آپ کے پاس ورڈ کو کس طرح کریک کرسکتے ہیں

پاس ورڈز کو ہیک کرنا ، اس سے قطع نظر کہ پاس ورڈز کیا ہیں - میل ، آن لائن بینکنگ ، وائی فائی ، یا وی کانٹاکیٹ اور اوڈنوکلاسنکی اکاؤنٹس سے ، حال ہی میں ایک متعدد واقعہ بن گیا ہے۔ اس کی بڑی وجہ اس حقیقت کی وجہ سے ہے کہ پاس ورڈز بنانے ، اسٹور کرنے اور استعمال کرنے کے وقت صارفین سادہ حفاظتی قواعد پر عمل نہیں کرتے ہیں۔ لیکن یہ واحد وجہ نہیں ہے جو پاس ورڈ غلط ہاتھوں میں آسکتے ہیں۔

اس مضمون میں اس بارے میں تفصیلی معلومات فراہم کی گئی ہے کہ صارف کے پاس ورڈ کو توڑنے کے لئے کون سے طریقوں کا استعمال کیا جاسکتا ہے اور آپ اس طرح کے حملوں کا شکار کیوں ہیں۔ آخر میں ، آپ کو آن لائن خدمات کی ایک فہرست مل جائے گی جو آپ کو بتائے گی کہ آیا آپ کے پاس ورڈ پر سمجھوتہ ہوچکا ہے۔ اس عنوان پر دوسرا مضمون (پہلے سے ہی ہے) بھی ہوگا ، لیکن میں تجویز کرتا ہوں کہ پڑھنے کو موجودہ جائزے سے شروع کریں ، اور تب ہی اگلے حص toے میں جائیں۔

تازہ کاری کریں: مندرجہ ذیل مواد تیار ہے - پاس ورڈ کی سلامتی کے بارے میں ، جو آپ کے اکاؤنٹس اور پاس ورڈ کی حفاظت کو زیادہ سے زیادہ کرنے کا طریقہ بیان کرتا ہے۔

پاس ورڈ کو توڑنے کے لئے کون سے طریقے استعمال کیے جاتے ہیں؟

پاس ورڈ کو توڑنے کے ل different ، مختلف تکنیکوں کی اتنی وسیع حد نہیں استعمال کی جاتی ہے۔ ان میں سے تقریبا known سبھی مشہور ہیں اور خفیہ معلومات کا تقریبا any کوئی سمجھوتہ انفرادی طریقوں یا ان کے امتزاج کے استعمال سے حاصل کیا جاتا ہے۔

فشنگ

آج تک مشہور ای میل خدمات اور سوشل نیٹ ورک کے پاس ورڈ کو "ڈائیورٹ" کیا جارہا ہے اس کا سب سے عام طریقہ فشنگ ہے ، اور یہ طریقہ صارفین کی ایک بہت بڑی فیصد کے لئے کام کرتا ہے۔

اس طریقہ کار کا خلاصہ یہ ہے کہ آپ کو بظاہر واقف سائٹ (مثال کے طور پر وہی جی میل ، وی کے یا اوڈونوکلاسنکی) ، اور ایک وجہ یا کسی اور وجہ سے آپ سے اپنا صارف نام اور پاس ورڈ داخل کرنے کے لئے کہا جاتا ہے (داخل کرنے ، کسی چیز کی تصدیق ، وغیرہ کو تبدیل کرنا)۔ پاس ورڈ داخل کرنے کے فورا بعد ، حملہ آور اپنے آپ کو مل گیا۔

یہ کیسے ہوتا ہے: آپ معاونت کی خدمت سے مبینہ طور پر ایک خط وصول کرسکتے ہیں ، جب آپ کو اپنے اکاؤنٹ میں لاگ ان کرنے کی ضرورت سے آگاہ کرتے ہیں اور لنک دیا جاتا ہے ، جب آپ اس سائٹ پر جاتے ہیں تو کھول دیا جاتا ہے جو اصل کی کاپی کرتا ہے۔ یہ ممکن ہے کہ حادثاتی طور پر کسی کمپیوٹر پر ناپسندیدہ سافٹ ویئر انسٹال کرنے کے بعد ، نظام کی ترتیبات کو تبدیل کردیا جاتا ہے تاکہ جب آپ براؤزر کے ایڈریس بار میں جس سائٹ کی ضرورت ہوتی ہو اس کا پتہ درج کریں ، تو آپ واقعی اسی طرح ڈیزائن کردہ فشنگ سائٹ پر پہنچ جاتے ہیں۔

جیسا کہ میں نے پہلے ہی نوٹ کیا ہے ، بہت سارے صارفین اس میں آتے ہیں ، اور عام طور پر اس کی لاپرواہی ہوتی ہے:

• جب آپ کو یہ خط موصول ہوتا ہے کہ ایک فارم یا کسی اور شکل میں آپ کو کسی خاص سائٹ پر اپنے اکاؤنٹ میں لاگ ان کرنے کی دعوت دیتا ہے تو ، اس طرف توجہ دیں کہ آیا واقعی اس سائٹ پر میل ایڈریس سے بھیجا گیا ہے: اسی طرح کے پتے عموما. استعمال ہوتے ہیں۔ مثال کے طور پر ، سپورٹ@vk.com کے بجائے ، سپورٹ@vk.org یا کچھ ایسا ہی ہوسکتا ہے۔ تاہم ، صحیح پتہ ہمیشہ اس بات کی ضمانت نہیں دیتا ہے کہ ہر چیز ترتیب میں ہے۔
• کہیں اپنا پاس ورڈ داخل کرنے سے پہلے ، اپنے براؤزر کے ایڈریس بار کو غور سے دیکھیں۔ سب سے پہلے تو ، جس سائٹ پر آپ جانا چاہتے ہیں وہاں ضرور اشارہ کیا جانا چاہئے۔ تاہم ، کمپیوٹر پر مالویئر کی صورت میں ، یہ کافی نہیں ہے۔ آپ کو کنکشن کے خفیہ کاری کی موجودگی پر بھی دھیان دینا چاہئے ، جس کا تعین HTTP کی بجائے https پروٹوکول اور ایڈریس بار میں "لاک" کی شبیہہ کو استعمال کرکے کیا جاسکتا ہے ، جس پر کلک کرکے آپ تصدیق کرسکتے ہیں کہ آپ اس سائٹ پر ہیں۔ تقریبا تمام سنجیدہ وسائل جن میں اکاؤنٹ لاگ ان کی ضرورت ہوتی ہے خفیہ کاری کی ضرورت ہوتی ہے۔

ویسے ، میں یہاں یہ نوٹ کروں گا کہ فشنگ اٹیک اور پاس ورڈ کریکنگ کے طریقوں (ذیل میں بیان کیا گیا) آج کسی ایک شخص کے محنتی اور خوفناک کام کا مطلب نہیں ہے (یعنی اسے دستی طور پر دس لاکھ پاس ورڈ داخل کرنے کی ضرورت نہیں ہے) - یہ سب خصوصی پروگراموں کے ذریعہ ، تیزی سے اور بڑی مقدار میں کیا جاتا ہے ، اور پھر حملہ آور کو کامیابی کی اطلاع دیں۔ مزید یہ کہ ، یہ پروگرام ہیکر کے کمپیوٹر پر کام نہیں کرسکتے ہیں ، لیکن چپکے سے آپ پر اور ہزاروں دوسرے صارفین پر ، جو کبھی کبھی ہیکنگ کی تاثیر کو بڑھاتا ہے۔

پاس ورڈ ملاپ

پاس ورڈ کا اندازہ لگانے والے (بروٹ فورس ، روسی زبان میں بروٹ فورس) استعمال کرنے والے حملے بھی بہت عام ہیں۔ اگر کچھ سال پہلے ، ان حملوں میں سے بیشتر ایک خاص طوالت کے پاس ورڈز تحریر کرنے کے لئے حرفوں کے ایک مخصوص مجموعہ کے تمام امتزاجوں کا حساب کتاب کر رہے تھے ، تو اس وقت ہر چیز کچھ آسان ہے (ہیکرز کے لئے)۔

پچھلے برسوں میں لاکھوں پاس ورڈز کے تجزیے سے پتہ چلتا ہے کہ ان میں سے آدھے سے بھی کم انفرادیت رکھتے ہیں ، جبکہ زیادہ تر ناتجربہ کار سائٹس کا فیصد "ناتجربہ کار" ہے۔

اس کا کیا مطلب ہے؟ عام طور پر ، ہیکر کو ان گنت لاکھوں امتزاجوں کو ترتیب دینے کی ضرورت نہیں ہوتی: 10-15 ملین پاس ورڈز (ایک متوقع تعداد ، لیکن سچائی کے قریب) کی بنیاد رکھنے اور صرف ان امتزاج کو تبدیل کرنے سے ، وہ کسی بھی سائٹ پر تقریبا half آدھے اکاؤنٹس کو توڑ سکتا ہے۔

کسی خاص اکاؤنٹ پر ٹارگٹ حملے کی صورت میں ، ڈیٹا بیس کے علاوہ ، آسان بروٹ فورس استعمال کی جاسکتی ہے ، اور جدید سافٹ ویئر آپ کو نسبتا quickly جلدی سے یہ کام کرنے کی اجازت دیتا ہے: 8 حرفوں کے پاس ورڈ کو کچھ دنوں میں توڑا جاسکتا ہے (اور اگر یہ حروف کسی تاریخ یا ناموں کے امتزاج کی نمائندگی کرتے ہیں) اور تاریخیں ، جو غیر معمولی نہیں ہیں - منٹ میں)۔

براہ کرم نوٹ کریں: اگر آپ مختلف سائٹس اور خدمات کے لئے ایک ہی پاس ورڈ کا استعمال کرتے ہیں ، تو جیسے ہی آپ کے پاس ورڈ اور اس سے متعلقہ ای میل ایڈریس پر کسی بھی طرح سے سمجھوتہ ہوجائے گا ، خصوصی سافٹ ویئر کی مدد سے سیکڑوں دوسری سائٹوں پر اسی طرح کے لاگ ان اور پاس ورڈ کا امتزاج کیا جائے گا۔ مثال کے طور پر ، پچھلے سال کے آخر میں کئی ملین Gmail اور Yandex پاس ورڈز کے لیک ہونے کے بعد ، اوریجن ، بھاپ ، بیٹٹ نیٹ اور اپلے اکاؤنٹس کی ہیکنگ کی لہر دوڑ گئی (میرے خیال میں ، اور بہت سے دوسرے ، انہوں نے مخصوص کھیل خدمات پر مجھ سے رابطہ کیا)۔

سائٹوں کو ہیک کرنا اور پاس ورڈ ہیش حاصل کرنا

زیادہ تر سنجیدہ سائٹیں آپ کا پاس ورڈ اس فارم میں اسٹور نہیں کرتی ہیں جس میں آپ اسے جانتے ہو۔ ڈیٹا بیس میں صرف ایک ہیش ذخیرہ کی جاتی ہے - ناقابل واپسی فنکشن (یعنی اس نتیجہ سے آپ کو دوبارہ پاس ورڈ نہیں مل سکتا) کو پاس ورڈ پر لاگو کرنے کا نتیجہ۔ جب آپ سائٹ میں داخل ہوتے ہیں تو ، ہیش کی دوبارہ گنتی کی جاتی ہے اور ، اگر یہ ڈیٹا بیس میں محفوظ کردہ چیز سے میل کھاتا ہے ، تو آپ نے پاس ورڈ کو صحیح طریقے سے داخل کیا ہے۔

جیسا کہ آپ اندازہ لگاسکتے ہیں ، یہ ہیشز ہیں جو محض سیکیورٹی وجوہات کی بناء پر ، خود پاس ورڈز میں محفوظ نہیں ہیں - تاکہ ممکنہ ہیک اور حملہ آور کو ڈیٹا بیس مل جائے ، وہ معلومات کو استعمال نہیں کرسکتا اور پاس ورڈز تلاش نہیں کرسکتا۔

تاہم ، اکثر ، وہ یہ کرسکتا ہے:

1. ہیش کا حساب کتاب کرنے کے ل certain ، کچھ الگورتھم استعمال کیے جاتے ہیں ، زیادہ تر حصے کے لئے - معروف اور عام (یعنی ہر کوئی ان کو استعمال کرسکتا ہے)۔
2. لاکھوں پاس ورڈز (بروٹ فورس پوائنٹ سے) کے پاس ڈیٹا بیس موجود ہے ، حملہ آور کو ان دستیاب پاس ورڈوں کی ہیشوں تک بھی رسائی ہے جو تمام دستیاب الگورتھموں کا استعمال کرکے حساب کتاب کرتے ہیں۔
3. اپنے اپنے ڈیٹا بیس سے حاصل شدہ ڈیٹا بیس اور پاس ورڈ ہیشوں سے حاصل کردہ معلومات کا موازنہ کرکے ، آپ یہ طے کرسکتے ہیں کہ کون سا الگورتھم استعمال ہوتا ہے اور ڈیٹا بیس میں کچھ اندراجات کے لئے حقیقی پاس ورڈز کو سادہ مماثلت (تمام غیر انفرادیت) کے ذریعہ معلوم کرسکتے ہیں۔ اور بروٹ فورس ٹولز آپ کو باقی منفرد ، لیکن مختصر پاس ورڈز تلاش کرنے میں مدد کریں گے۔

جیسا کہ آپ دیکھ سکتے ہیں ، مختلف خدمات کے مارکیٹنگ کے بیانات جو وہ آپ کے پاس ورڈ کو ان کی ویب سائٹ پر محفوظ نہیں کرتے ہیں ، لازمی طور پر آپ کو اس کے رساو سے محفوظ نہیں رکھتے ہیں۔

اسپائی ویئر (اسپائی ویئر)

اسپائی ویئر یا اسپائی ویئر - بدنیتی پر مبنی سافٹ ویئر کی ایک وسیع رینج جو آپ کے کمپیوٹر پر خفیہ طور پر انسٹال کرتی ہے (اسپائی ویئر کے افعال کو بھی کچھ ضروری سافٹ ویئر میں شامل کیا جاسکتا ہے) اور صارف کے بارے میں معلومات اکٹھا کرتا ہے۔

دوسری چیزوں میں ، اسپائی ویئر کی کچھ اقسام ، مثال کے طور پر ، کلیجگرز (ایسے پروگرام جو آپ کی چابیاں کو دباتے ہیں) یا پوشیدہ ٹریفک تجزیہ کاروں کو صارف کے پاس ورڈ حاصل کرنے کے لئے (اور استعمال کیا جاتا ہے) استعمال کیا جاسکتا ہے۔

سوشل انجینئرنگ اور پاس ورڈ کی بازیابی کے امور

جیسا کہ ویکیپیڈیا ہمیں بتاتا ہے ، سوشل انجینئرنگ انسانی نفسیات کی خصوصیات کی بنیاد پر معلومات تک رسائی کا ایک طریقہ ہے (اس میں مذکورہ فشینگ بھی شامل ہے)۔ انٹرنیٹ پر آپ کو سوشل انجینئرنگ کے استعمال کی متعدد مثالیں مل سکتی ہیں (میں تلاش کرنے اور پڑھنے کی تجویز کرتا ہوں - یہ دلچسپ بات ہے) ، جن میں سے کچھ اپنی خوبصورتی میں حیرت زدہ ہیں۔ عام اصطلاحات میں ، یہ طریقہ اس حقیقت پر ابلتا ہے کہ خفیہ معلومات تک رسائی کے ل needed تقریبا. کسی بھی معلومات کو انسانی کمزوریوں کا استعمال کرتے ہوئے حاصل کیا جاسکتا ہے۔

اور میں صرف ایک سادہ اور خاص طور پر خوبصورت گھریلو مثال پیش کروں گا جو پاس ورڈ سے متعلق ہے۔ جیسا کہ آپ جانتے ہو ، بہت ساری سائٹوں پر ، اپنے پاس ورڈ کی بازیافت کے ل the ، حفاظتی سوال کا جواب درج کرنا کافی ہے: آپ کس اسکول میں گئے تھے ، ماں کا پہلا نام ، پالتو جانور کا عرفی نام ... یہاں تک کہ اگر آپ نے سوشل نیٹ ورک پر عوامی ڈومین میں یہ معلومات پہلے ہی شائع نہیں کی ہے ، تو یہ مشکل ہے چاہے وہی سوشل نیٹ ورک استعمال کریں ، آپ سے واقف ہوں ، یا خاص طور پر ملاقات کر کے ، بلاشرکت ایسی معلومات حاصل کریں؟

یہ کیسے معلوم کریں کہ آپ کا پاس ورڈ ہیک ہوگیا ہے

ٹھیک ہے ، آرٹیکل کے آخر میں ، بہت ساری خدمات موجود ہیں جو آپ کو بتاتی ہیں کہ کیا آپ کے پاس ورڈ کو ہیکروں تک رسائی حاصل کرنے والے پاس ورڈز کے ڈیٹا بیس کے ساتھ اپنے ای میل ایڈریس یا صارف نام کو چیک کرکے ہیک کیا گیا ہے۔ (یہ مجھے قدرے حیرت کا باعث ہے کہ ان میں روسی زبان کی خدمات کے ڈیٹا بیس کی تعداد بہت زیادہ ہے)۔

• //haveibeenpwned.com/
• //breachalarm.com/
• //pwnedlist.com/query

معلوم اکاؤنٹ ہیکرز کی فہرست میں آپ کا اکاؤنٹ ملا؟ پاس ورڈ کو تبدیل کرنا سمجھ میں آتا ہے ، لیکن اکاؤنٹ کے پاس ورڈز کے سلسلے میں محفوظ طریقوں کے بارے میں مزید تفصیل کے ساتھ میں آنے والے دنوں میں لکھوں گا۔