តើធ្វើដូចម្តេចអាចបំបែកពាក្យសម្ងាត់របស់អ្នក

ការលួចយកលេខសម្ងាត់មិនថាពាក្យសម្ងាត់ជាអ្វីទេ - ពីអ៊ីមែលធនាគារតាមអ៊ីនធឺណិតវ៉ាយហ្វាយឬពីគណនី VKontakte និង Odnoklassniki ថ្មីៗនេះបានក្លាយជាព្រឹត្តិការណ៍ញឹកញាប់។ នេះភាគច្រើនដោយសារតែអ្នកប្រើប្រាស់មិនគោរពច្បាប់សុវត្ថិភាពសាមញ្ញនៅពេលបង្កើតរក្សាទុកនិងប្រើលេខសម្ងាត់។ ប៉ុន្តែនេះមិនមែនជាហេតុផលតែមួយទេដែលពាក្យសម្ងាត់អាចធ្លាក់ចូលក្នុងដៃខុស។

អត្ថបទនេះផ្តល់នូវព័ត៌មានលម្អិតអំពីវិធីសាស្រ្តណាដែលអាចប្រើដើម្បីបំបែកពាក្យសម្ងាត់អ្នកប្រើប្រាស់និងមូលហេតុដែលអ្នកងាយរងគ្រោះពីការវាយប្រហារបែបនេះ។ នៅចុងបញ្ចប់អ្នកនឹងរកឃើញបញ្ជីនៃសេវាកម្មអនឡាញដែលនឹងប្រាប់អ្នកឱ្យដឹងថាតើពាក្យសម្ងាត់របស់អ្នកត្រូវបានសម្របសម្រួលរួចហើយ។ វាក៏នឹងមាន (អត្ថបទរួចហើយ) គឺជាអត្ថបទទី ២ លើប្រធានបទប៉ុន្តែខ្ញុំសូមណែនាំឱ្យចាប់ផ្តើមអានជាមួយការពិនិត្យឡើងវិញបច្ចុប្បន្នហើយបន្ទាប់មកបន្តទៅមុខទៀត។

ធ្វើឱ្យទាន់សម័យ: សម្ភារៈដូចខាងក្រោមគឺត្រៀមរួចរាល់ - អំពីសុវត្ថិភាពពាក្យសម្ងាត់ដែលពិពណ៌នាអំពីរបៀបបង្កើនសុវត្ថិភាពគណនីនិងពាក្យសម្ងាត់របស់អ្នកឱ្យខ្ពស់បំផុត។

តើវិធីសាស្ត្រអ្វីខ្លះដែលត្រូវបានប្រើដើម្បីបង្ក្រាបពាក្យសម្ងាត់?

ដើម្បីបំបែកលេខសម្ងាត់គេមិនប្រើបច្ចេកទេសខុសគ្នាច្រើនទេ។ ស្ទើរតែទាំងអស់នៃពួកគេត្រូវបានគេស្គាល់ហើយស្ទើរតែរាល់ការសម្រុះសម្រួលនៃព័ត៌មានសម្ងាត់ត្រូវបានសម្រេចតាមរយៈការប្រើប្រាស់វិធីសាស្ត្របុគ្គលឬបន្សំរបស់ពួកគេ។

បន្លំ

មធ្យោបាយទូទៅបំផុតដែលពាក្យសម្ងាត់នៃសេវាកម្មអ៊ីម៉ែលនិងបណ្តាញសង្គមដែលកំពុងត្រូវបាន "បង្វែរ" រហូតមកដល់សព្វថ្ងៃគឺការលួចបន្លំហើយវិធីសាស្ត្រនេះមានប្រសិទ្ធភាពសម្រាប់អ្នកប្រើប្រាស់មួយចំនួនធំ។

ខ្លឹមសារនៃវិធីសាស្រ្តនេះគឺថាអ្នកចូលទៅកាន់គេហទំព័រដែលហាក់ដូចជាស្រដៀង (ឧទាហរណ៍ Gmail, VK ឬ Odnoklassniki) និងសម្រាប់ហេតុផលមួយរឺមួយផ្សេងទៀតអ្នកត្រូវបានស្នើសុំអោយបញ្ចូលឈ្មោះអ្នកប្រើប្រាស់និងពាក្យសម្ងាត់របស់អ្នក (ដើម្បីបញ្ចូលបញ្ជាក់អ្វីមួយ។ ដើម្បីផ្លាស់ប្តូរវា។ ល។ ) ។ ភ្លាមៗបន្ទាប់ពីបញ្ចូលពាក្យសម្ងាត់អ្នកវាយប្រហាររកឃើញខ្លួនឯង។

តើរឿងនេះកើតឡើងយ៉ាងដូចម្តេច: អ្នកអាចទទួលបានលិខិតមួយដែលត្រូវបានចោទប្រកាន់ពីសេវាកម្មគាំទ្រដោយជូនដំណឹងដល់អ្នកពីតម្រូវការក្នុងការចូលទៅក្នុងគណនីរបស់អ្នកនិងផ្តល់នូវតំណភ្ជាប់នៅពេលអ្នកចូលទៅកាន់គេហទំព័រនោះត្រូវបានបើកដែលចម្លងច្បាប់ដើមយ៉ាងពិតប្រាកដ។ វាអាចទៅរួចបន្ទាប់ពីដំឡើងកម្មវិធីដែលមិនចង់បាននៅលើកុំព្យួទ័រការកំនត់ប្រព័ន្ធត្រូវបានផ្លាស់ប្តូរដូច្នេះនៅពេលអ្នកបញ្ចូលអាសយដ្ឋានគេហទំព័រដែលអ្នកត្រូវការនៅក្នុងរបាអាស័យដ្ឋានអ៊ីនធឺរណែតអ្នកនឹងទៅដល់គេហទំព័របន្លំដែលត្រូវបានរចនាតាមរបៀបដូចគ្នា។

ដូចដែលខ្ញុំបានកត់សម្គាល់រួចមកហើយអ្នកប្រើប្រាស់ជាច្រើនបានឆ្លងកាត់បញ្ហានេះហើយជាធម្មតាវាកើតឡើងដោយសារតែការធ្វេសប្រហែស៖

• នៅពេលអ្នកទទួលបានលិខិតមួយដែលមានទំរង់បែបបទមួយរឺបែបបទផ្សេងទៀតអញ្ជើញអ្នកអោយចូលទៅក្នុងគណនីរបស់អ្នកនៅលើគេហទំព័រជាក់លាក់ណាមួយសូមយកចិត្តទុកដាក់ថាតើវាត្រូវបានផ្ញើចេញពីអាស័យដ្ឋានអ៊ីមែលនៅលើគេហទំព័រនេះដែរឬអត់? ឧទាហរណ៍ជំនួសឱ្យ [email protected] អាចមាន [email protected] ឬមានអ្វីស្រដៀងគ្នា។ ទោះជាយ៉ាងណាក៏ដោយអាស័យដ្ឋានត្រឹមត្រូវមិនតែងតែធានាថាអ្វីគ្រប់យ៉ាងមានសណ្តាប់ធ្នាប់ទេ។
• មុននឹងបញ្ចូលលេខសំងាត់របស់អ្នកនៅកន្លែងណាមួយសូមក្រឡេកមើលដោយយកចិត្តទុកដាក់នៅរបាអាសយដ្ឋាននៃ browser របស់អ្នក។ ដំបូងគេហទំព័រដែលអ្នកចង់ទៅត្រូវតែបង្ហាញនៅទីនោះ។ ទោះយ៉ាងណាក៏ដោយក្នុងករណីមេរោគនៅលើកុំព្យូទ័រនេះវាមិនគ្រប់គ្រាន់ទេ។ អ្នកក៏គួរតែយកចិត្តទុកដាក់ចំពោះវត្តមាននៃការអ៊ិនគ្រីបនៃការតភ្ជាប់ដែលអាចត្រូវបានកំណត់ដោយប្រើពិធីការ https ជំនួសឱ្យ http និងរូបភាពនៃ "សោ" នៅក្នុងរបារអាសយដ្ឋានដោយចុចលើដែលអ្នកអាចផ្ទៀងផ្ទាត់ថាអ្នកនៅលើគេហទំព័រនេះ។ ស្ទើរតែរាល់ធនធានធ្ងន់ធ្ងរដែលទាមទារការចូលប្រើគណនីអ៊ីនគ្រីប។

និយាយអីញ្ចឹងខ្ញុំកត់សំគាល់នៅទីនេះថាការឆបោកនិងវិធីបំបែកពាក្យសម្ងាត់ (ដែលបានពិពណ៌នាខាងក្រោម) មិនមានន័យថាការខិតខំប្រឹងប្រែងនិងការងារពិបាករបស់មនុស្សម្នាក់សព្វថ្ងៃ (នោះទេគាត់មិនចាំបាច់បញ្ចូលលេខកូដសំងាត់រាប់លានដោយដៃទេ) - ទាំងអស់នេះត្រូវបានធ្វើដោយកម្មវិធីពិសេសយ៉ាងឆាប់រហ័សនិងក្នុងទំហំធំ ហើយបន្ទាប់មករាយការណ៍ពីភាពជោគជ័យទៅអ្នកវាយប្រហារ។ លើសពីនេះទៅទៀតកម្មវិធីទាំងនេះអាចនឹងមិនដំណើរការនៅលើកុំព្យួទ័ររបស់ហេគឃឺរនោះទេប៉ុន្តែជាការសម្ងាត់លើអ្នកនិងអ្នកប្រើប្រាស់រាប់ពាន់នាក់ទៀតដែលពេលខ្លះបង្កើនប្រសិទ្ធភាពនៃការលួចស្តាប់។

ការផ្គូផ្គងពាក្យសម្ងាត់

ការវាយប្រហារដោយប្រើការទស្សន៍ទាយពាក្យសំងាត់ (Brute Force, brute force ជាភាសារុស្សី) ក៏ជារឿងធម្មតាដែរ។ ប្រសិនបើកាលពីពីរបីឆ្នាំមុនការវាយប្រហារភាគច្រើនត្រូវបានគេប្រមូលបានទាំងអស់នៃការបញ្ចូលគ្នានៃសំណុំតួអក្សរជាក់លាក់ដើម្បីបញ្ចូលពាក្យសម្ងាត់នៃប្រវែងជាក់លាក់បន្ទាប់មកនៅពេលបច្ចុប្បន្នអ្វីគ្រប់យ៉ាងគឺសាមញ្ញជាងបន្តិច (សម្រាប់ពួក Hacker) ។

ការវិភាគលើលេខសំងាត់រាប់លានត្រូវបានបែកធ្លាយក្នុងរយៈពេលប៉ុន្មានឆ្នាំចុងក្រោយនេះបង្ហាញថាតិចជាងពាក់កណ្តាលនៃលេខកូដទាំងនោះមានលក្ខណៈប្លែកដោយឡែកភាគរយនៃគេហទំព័រដែលភាគច្រើនមិនមានបទពិសោធគឺគ្មានបទពិសោធន៍។

តើនេះមានន័យយ៉ាងណា? ក្នុងករណីទូទៅហេកឃឺមិនចាំបាច់តម្រៀបតាមបន្សំរាប់លានរាប់មិនអស់ទេ៖ មានមូលដ្ឋានលេខសម្ងាត់ ១០-១៥ លាន (ជាចំនួនប្រហាក់ប្រហែលតែជិតនឹងការពិត) ហើយជំនួសតែបន្សំទាំងនេះប៉ុណ្ណោះគាត់អាចបំបែកគណនីបានជិតពាក់កណ្តាលនៅលើគេហទំព័រណាមួយ។

ក្នុងករណីដែលការវាយប្រហារចំគោលដៅលើគណនីជាក់លាក់មួយបន្ថែមលើមូលដ្ឋានទិន្នន័យកម្លាំងដុសខាត់សាមញ្ញអាចត្រូវបានប្រើហើយកម្មវិធីទំនើបអនុញ្ញាតឱ្យអ្នកធ្វើវាបានយ៉ាងឆាប់រហ័ស: ពាក្យសម្ងាត់នៃ 8 តួអក្សរអាចត្រូវបានបង្ក្រាបក្នុងរយៈពេលប៉ុន្មានថ្ងៃ (ហើយប្រសិនបើតួអក្សរទាំងនេះតំណាងឱ្យកាលបរិច្ឆេទឬការរួមបញ្ចូលគ្នានៃឈ្មោះ និងកាលបរិច្ឆេទដែលមិនមែនជារឿងចម្លែក - គិតជានាទី) ។

សូមចំណាំ៖ ប្រសិនបើអ្នកប្រើពាក្យសម្ងាត់ដូចគ្នាសម្រាប់គេហទំព័រនិងសេវាកម្មផ្សេងៗគ្នាបន្ទាប់មកនៅពេលដែលលេខសម្ងាត់របស់អ្នកនិងអាស័យដ្ឋានអ៊ីមែលដែលត្រូវគ្នាត្រូវបានសម្របសម្រួលលើពួកវាណាមួយដោយមានជំនួយពីកម្មវិធីពិសេសការរួមបញ្ចូលគ្នានៃការចូលនិងពាក្យសម្ងាត់នឹងត្រូវបានសាកល្បងនៅលើគេហទំព័ររាប់រយផ្សេងទៀត។ ឧទាហរណ៍ភ្លាមៗបន្ទាប់ពីការលេចធ្លាយលេខកូដសំងាត់ Gmail និង Yandex រាប់លានដងនៅចុងឆ្នាំមុននេះរលកនៃការលួចចូលគណនី Origin, Steam, Battle.net និង Uplay បានបែកបាក់ (ខ្ញុំគិតថានិងអ្នកផ្សេងទៀតជាច្រើនពួកគេគ្រាន់តែទាក់ទងខ្ញុំតាមសេវាកម្មហ្គេមដែលបានបញ្ជាក់) ។

គេហទំព័រលួចស្តាប់និងទទួលបានពាក្យសំងាត់

គេហទំព័រធ្ងន់ធ្ងរភាគច្រើនមិនរក្សាទុកពាក្យសម្ងាត់របស់អ្នកក្នុងទម្រង់ដែលអ្នកស្គាល់ទេ។ មានតែហាសមួយដែលត្រូវបានរក្សាទុកនៅក្នុងឃ្លាំងទិន្នន័យ - លទ្ធផលនៃការអនុវត្តមុខងារដែលមិនអាចត្រឡប់វិញបាន (នោះអ្នកមិនអាចយកពាក្យសម្ងាត់របស់អ្នកម្តងទៀតពីលទ្ធផលនេះ) ទៅពាក្យសម្ងាត់ទេ។ នៅពេលអ្នកបញ្ចូលគេហទំព័រហាសត្រូវបានគណនាឡើងវិញហើយប្រសិនបើវាត្រូវនឹងអ្វីដែលរក្សាទុកនៅក្នុងឃ្លាំងទិន្នន័យបន្ទាប់មកអ្នកបានបញ្ចូលលេខសំងាត់ត្រឹមត្រូវ។

ដូចដែលអ្នកអាចទាយបានវាគឺជាហាសដែលត្រូវបានរក្សាទុកហើយមិនមែនជាលេខសំងាត់ដោយខ្លួនឯងនោះទេដោយហេតុផលសុវត្ថិភាព - ដូច្នេះជាមួយនឹងការលួចនិងអ្នកវាយប្រហារដែលមានសក្តានុពលទទួលបានមូលដ្ឋានទិន្នន័យគាត់មិនអាចប្រើព័ត៌មាននិងស្វែងរកពាក្យសម្ងាត់ទេ។

ទោះយ៉ាងណាក៏ដោយជាញឹកញាប់គាត់អាចធ្វើដូចនេះបាន៖

1. ដើម្បីគណនាហាសក្បួនដោះស្រាយជាក់លាក់ត្រូវបានប្រើសម្រាប់ភាគច្រើន - ល្បីនិងទូទៅ (នោះគឺគ្រប់គ្នាអាចប្រើវាបាន) ។
2. មានមូលដ្ឋានទិន្នន័យដែលមានលេខសម្ងាត់រាប់លាន (រាប់ពីចំណុចដែលប្រើកម្លាំង) អ្នកវាយប្រហារក៏មានលទ្ធភាពចូលទៅក្នុងប្រអប់នៃពាក្យសម្ងាត់ទាំងនេះដែលបានគណនាដោយប្រើក្បួនដោះស្រាយដែលមានទាំងអស់។
3. តាមរយៈការប្រៀបធៀបព័ត៌មានពីលទ្ធផលនៃទិន្ន័យនិងលេខសំងាត់ពីមូលដ្ឋានទិន្នន័យរបស់អ្នកអ្នកអាចកំនត់ថាតើក្បួនដោះស្រាយមួយណាត្រូវបានប្រើនិងស្វែងរកលេខសំងាត់ពិតប្រាកដសំរាប់ធាតុមួយចំនួននៅក្នុងឃ្លាំងទិន្នន័យដោយការផ្គូផ្គងសាមញ្ញ (សំរាប់រាល់ចំនុចដែលមិនមានតែមួយ) ។ ហើយឧបករណ៍ប្រើកម្លាំងនឹងជួយអ្នកឱ្យរកឃើញអ្វីដែលនៅសល់ប៉ុន្តែពាក្យសម្ងាត់ខ្លី។

ដូចដែលអ្នកអាចឃើញរបាយការណ៍ទីផ្សារនៃសេវាកម្មផ្សេងៗដែលពួកគេមិនរក្សាទុកពាក្យសម្ងាត់របស់អ្នកនៅលើគេហទំព័ររបស់ពួកគេមិនចាំបាច់ការពារអ្នកពីការលេចធ្លាយរបស់វាឡើយ។

Spyware (SpyWare)

SpyWare ឬ spyware គឺជាកម្មវិធីដែលមានគំនិតអាក្រក់ជាច្រើនដែលតំឡើងនៅលើកុំព្យូទ័ររបស់អ្នក (មុខងារ spyware អាចត្រូវបានបញ្ចូលនៅក្នុងកម្មវិធីចាំបាច់មួយចំនួន) និងប្រមូលព័ត៌មានអំពីអ្នកប្រើប្រាស់។

ក្នុងចំណោមរបស់ផ្សេងទៀតប្រភេទជាក់លាក់នៃ SpyWare ឧទាហរណ៍អ្នកវាយ Keylogger (កម្មវិធីដែលតាមដានការចុចគ្រាប់ចុចរបស់អ្នក) ឬអ្នកវិភាគចរាចរណ៍ដែលលាក់អាចត្រូវបានប្រើ (និងត្រូវបានប្រើ) ដើម្បីទទួលបានពាក្យសម្ងាត់អ្នកប្រើ។

បញ្ហាវិស្វកម្មសង្គមនិងលេខកូដសំងាត់

ដូចដែលវិគីភីឌាបានប្រាប់យើងវិស្វកម្មសង្គមគឺជាវិធីសាស្រ្តក្នុងការទទួលបានព័ត៌មានដោយផ្អែកលើលក្ខណៈនៃចិត្តវិទ្យារបស់មនុស្ស (នេះរួមបញ្ចូលទាំងការបន្លំដែលបានរៀបរាប់ខាងលើ) ។ នៅលើអ៊ិនធរណេតអ្នកអាចរកឃើញឧទាហរណ៍ជាច្រើននៃការប្រើប្រាស់វិស្វកម្មសង្គម (ខ្ញុំសូមណែនាំឱ្យស្វែងរកនិងអាន - នេះគួរឱ្យចាប់អារម្មណ៍) ដែលមួយចំនួនគួរឱ្យចាប់អារម្មណ៍នៅក្នុងភាពឆើតឆាយរបស់ពួកគេ។ និយាយជាទូទៅវិធីសាស្រ្តពុះកញ្ជ្រោលដល់ការពិតដែលស្ទើរតែរាល់ព័ត៌មានដែលត្រូវការដើម្បីទទួលបានព័ត៌មានសម្ងាត់អាចទទួលបានដោយប្រើភាពទន់ខ្សោយរបស់មនុស្ស។

ហើយខ្ញុំនឹងផ្តល់តែឧទាហរណ៍គ្រួសារសាមញ្ញនិងមិនឆើតឆាយជាពិសេសទាក់ទងនឹងពាក្យសម្ងាត់។ ដូចដែលអ្នកបានដឹងហើយនៅលើគេហទំព័រជាច្រើនដើម្បីទទួលបានលេខសំងាត់របស់អ្នកវាគ្រប់គ្រាន់ហើយក្នុងការឆ្លើយសំនួរសុវត្ថិភាព: តើអ្នកបានទៅសាលាណាឈ្មោះស្រីម្តាយឈ្មោះហៅក្រៅរបស់សត្វចិញ្ចឹម ... ​​ទោះបីអ្នកមិនទាន់បានប្រកាសព័ត៌មាននេះជាសាធារណៈនៅលើបណ្តាញសង្គមក៏ដោយវាពិបាក ថាតើការប្រើបណ្តាញសង្គមដូចគ្នាការស្គាល់អ្នកឬការប្រជុំពិសេសទទួលបានព័ត៌មានបែបនេះ?

តើធ្វើដូចម្តេចដើម្បីដឹងថាពាក្យសម្ងាត់របស់អ្នកត្រូវបានគេលួច

ជាការប្រសើរណាស់នៅចុងបញ្ចប់នៃអត្ថបទមានសេវាកម្មជាច្រើនដែលអនុញ្ញាតឱ្យអ្នកដឹងថាតើពាក្យសម្ងាត់របស់អ្នកត្រូវបានគេលួចដោយការឆែកអាសយដ្ឋានអ៊ីម៉ែលឬឈ្មោះអ្នកប្រើរបស់អ្នកជាមួយនឹងមូលដ្ឋានទិន្នន័យនៃពាក្យសម្ងាត់ដែលត្រូវបានចូលដោយពួក Hacker ។ (វាធ្វើឱ្យខ្ញុំភ្ញាក់ផ្អើលដែលក្នុងចំណោមពួកគេមានភាគរយនៃមូលដ្ឋានទិន្នន័យច្រើនពេកពីសេវាកម្មភាសារុស្ស៊ី) ។

• //haveibeenpwned.com/
• //breachalarm.com/
• //pwnedlist.com/query

រកឃើញគណនីរបស់អ្នកនៅក្នុងបញ្ជីនៃពួក Hacker ដែលគេស្គាល់? វាសមហេតុផលក្នុងការផ្លាស់ប្តូរពាក្យសម្ងាត់ប៉ុន្តែនៅក្នុងលម្អិតបន្ថែមទៀតអំពីការអនុវត្តប្រកបដោយសុវត្ថិភាពទាក់ទងនឹងពាក្យសម្ងាត់គណនីខ្ញុំនឹងសរសេរនៅប៉ុន្មានថ្ងៃខាងមុខ។