Знание - сила. Понимание того, как на самом деле скомпрометированы учетные записи, может помочь вам защитить ваши учетные записи и предотвратить «взломать» пароли в первую очередь.
Повторное использование паролей, особенно утечек
Многие люди - возможно, даже большинство людей - используют пароли для разных учетных записей. Некоторые люди могут даже использовать один и тот же пароль для каждой учетной записи, которую они используют. Это крайне неуверенно. На многих веб-сайтах - даже крупных, известных, таких как LinkedIn и eHarmony - за последние несколько лет произошли утечки паролей. Базы данных просочившихся паролей вместе с именами пользователей и адресами электронной почты легко доступны в Интернете. Атакующие могут попробовать использовать эти адреса электронной почты, имя пользователя и пароли на других сайтах и получить доступ ко многим учетным записям.
Повторное использование пароля для вашей учетной записи электронной почты ставит вас еще больше под угрозу, поскольку ваша учетная запись электронной почты может использоваться для сброса всех ваших других паролей, если злоумышленник получил к ней доступ.
Как бы вы ни старались защитить свои пароли, вы не можете контролировать, насколько хорошо ваши службы защищают ваши пароли. Если вы повторно используете пароли, и одна компания соскользнет, все ваши учетные записи будут подвержены риску. Вы должны использовать разные пароли везде - менеджер паролей может помочь с этим.
Keyloggers
Keyloggers - это вредоносные программные продукты, которые могут работать в фоновом режиме, регистрируя каждый штрих, который вы делаете. Они часто используются для сбора конфиденциальных данных, таких как номера кредитных карт, пароли онлайн-банкинга и другие учетные данные. Затем они отправляют эти данные злоумышленнику через Интернет.
Такие вредоносные программы могут поступать с помощью эксплойтов - например, если вы используете устаревшую версию Java, так как большинство компьютеров в Интернете, вы можете быть скомпрометированы с помощью апплета Java на веб-странице. Однако они также могут быть замаскированы в другое программное обеспечение. Например, вы можете загрузить сторонний инструмент для онлайн-игры. Инструмент может быть вредоносным, захватив ваш игровой пароль и отправив его злоумышленнику через Интернет.
Используйте достойную антивирусную программу, обновите свое программное обеспечение и не загружайте ненадежное программное обеспечение.
Социальная инженерия
Атакующие также часто используют трюки социальной инженерии для доступа к вашим учетным записям. Фишинг - общеизвестная форма социальной инженерии - по сути, злоумышленник олицетворяет кого-то и запрашивает ваш пароль. Некоторые пользователи с легкостью передают свои пароли. Вот несколько примеров социальной инженерии:
- Вы получаете электронное письмо, которое, как утверждается, находится в вашем банке, направляет вас на сайт поддельного банка и просит вас ввести свой пароль.
- Вы получаете сообщение на Facebook или любой другой социальный веб-сайт от пользователя, который утверждает, что является официальной учетной записью Facebook, и просит вас отправить свой пароль для аутентификации.
- Вы посещаете веб-сайт, который обещает дать вам что-то ценное, например, бесплатные игры на Steam или бесплатное золото в World of Warcraft. Чтобы получить эту поддельную награду, на веб-сайте требуется ваше имя пользователя и пароль для этой услуги.
Будьте осторожны с тем, кому вы предоставляете свой пароль, - не нажимайте ссылки в сообщениях электронной почты и не переходите на сайт своего банка, не отсылайте свой пароль никому, кто вас связывает и не запрашивает, и не давайте учетные данные вашей учетной записи ненадежны сайты, особенно те, которые кажутся слишком хорошими, чтобы быть правдой.
Ответы на вопросы безопасности
Пароли часто могут быть сброшены, отвечая на вопросы безопасности. Вопросы безопасности, как правило, невероятно слабы - часто такие вещи, как «Где вы родились?», «В какую школу вы учились?» И «Что было девичью фамилией вашей матери?». Часто бывает очень легко найти эту информацию на общедоступных сайтах социальных сетей, и большинство нормальных людей расскажут вам, в какую школу они пошли, если бы их попросили. Благодаря этой легкодоступной информации злоумышленники могут часто сбрасывать пароли и получать доступ к учетным записям.
В идеале вы должны использовать вопросы безопасности с ответами, которые не так легко обнаружить или угадать. Веб-сайты также должны препятствовать людям получать доступ к учетной записи только потому, что они знают ответы на несколько вопросов безопасности, а некоторые - но некоторые до сих пор этого не делают.
Учетная запись электронной почты и сброс пароля
Если злоумышленник использует любой из вышеперечисленных методов для доступа к вашим учетным записям электронной почты, у вас большие проблемы. Ваша учетная запись электронной почты обычно функционирует как ваша основная учетная запись онлайн. Все остальные учетные записи, которые вы используете, связаны с ним, и любой, у кого есть доступ к учетной записи электронной почты, может использовать его для сброса ваших паролей на любом количестве сайтов, на которые вы зарегистрировались, с адресом электронной почты.
По этой причине вы должны как можно больше защитить свою учетную запись электронной почты. Особенно важно использовать для этого уникальный пароль и тщательно охранять его.
Какой пароль «взлом» не
Большинство людей, вероятно, считают, что злоумышленники пытаются использовать каждый возможный пароль для входа в свою онлайн-учетную запись. Этого не происходит.Если вы попытаетесь войти в чужую учетную запись и продолжаете угадывать пароли, вы будете замедлены и не сможете попробовать больше, чем несколько паролей.
Если злоумышленник мог попасть в онлайн-аккаунт, просто угадывая пароли, вполне вероятно, что пароль был чем-то очевидным, о котором можно было догадаться при первых нескольких попытках, таких как «пароль» или имя домашнего животного.
Атакующие могли использовать только такие методы грубой силы, если у них был локальный доступ к вашим данным - например, скажем, вы храните зашифрованный файл в своей учетной записи Dropbox, и злоумышленники получили к нему доступ и загрузили зашифрованный файл. Затем они могли бы попытаться переустановить шифрование, по существу, пробовав каждую комбинацию паролей до тех пор, пока не сработает.
Люди, которые говорят, что их учетные записи были «взломаны», скорее всего, виновны в повторном использовании паролей, установке регистратора ключей или предоставлении своих учетных данных злоумышленнику после социальных трюков. Они также могут быть скомпрометированы в результате легко угаданных вопросов безопасности.
Если вы примете надлежащие меры предосторожности, нелегко «взломать» ваши учетные записи. Использование двухфакторной аутентификации также может помочь - злоумышленнику потребуется не только пароль, чтобы войти.