Bảo mật mật khẩu yahoo và các loại khác
Posted in Bảo Mật
* Lấy lại pass:
1/ Dùng email thứ 2 mà bạn đã đăng ký để lấy lại.
- Có thể hacker khi có pass yahoo của bạn hắn đã đổi lại địa chỉ Email này thành email của nó,
nên khi bạn đổi lại mật khẩu hắn chỉ cần, chọn forgot password là tự động gửi lại pass về.
2/ Trả lời câu hỏi bảo mật.
- Câu hỏi bảo mật đôi khi lại không bảo mật, vì nó liên quan đến các hành vi, thói quen, mối quan hệ... của bạn.
VD: Câu hỏi "Bạn thích con vật nào?", Nếu 1 người nào đó biết bạn thích "con chó" thì hắn chôm pass dễ dàng.
- Câu trả lời bảo mật không bị Ẩn thành dấu * khi bạn gõ nên có thể bị nhìn thấy lúc đăng ký.
3/ Hack lại từ hacker (Key log, Rà pass, xâm nhập,...)
* Phòng chống (chỉ hiệu quả đối với thường dân ):
- Dùng các chuơng trình quét virus, keylog, spyware,..., scan port (tắt các port ko sử dụng),...
- Phòng keylog:
Do Keylog không nhận được chuột nên khi gõ pass ta nên dùng chuột để qua mặt hoặc copy paste 1 đoạn text
Dùng chuột (cách tớ thường dùng)
+ C1: Tại ô password tớ gõ vào 1 pass ngẫu nhiên, VD: IloveYou (không phải pass thật), sau đó dùng chuột quét chọn đoạn pass vừa gõ rồi mới gõ nick thật vào. VD:AnhYeuEm. Nếu máy bạn có keylog thì attracker sẽ nhận được pass là: ILoveYouAnhYeuEm << trật lất
Có thể áp dụng viết nhiều pass giả rồi quét chọn nhiều lần, nhiều phần, rồi thay thế bằng pass thật.
+ C2: Chia password thành nhiều phần
VD: pass của bạn là DEFABC
Bạn có thể chia đoạn pass thành 2 phần là: DEF và ABC
Khi gõ pass thì bạn gõ phần 2 trước, sau đó click chuột về đầu ô password rồi gõ tiếp phần 1.
Khi attracker dùng keylog thì sẽ nhận được pass là: ABCDEF << trật lất
+ Có thể kết hợp chia ra nhiều phần, click ở nhiều vị trí khác nhau trên password, kết hợp quét select.
Copy paste 1 đoạn text
+ Thằng bạn tớ có 1 cái password như sau: My computer ABC
Khi nó đăng nhập thì nó chọn vào My computer, nhấn F2 để Rename rồi copy tên "My Computer" paste vào ô password rồi mới gõ ABC
+ Chương trình keylog sẽ tìm ra pass như sau:
F2Ctrol+CCtrl+PABC
Cách này không hiệu quả nếu keylog có chức năng ghi hình màn hình.
Attracker có thể dựa vào password giả rồi phân tích hành vi bạn làm trong video để suy ra pass thật.
* Chống rà password
- Đặt password phức tạp (Có số, chữ, ký tự đặc biệt), có độ dài tối thiểu 9 ký tự.
- Ngoài các ký tự đặc biệt trên bàn phím bạn có thể sử dụng thêm các ký tự đặc biệt khác trong bảng charmap (Start\Run\charmap)
Bạn thử giữ phím ALT sau đó nhấn một số bất kỳ từ 0-255 xem, sau đó thả nút ALT ra bạn sẽ nhận được 1 ký tự đặc biệt.
VD: Giữ phím ALT, nhấn 255 bạn sẽ được 1 khoảng trắng (Ký tự khoảng trắng này không giống với ký tự khoảng trắng thông thường space hoặc ALT+32)
Attracker có thể bị nhẫm lẫn.
- Không lưu pass trong các trình duyệt khi đăng nhập,
- Nếu bạn sử dụng nhiều dịch vụ trên mạng thì nên đặt mật khẩu ở mỗi trang khác nhau, hoặc tên đăng nhập khác nhau càng tốt.
...
* Chống xâm nhập hoặc lấy nick trực tiếp:
- Để đảm bảo an toàn tuyệt tối thì đầu tiên bạn nên cài đặt máy tính cẩn thận, tạo bản ghost.
Khi nghi ngờ có virus thì ghost lại ngay.
- Scan port và khóa các port không cần thiết
- Không nên vào các site lạ khi đang đăng nhập yahoo chat hoặc đang đăng nhập vào 1 trang dịch vụ mạng, có thể bạn sẽ bị lấy cắp cookie.
- Không nên click vào các link lạ hoặc link có các ký tự không rõ nghĩa, hoặc link quá dài (Nếu đó không phải là link kích hoạt tài khoản)
- Không nên gõ password của 1 site khác vào site đang sử dụng.
VD: tôi vào site A, và tôi được yêu cầu nhập password của site B để đăng nhập hoặc để liên kết gì đấy (không nên)
Có thể đó là chức năng đăng nhập OPEN nhưng để đảm bảo an toàn thì không nên nhập vào. (trừ các site an toàn)
- Nên scan phần mềm trước khi cài đặt để phòng chống keylog và spyware, có thể cài trên máy ảo để test thử trước khi cài vào máy thật.
Trong máy ảo kiểm tra các kết nối Internet sau khi cài đặt phần mềm xem có spyware hay không.
- Hãy cẩn thận với các phần mềm yêu cầu update file hoặc download file từ server.
Tốt nhất nên cài các file nén, không nên dùng các file update. Trước khi cài nên tắt internet, tránh trường hợp phần mềm tự update file trên internet.
- Khi bạn không truy cập các chương nào có nối mạng mà biểu tượng mạng của bạn sáng đèn thì bạn đã bị spyware, backdoor,..
- Trong 1 file flash cũng có thể ghi được code (Action Script) để hack password vì thế nên logout và xóa cookies hết các tài khoản trước khi mở file flash mà bạn cảm thấy nghi ngờ.
.....
1/ Dùng email thứ 2 mà bạn đã đăng ký để lấy lại.
- Có thể hacker khi có pass yahoo của bạn hắn đã đổi lại địa chỉ Email này thành email của nó,
nên khi bạn đổi lại mật khẩu hắn chỉ cần, chọn forgot password là tự động gửi lại pass về.
2/ Trả lời câu hỏi bảo mật.
- Câu hỏi bảo mật đôi khi lại không bảo mật, vì nó liên quan đến các hành vi, thói quen, mối quan hệ... của bạn.
VD: Câu hỏi "Bạn thích con vật nào?", Nếu 1 người nào đó biết bạn thích "con chó" thì hắn chôm pass dễ dàng.
- Câu trả lời bảo mật không bị Ẩn thành dấu * khi bạn gõ nên có thể bị nhìn thấy lúc đăng ký.
3/ Hack lại từ hacker (Key log, Rà pass, xâm nhập,...)
* Phòng chống (chỉ hiệu quả đối với thường dân ):
- Dùng các chuơng trình quét virus, keylog, spyware,..., scan port (tắt các port ko sử dụng),...
- Phòng keylog:
Do Keylog không nhận được chuột nên khi gõ pass ta nên dùng chuột để qua mặt hoặc copy paste 1 đoạn text
Dùng chuột (cách tớ thường dùng)
+ C1: Tại ô password tớ gõ vào 1 pass ngẫu nhiên, VD: IloveYou (không phải pass thật), sau đó dùng chuột quét chọn đoạn pass vừa gõ rồi mới gõ nick thật vào. VD:AnhYeuEm. Nếu máy bạn có keylog thì attracker sẽ nhận được pass là: ILoveYouAnhYeuEm << trật lất
Có thể áp dụng viết nhiều pass giả rồi quét chọn nhiều lần, nhiều phần, rồi thay thế bằng pass thật.
+ C2: Chia password thành nhiều phần
VD: pass của bạn là DEFABC
Bạn có thể chia đoạn pass thành 2 phần là: DEF và ABC
Khi gõ pass thì bạn gõ phần 2 trước, sau đó click chuột về đầu ô password rồi gõ tiếp phần 1.
Khi attracker dùng keylog thì sẽ nhận được pass là: ABCDEF << trật lất
+ Có thể kết hợp chia ra nhiều phần, click ở nhiều vị trí khác nhau trên password, kết hợp quét select.
Copy paste 1 đoạn text
+ Thằng bạn tớ có 1 cái password như sau: My computer ABC
Khi nó đăng nhập thì nó chọn vào My computer, nhấn F2 để Rename rồi copy tên "My Computer" paste vào ô password rồi mới gõ ABC
+ Chương trình keylog sẽ tìm ra pass như sau:
F2Ctrol+CCtrl+PABC
Cách này không hiệu quả nếu keylog có chức năng ghi hình màn hình.
Attracker có thể dựa vào password giả rồi phân tích hành vi bạn làm trong video để suy ra pass thật.
* Chống rà password
- Đặt password phức tạp (Có số, chữ, ký tự đặc biệt), có độ dài tối thiểu 9 ký tự.
- Ngoài các ký tự đặc biệt trên bàn phím bạn có thể sử dụng thêm các ký tự đặc biệt khác trong bảng charmap (Start\Run\charmap)
Bạn thử giữ phím ALT sau đó nhấn một số bất kỳ từ 0-255 xem, sau đó thả nút ALT ra bạn sẽ nhận được 1 ký tự đặc biệt.
VD: Giữ phím ALT, nhấn 255 bạn sẽ được 1 khoảng trắng (Ký tự khoảng trắng này không giống với ký tự khoảng trắng thông thường space hoặc ALT+32)
Attracker có thể bị nhẫm lẫn.
- Không lưu pass trong các trình duyệt khi đăng nhập,
- Nếu bạn sử dụng nhiều dịch vụ trên mạng thì nên đặt mật khẩu ở mỗi trang khác nhau, hoặc tên đăng nhập khác nhau càng tốt.
...
* Chống xâm nhập hoặc lấy nick trực tiếp:
- Để đảm bảo an toàn tuyệt tối thì đầu tiên bạn nên cài đặt máy tính cẩn thận, tạo bản ghost.
Khi nghi ngờ có virus thì ghost lại ngay.
- Scan port và khóa các port không cần thiết
- Không nên vào các site lạ khi đang đăng nhập yahoo chat hoặc đang đăng nhập vào 1 trang dịch vụ mạng, có thể bạn sẽ bị lấy cắp cookie.
- Không nên click vào các link lạ hoặc link có các ký tự không rõ nghĩa, hoặc link quá dài (Nếu đó không phải là link kích hoạt tài khoản)
- Không nên gõ password của 1 site khác vào site đang sử dụng.
VD: tôi vào site A, và tôi được yêu cầu nhập password của site B để đăng nhập hoặc để liên kết gì đấy (không nên)
Có thể đó là chức năng đăng nhập OPEN nhưng để đảm bảo an toàn thì không nên nhập vào. (trừ các site an toàn)
- Nên scan phần mềm trước khi cài đặt để phòng chống keylog và spyware, có thể cài trên máy ảo để test thử trước khi cài vào máy thật.
Trong máy ảo kiểm tra các kết nối Internet sau khi cài đặt phần mềm xem có spyware hay không.
- Hãy cẩn thận với các phần mềm yêu cầu update file hoặc download file từ server.
Tốt nhất nên cài các file nén, không nên dùng các file update. Trước khi cài nên tắt internet, tránh trường hợp phần mềm tự update file trên internet.
- Khi bạn không truy cập các chương nào có nối mạng mà biểu tượng mạng của bạn sáng đèn thì bạn đã bị spyware, backdoor,..
- Trong 1 file flash cũng có thể ghi được code (Action Script) để hack password vì thế nên logout và xóa cookies hết các tài khoản trước khi mở file flash mà bạn cảm thấy nghi ngờ.
.....
0 nhận xét: