடுத்ததுக்குச் செல்லலாம்.
புதுப்பிப்பு: பின்வரும் பொருள் தயாராக உள்ளது - கடவுச்சொல் பாதுகாப்பு பற்றி, இது உங்கள் கணக்குகள் மற்றும் கடவுச்சொற்களின் பாதுகாப்பை எவ்வாறு அதிகரிப்பது என்பதை விவரிக்கிறது.
கடவுச்சொற்களை சிதைக்க என்ன முறைகள் பயன்படுத்தப்படுகின்றன?
கடவுச்சொற்களை சிதைக்க, அவ்வளவு பரந்த அளவிலான பல்வேறு நுட்பங்கள் பயன்படுத்தப்படுகின்றன. ஏறக்குறைய அவை அனைத்தும் அறியப்பட்டவை மற்றும் ரகசிய தகவல்களின் எந்தவொரு சமரசமும் தனிப்பட்ட முறைகள் அல்லது அவற்றின் சேர்க்கைகள் மூலம் அடையப்படுகின்றன.
ஃபிஷிங்
பிரபலமான மின்னஞ்சல் சேவைகள் மற்றும் சமூக வலைப்பின்னல்களின் கடவுச்சொற்கள் இன்றுவரை "திசை திருப்பப்படுகின்றன" என்பது ஃபிஷிங் ஆகும், மேலும் இந்த முறை மிகப் பெரிய சதவீத பயனர்களுக்கு வேலை செய்கிறது.
முறையின் சாராம்சம் என்னவென்றால், நீங்கள் நன்கு தெரிந்த ஒரு தளத்திற்கு (எடுத்துக்காட்டாக, அதே ஜிமெயில், வி.கே அல்லது ஓட்னோக்ளாஸ்னிகி) வருகிறீர்கள், மேலும் ஒரு காரணத்திற்காக அல்லது இன்னொரு காரணத்திற்காக உங்கள் பயனர்பெயர் மற்றும் கடவுச்சொல்லை உள்ளிடுமாறு கேட்கப்படுகிறீர்கள் (உள்ளிட, ஏதாவது உறுதிப்படுத்த, அதை மாற்ற, முதலியன). கடவுச்சொல்லை உள்ளிட்ட உடனேயே, தாக்குபவர் தன்னைக் கண்டுபிடிப்பார்.
இது எவ்வாறு நிகழ்கிறது: ஆதரவு சேவையிலிருந்து கூறப்படும் ஒரு கடிதத்தை நீங்கள் பெறலாம், உங்கள் கணக்கில் உள்நுழைய வேண்டியதன் அவசியத்தைப் பற்றி உங்களுக்குத் தெரிவிக்கும் மற்றும் ஒரு இணைப்பைக் கொடுத்தால், நீங்கள் அந்த தளத்திற்குச் செல்லும்போது, அசலை சரியாக நகலெடுக்கும் வலைத்தளம் திறக்கப்படுகிறது. ஒரு கணினியில் தேவையற்ற மென்பொருளை தற்செயலாக நிறுவிய பின், கணினி அமைப்புகள் மாற்றப்படுவதால், உலாவி முகவரிப் பட்டியில் உங்களுக்குத் தேவையான தளத்தின் முகவரியை உள்ளிடும்போது, அதே வழியில் வடிவமைக்கப்பட்ட ஃபிஷிங் தளத்தைப் பெறுவீர்கள்.
நான் ஏற்கனவே குறிப்பிட்டபடி, நிறைய பயனர்கள் இதைக் காண்கிறார்கள், பொதுவாக இது கவனக்குறைவால் ஏற்படுகிறது:
- ஒரு குறிப்பிட்ட தளத்தில் உங்கள் கணக்கில் உள்நுழைய ஒரு வடிவத்தில் அல்லது இன்னொரு வடிவத்தில் உங்களை அழைக்கும் கடிதத்தைப் பெறும்போது, இந்த தளத்தின் அஞ்சல் முகவரியிலிருந்து இது உண்மையில் அனுப்பப்பட்டதா என்பதில் கவனம் செலுத்துங்கள்: இதே போன்ற முகவரிகள் பொதுவாகப் பயன்படுத்தப்படுகின்றன. எடுத்துக்காட்டாக, [email protected] க்கு பதிலாக, [email protected] அல்லது அது போன்ற ஏதாவது இருக்கலாம். இருப்பினும், சரியான முகவரி எப்போதும் எல்லாம் ஒழுங்காக இருப்பதாக உத்தரவாதம் அளிக்காது.
- உங்கள் கடவுச்சொல்லை எங்காவது உள்ளிடுவதற்கு முன், உங்கள் உலாவியின் முகவரி பட்டியை கவனமாக பாருங்கள். முதலில், நீங்கள் செல்ல விரும்பும் தளம் அங்கு குறிக்கப்பட வேண்டும். இருப்பினும், கணினியில் தீம்பொருள் விஷயத்தில், இது போதாது. இணைப்பின் குறியாக்கத்தின் இருப்பு குறித்தும் நீங்கள் கவனம் செலுத்த வேண்டும், இது http க்கு பதிலாக https நெறிமுறையையும் முகவரி பட்டியில் உள்ள "பூட்டின்" படத்தையும் பயன்படுத்துவதன் மூலம் தீர்மானிக்க முடியும், இந்த தளத்தில் நீங்கள் இருப்பதை சரிபார்க்க முடியும் என்பதைக் கிளிக் செய்வதன் மூலம். கணக்கு உள்நுழைவு பயன்பாட்டு குறியாக்கம் தேவைப்படும் கிட்டத்தட்ட அனைத்து தீவிர ஆதாரங்களும்.
மூலம், ஃபிஷிங் தாக்குதல்கள் மற்றும் கடவுச்சொல் கிராக்கிங் முறைகள் (கீழே விவரிக்கப்பட்டுள்ளன) இன்று ஒரு நபரின் கடினமான மற்றும் மந்தமான வேலையைக் குறிக்கவில்லை என்பதை நான் இங்கு கவனிக்கிறேன் (அதாவது, அவர் கைமுறையாக ஒரு மில்லியன் கடவுச்சொற்களை உள்ளிட தேவையில்லை) - இவை அனைத்தும் சிறப்புத் திட்டங்களால் விரைவாகவும் பெரிய அளவிலும் செய்யப்படுகின்றன , பின்னர் வெற்றியைத் தாக்குபவருக்குத் தெரிவிக்கவும். மேலும், இந்த நிரல்கள் ஹேக்கரின் கணினியில் வேலை செய்யாமல் போகலாம், ஆனால் ரகசியமாக உங்களிடமும் ஆயிரக்கணக்கான பிற பயனர்களிடமும் செயல்படலாம், இது சில நேரங்களில் ஹேக்கிங்கின் செயல்திறனை அதிகரிக்கும்.
கடவுச்சொல் பொருத்தம்
கடவுச்சொல் யூகத்தைப் பயன்படுத்தி தாக்குதல்கள் (முரட்டு சக்தி, ரஷ்ய மொழியில் முரட்டு சக்தி) மிகவும் பொதுவானவை. சில ஆண்டுகளுக்கு முன்பு, இந்த தாக்குதல்களில் பெரும்பாலானவை ஒரு குறிப்பிட்ட நீளத்தின் கடவுச்சொற்களை உருவாக்குவதற்கு ஒரு குறிப்பிட்ட கதாபாத்திரங்களின் அனைத்து சேர்க்கைகளையும் கணக்கிட்டன, ஆனால் இந்த நேரத்தில் எல்லாம் ஓரளவு எளிமையானது (ஹேக்கர்களுக்கு).
கடந்த ஆண்டுகளில் கசிந்த மில்லியன் கணக்கான கடவுச்சொற்களின் பகுப்பாய்வு அவற்றில் பாதிக்கும் குறைவானது தனித்துவமானது என்பதைக் காட்டுகிறது, அதே நேரத்தில் பெரும்பாலும் அனுபவமற்ற தளங்களின் சதவீதம் “அனுபவமற்றது”.
இதன் பொருள் என்ன? பொதுவான விஷயத்தில், கணக்கிட முடியாத மில்லியன் கணக்கான சேர்க்கைகள் மூலம் ஹேக்கருக்கு வரிசைப்படுத்த தேவையில்லை: 10-15 மில்லியன் கடவுச்சொற்களின் அடிப்படை (தோராயமான எண், ஆனால் உண்மைக்கு நெருக்கமானது) மற்றும் இந்த சேர்க்கைகளை மட்டுமே மாற்றுவதன் மூலம், அவர் எந்த தளத்திலும் கிட்டத்தட்ட பாதி கணக்குகளை சிதைக்க முடியும்.
ஒரு குறிப்பிட்ட கணக்கில் இலக்கு வைக்கப்பட்ட தாக்குதலில், தரவுத்தளத்திற்கு கூடுதலாக, எளிய முரட்டுத்தனமான சக்தியைப் பயன்படுத்தலாம், மேலும் நவீன மென்பொருள் இதை ஒப்பீட்டளவில் விரைவாகச் செய்ய உங்களை அனுமதிக்கிறது: 8 எழுத்துக்களின் கடவுச்சொல்லை ஒரு சில நாட்களில் சிதைக்க முடியும் (மேலும் இந்த எழுத்துக்கள் ஒரு தேதியை அல்லது பெயர்களின் கலவையை பிரதிநிதித்துவப்படுத்தினால் மற்றும் தேதிகள், அவை வழக்கத்திற்கு மாறானவை அல்ல - நிமிடங்களில்).
தயவுசெய்து கவனிக்கவும்: வெவ்வேறு தளங்கள் மற்றும் சேவைகளுக்கு ஒரே கடவுச்சொல்லை நீங்கள் பயன்படுத்தினால், உங்கள் கடவுச்சொல் மற்றும் அதனுடன் தொடர்புடைய மின்னஞ்சல் முகவரி ஏதேனும் சமரசம் செய்யப்பட்டவுடன், சிறப்பு மென்பொருளின் உதவியுடன் உள்நுழைவு மற்றும் கடவுச்சொல்லின் அதே கலவையானது நூற்றுக்கணக்கான பிற தளங்களில் சோதிக்கப்படும். எடுத்துக்காட்டாக, கடந்த ஆண்டின் இறுதியில் பல மில்லியன் ஜிமெயில் மற்றும் யாண்டெக்ஸ் கடவுச்சொற்கள் கசிந்த உடனேயே, தோற்றம், நீராவி, பேட்டில்.நெட் மற்றும் அப்லே கணக்குகளை ஹேக்கிங் செய்யும் அலை வீசியது (நான் நினைக்கிறேன், மற்றும் பலர், அவர்கள் குறிப்பிட்ட விளையாட்டு சேவைகளில் என்னைத் தொடர்பு கொண்டனர்).
தளங்களை ஹேக்கிங் மற்றும் கடவுச்சொல் ஹாஷ்களைப் பெறுதல்
மிகவும் தீவிரமான தளங்கள் உங்கள் கடவுச்சொல்லை உங்களுக்குத் தெரிந்த வடிவத்தில் சேமிக்காது. ஒரு ஹாஷ் மட்டுமே தரவுத்தளத்தில் சேமிக்கப்படுகிறது - மாற்றமுடியாத செயல்பாட்டைப் பயன்படுத்துவதன் விளைவாக (அதாவது, இந்த முடிவிலிருந்து உங்கள் கடவுச்சொல்லை மீண்டும் பெற முடியாது) கடவுச்சொல்லுக்கு. நீங்கள் தளத்திற்குள் நுழையும்போது, ஹாஷ் மீண்டும் கணக்கிடப்படுகிறது, மேலும் இது தரவுத்தளத்தில் சேமிக்கப்பட்டுள்ளவற்றுடன் பொருந்தினால், நீங்கள் கடவுச்சொல்லை சரியாக உள்ளிட்டுள்ளீர்கள்.
நீங்கள் யூகிக்கிறபடி, இது பாதுகாப்பு காரணங்களுக்காக சேமிக்கப்பட்ட ஹாஷ்கள், மற்றும் கடவுச்சொற்கள் அல்ல - இதனால் சாத்தியமான ஹேக் மற்றும் தாக்குபவர் தரவுத்தளத்தைப் பெறுவதால், அவர் தகவலைப் பயன்படுத்தவும் கடவுச்சொற்களைக் கண்டுபிடிக்கவும் முடியவில்லை.
இருப்பினும், பெரும்பாலும், அவர் இதை செய்ய முடியும்:
- ஹாஷைக் கணக்கிட, சில வழிமுறைகள் பயன்படுத்தப்படுகின்றன, பெரும்பாலானவை - நன்கு அறியப்பட்டவை மற்றும் பொதுவானவை (அதாவது, அனைவரும் அவற்றைப் பயன்படுத்தலாம்).
- மில்லியன் கணக்கான கடவுச்சொற்களைக் கொண்ட தரவுத்தளங்களைக் கொண்டிருப்பது (முரட்டுத்தனமான புள்ளியிலிருந்து), தாக்குபவர் கிடைக்கக்கூடிய அனைத்து வழிமுறைகளையும் பயன்படுத்தி கணக்கிடப்பட்ட இந்த கடவுச்சொற்களின் ஹாஷ்களுக்கும் அணுகலைக் கொண்டுள்ளார்.
- உங்கள் சொந்த தரவுத்தளத்திலிருந்து விளைந்த தரவுத்தளம் மற்றும் கடவுச்சொல் ஹாஷ்களின் தகவல்களை ஒப்பிடுவதன் மூலம், எந்த வழிமுறை பயன்படுத்தப்படுகிறது என்பதை நீங்கள் தீர்மானிக்கலாம் மற்றும் தரவுத்தளத்தில் உள்ள சில உள்ளீடுகளுக்கான உண்மையான கடவுச்சொற்களை எளிய பொருத்தத்தின் மூலம் கண்டுபிடிக்கலாம் (அனைத்து தனித்துவமற்றவைக்கும்). தனித்துவமான, ஆனால் குறுகிய கடவுச்சொற்களைக் கண்டுபிடிக்க முரட்டுத்தனமான கருவிகள் உங்களுக்கு உதவும்.
நீங்கள் பார்க்கிறபடி, உங்கள் கடவுச்சொற்களை அவர்கள் இணையதளத்தில் சேமிக்காத பல்வேறு சேவைகளின் சந்தைப்படுத்தல் அறிக்கைகள் அதன் கசிவிலிருந்து உங்களைப் பாதுகாக்க வேண்டிய அவசியமில்லை.
ஸ்பைவேர் (ஸ்பைவேர்)
ஸ்பைவேர் அல்லது ஸ்பைவேர் - உங்கள் கணினியில் இரகசியமாக நிறுவும் தீங்கிழைக்கும் மென்பொருளின் பரவலானது (ஸ்பைவேர் செயல்பாடுகளையும் தேவையான சில மென்பொருளில் சேர்க்கலாம்) மற்றும் பயனரைப் பற்றிய தகவல்களை சேகரிக்கும்.
மற்றவற்றுடன், சில வகையான ஸ்பைவேர், எடுத்துக்காட்டாக, கீலாக்கர்கள் (உங்கள் விசை அழுத்தங்களைக் கண்காணிக்கும் நிரல்கள்) அல்லது மறைக்கப்பட்ட போக்குவரத்து பகுப்பாய்விகள், பயனர் கடவுச்சொற்களைப் பெற பயன்படுத்தலாம் (பயன்படுத்தப்படுகின்றன).
சமூக பொறியியல் மற்றும் கடவுச்சொல் மீட்பு சிக்கல்கள்
விக்கிபீடியா நமக்குச் சொல்வது போல், சமூக பொறியியல் என்பது மனித உளவியலின் சிறப்பியல்புகளின் அடிப்படையில் தகவல்களை அணுகுவதற்கான ஒரு முறையாகும் (இதில் மேலே குறிப்பிடப்பட்ட ஃபிஷிங் அடங்கும்). இணையத்தில் நீங்கள் சமூக பொறியியலின் பயன்பாட்டிற்கான பல எடுத்துக்காட்டுகளைக் காணலாம் (தேடவும் படிக்கவும் பரிந்துரைக்கிறேன் - இது சுவாரஸ்யமானது), அவற்றில் சில அவற்றின் நேர்த்தியுடன் குறிப்பிடத்தக்கவை. பொதுவாக, ரகசிய தகவல்களை அணுகுவதற்குத் தேவையான எந்தவொரு தகவலையும் மனித பலவீனங்களைப் பயன்படுத்தி பெற முடியும் என்ற உண்மையை இந்த முறை கொதிக்கிறது.
கடவுச்சொற்கள் தொடர்பான எளிய மற்றும் குறிப்பாக நேர்த்தியான வீட்டு உதாரணத்தை மட்டுமே தருகிறேன். உங்களுக்குத் தெரிந்தபடி, பல தளங்களில், உங்கள் கடவுச்சொல்லை மீட்டெடுக்க, பாதுகாப்பு கேள்விக்கான பதிலை உள்ளிடுவது போதுமானது: நீங்கள் எந்த பள்ளிக்குச் சென்றீர்கள், தாயின் இயற்பெயர், செல்லப்பிராணியின் புனைப்பெயர் ... இந்த தகவலை நீங்கள் ஏற்கனவே சமூக வலைப்பின்னல்களில் பொது களத்தில் வெளியிடவில்லை என்றாலும், சிந்திப்பது கடினம் அதே சமூக வலைப்பின்னல்களைப் பயன்படுத்துவதா, உங்களுடன் பழகுவதா, அல்லது சிறப்பாகச் சந்திப்பதா, அத்தகைய தகவல்களைத் தடையின்றி பெறுகிறதா?
உங்கள் கடவுச்சொல் சிதைந்திருப்பதை எவ்வாறு கண்டுபிடிப்பது
சரி, கட்டுரையின் முடிவில், ஹேக்கர்களால் அணுகப்பட்ட கடவுச்சொற்களின் தரவுத்தளத்துடன் உங்கள் மின்னஞ்சல் முகவரி அல்லது பயனர்பெயரை சரிபார்த்து உங்கள் கடவுச்சொல் ஹேக் செய்யப்பட்டுள்ளதா என்பதை உங்களுக்குத் தெரிவிக்கும் பல சேவைகள் உள்ளன. (அவற்றில் ரஷ்ய மொழி சேவைகளிலிருந்து அதிகமான தரவுத்தளங்கள் உள்ளன என்பது எனக்கு கொஞ்சம் ஆச்சரியமாக இருக்கிறது).
- //haveibeenpwned.com/
- //breachalarm.com/
- //pwnedlist.com/query
அறியப்பட்ட ஹேக்கர்களின் பட்டியலில் உங்கள் கணக்கைக் கண்டுபிடித்தீர்களா? கடவுச்சொல்லை மாற்றுவது அர்த்தமுள்ளதாக இருக்கிறது, ஆனால் கணக்கு கடவுச்சொற்கள் தொடர்பான பாதுகாப்பான நடைமுறைகள் பற்றி இன்னும் விரிவாக நான் வரும் நாட்களில் எழுதுவேன்.
