Как разбить монитор, чтобы никто не догадался
Обновлено: 21.11.2024
В каждом фильме с хакером всегда есть сцена, где хакер должен угадать правильный пароль. На большом мониторе компьютера вырисовывается мигающий курсор в поле пароля. Хакер обычно находится под большим давлением, и секунды отсчитываются. Они делают одно или два неправильных предположения, прежде чем, наконец, вводят правильный пароль, и вуаля! Они в деле. Теперь они могут запустить ракету, или остановить запуск ракеты, или украсть все улики, изобличающие криминального авторитета.
Судя по тому, что мы видим в фильмах и поп-культуре, можно подумать, что «взлом» — это вопрос угадывания нескольких паролей и мгновенного получения доступа к чему-либо . Вы также можете подумать, что обычно хакер-одиночка атакует конкретного человека по определенной причине — возможно, потому, что его целью является миллионер или ИТ-директор крупной компании.
Но то, что вы видите на большом экране, довольно далеко от истины о том, как хакеры получают пароли и как они их используют.
Как хакеры взламывают пароли?
Когда хакеры пытаются получить пароли, они не угадывают их один за другим в поле пароля. Вместо этого у них есть набор программ и баз данных, которые помогут им найти учетные данные, которые могут работать .
Во-первых, большинство паролей, к которым имеют доступ хакеры, украдены в ходе крупных утечек данных из популярных онлайн-сервисов. Когда в таких популярных сервисах, как LinkedIn, eBay и Adobe происходит утечка миллионов записей, пароли, украденные в результате этих нарушений, собираются в больших базах данных. Менее известные веб-сайты также регулярно взламываются из-за плохих протоколов безопасности. Итак, что же делают хакеры? Они используют эти «дампы» данных для выполнения «вставки учетных данных», когда они используют программное обеспечение (или «ботов») для автоматической проверки каждой комбинации имени пользователя и пароля в базе данных, чтобы увидеть, успешно ли кто-либо входит на другой веб-сайт (например, банк). ).
Или, если хакер знает адрес электронной почты для учетной записи пользователя, он может использовать «распыление паролей», когда они проверяют известные пароли (например, 12345 и asdf ), чтобы увидеть, работают ли они с этим конкретным адресом электронной почты. Опять же, эти тесты выполняются ботами , и только в случае обнаружения совпадения хакер использует действительные учетные данные, чтобы попытаться завладеть аккаунтом.
По данным Akamai , ежедневно совершается не менее 280 миллионов злонамеренных попыток входа в систему, включая 300 000 попыток входа в час из одного ботнета.
И давайте не будем забывать о фишинге. С большими базами данных, полными адресов электронной почты, хакерам очень легко отправлять миллионы электронных писем каждый день. Часто эти электронные письма выдают себя за законные службы, такие как банки, и обманом заставляют людей разглашать личную информацию. Человек может щелкнуть сообщение электронной почты и быть отправленным на страницу входа, которая выглядит законной, но на самом деле просто собирает свои учетные данные для использования хакером.
Как хакеры проникают в мой компьютер?
Маловероятно (хотя все же возможно), что хакеры действительно взломают ваш компьютер. Им гораздо проще использовать вброс учетных данных, распыление паролей и фишинг, чтобы попытаться найти действительные учетные данные для захвата онлайн-аккаунта.
Но есть и другие способы, с помощью которых хакеры могут попытаться украсть вашу информацию. Иногда фишинговые электронные письма содержат вредоносные программы или вредоносное ПО либо во вложениях, либо во встроенных ссылках. Загружая вредоносное ПО на свой компьютер, люди увеличивают вероятность установки кейлоггера, который затем может перехватить их пароли и отправить их хакеру. Или люди могут загрузить программу-вымогатель, которая позволяет хакерам вымогать у вас деньги или информацию, чтобы вернуть ваши данные.
Если у кого-то есть доступ к вашему физическому устройству дома или в офисе, также возможно, что кто-то попытается войти в систему прямо с вашего компьютера. Если ваши пароли записаны в легкодоступном месте, хакеру не составит труда взломать ваш компьютер. Тем не менее, риск очень низок, и, скорее всего, это будет кто-то, кого вы знаете лично, а не незнакомец.
Как защитить свои учетные записи от хакеров?
Большинство из нас не очень привлекательные цели для хакеров. Скорее всего, мы не миллионеры, не занимаем высокие должности в корпорациях и не занимаем высокие посты в правительстве. Но хакеры любят «низко висящие плоды» — они часто крадут то, что проще всего взять. Вот почему вброс учетных данных и распыление паролей так популярны; их можно легко и дешево автоматизировать, чтобы хакеры увеличили свои шансы найти деньги или больше данных для кражи, которые они могут продать в даркнете.
Теперь, когда мы демистифицируем взлом паролей, вы увидите, что простые действия могут значительно снизить риск стать жертвой взлома.
Во-первых, не используйте пароли повторно. Менеджер паролей может помочь вам создать уникальные пароли для каждой учетной записи (и предоставит вам удобное место для их хранения).Таким образом, пароль, украденный в результате утечки данных для одного веб-сайта, не даст хакеру автоматически доступ к другим вашим онлайн-аккаунтам.
Во-вторых, по возможности добавьте многофакторную аутентификацию. Если хакеру удастся получить ваше имя пользователя и пароль, MFA потребует дополнительную информацию для входа в систему, доступ к которой у хакера маловероятен.
В-третьих, имейте в виду. Если служба, которую вы используете, сообщает вам об утечке данных, обновите свой пароль. Зарегистрируйтесь в программе темного веб-мониторинга, чтобы быть в курсе любых утечек данных в Интернете и иметь возможность реагировать соответствующим образом.
С помощью всего нескольких простых шагов вы значительно снизите вероятность того, что хакер получит ваши пароли или взломает ваш компьютер. Когда вы перестанете быть легкой мишенью, хакеры с большей вероятностью откажутся от попыток вас взломать. Вы лучше защитите свою конфиденциальную информацию, свои финансы и свою личность от кражи и мошенничества.
Целью настоящего руководства является информирование студентов, преподавателей и сотрудников Университета Карнеги-Меллона («Университет») о характеристиках надежного пароля, а также предоставление рекомендаций по безопасному хранению паролей и управлению ими.
Применимо к
Это руководство распространяется на всех студентов, преподавателей и сотрудников, у которых есть имя пользователя и пароль хотя бы для одной университетской системы или приложения, независимо от того, являетесь ли вы конечным пользователем или системным администратором этой системы или приложения.
Определения
Надежный пароль — это пароль, который достаточно сложно угадать за короткий промежуток времени либо с помощью подбора человеком, либо с помощью специального программного обеспечения.
Рекомендации
Ниже приведены общие рекомендации по созданию надежного пароля:
Ниже приведены несколько рекомендаций по использованию надежного пароля:
-
Никому и ни при каких обстоятельствах не сообщайте свой пароль
Не следует сообщать пароли никому, в том числе студентам, преподавателям или сотрудникам. В ситуациях, когда кому-то требуется доступ к защищенным ресурсам другого человека, следует изучить варианты делегирования разрешений. Например, календарь Microsoft Exchange позволит пользователю делегировать управление своим календарем другому пользователю, не сообщая никаких паролей. Такой тип решения приветствуется. Пароли не должны разглашаться даже с целью ремонта компьютера. Альтернативой этому является создание новой учетной записи с соответствующим уровнем доступа для ремонтника.
Если вы подозреваете, что кто-то взломал вашу учетную запись, немедленно измените пароль. Обязательно смените пароль на компьютере, который вы обычно не используете (например, на университетском кластере). После сброса пароля сообщите об инциденте администратору местного отдела и/или в отдел информационной безопасности по адресу iso-ir@andrew.cmu.edu.
Парольная фраза – это пароль, состоящий из последовательности слов, в которые вставлены цифровые и/или символьные символы. Парольной фразой может быть текст песни или любимая цитата. Парольные фразы обычно имеют дополнительные преимущества, например, они длиннее и их легче запомнить. Например, парольная фраза «Мой пароль $superstr0ng!» имеет длину 28 символов и включает в себя буквенные, цифровые и специальные символы. Это также относительно легко запомнить. Важно отметить размещение числовых и символьных символов в этом примере, поскольку они предотвращают поиск нескольких слов в стандартном словаре. Использование пробелов также затрудняет подбор пароля.
Как правило, вам не следует записывать свой пароль. В случаях, когда необходимо записать пароль, этот пароль следует хранить в безопасном месте и должным образом уничтожить, когда он больше не нужен (см. Рекомендации по защите данных). Использование диспетчера паролей для хранения ваших паролей не рекомендуется, если диспетчер паролей не использует надежное шифрование и не требует аутентификации перед использованием. ISO проверил некоторые менеджеры паролей, которые соответствуют этим требованиям.
При смене пароля учетной записи следует избегать повторного использования предыдущего пароля. Если учетная запись пользователя была ранее скомпрометирована сознательно или неосознанно, повторное использование пароля может привести к повторной компрометации этой учетной записи пользователя. Точно так же, если по какой-то причине был предоставлен общий доступ к паролю, повторное использование этого пароля может привести к несанкционированному доступу к вашему аккаунту.
Несмотря на то, что использование одного и того же пароля для нескольких учетных записей облегчает запоминание ваших паролей, это также может иметь цепной эффект, позволяющий злоумышленнику получить несанкционированный доступ к нескольким системам. Это особенно важно при работе с более конфиденциальными учетными записями, такими как учетная запись Эндрю или учетная запись онлайн-банкинга. Эти пароли должны отличаться от паролей, которые вы используете для обмена мгновенными сообщениями, веб-почты и других учетных записей в Интернете.
Использование функции автоматического входа в систему сводит на нет большую часть ценности использования пароля.Если злоумышленник сможет получить физический доступ к системе, в которой настроен автоматический вход в систему, он или она сможет получить контроль над системой и получить доступ к потенциально конфиденциальной информации.
Ниже приведены рекомендации для лиц, ответственных за предоставление и поддержку учетных записей пользователей:
Многие системы и приложения включают функции, которые не позволяют пользователю установить пароль, не соответствующий определенным критериям. Подобную функциональность следует использовать, чтобы гарантировать установку только надежных паролей.
Принуждение пользователя к смене исходного пароля помогает гарантировать, что только этот пользователь знает свой пароль. В зависимости от того, какой процесс используется для создания и передачи пароля пользователю, эта практика также может помочь снизить риск угадывания или перехвата первоначального пароля во время передачи пользователю. Это руководство также относится к ситуациям, когда пароль необходимо сбросить вручную.
В определенных ситуациях пользователю может быть выдана новая учетная запись, и он не может получить доступ к этой учетной записи в течение определенного периода времени. Как упоминалось ранее, исходные пароли имеют более высокий риск угадывания или перехвата в зависимости от того, какой процесс используется для создания и распространения паролей. Принудительное истечение срока действия первоначального пароля через определенный период времени (например, 72 часа) помогает снизить этот риск. Это также может быть признаком того, что учетная запись не нужна.
Руководство по классификации данных определяет данные с ограниченным доступом в своей схеме классификации данных. Данные с ограниченным доступом включают, помимо прочего, номер социального страхования, имя, дату рождения и т. д. Этот тип данных не следует использовать полностью или частично для составления первоначального пароля. Более полный список типов данных см. в Приложении A.
Прежде чем сбрасывать пароль, всегда следует подтверждать личность пользователя. Если запрос подается лично, для этого достаточно удостоверения личности с фотографией. Если запрос по телефону, подтвердить личность будет намного сложнее. Один из способов сделать это — запросить видеоконференцию с пользователем (например, Skype), чтобы сопоставить человека с его удостоверением личности с фотографией. Однако это может быть обременительным процессом. Другой вариант — позвонить менеджеру человека и подтвердить запрос. По понятным причинам это не сработает для студенческих запросов. Решение для самостоятельного сброса пароля, если оно доступно, предлагает пользователю ряд настраиваемых вопросов и является эффективным подходом к решению проблемы сброса пароля.
Как указано выше, пароли отдельных учетных записей пользователей не должны передаваться по какой-либо причине. Естественная корреляция с этим руководством — никогда не спрашивать у других их пароли. Опять же, делегирование разрешения — это одна из альтернатив запросу пароля у пользователя. Некоторые приложения включают функции, которые позволяют администратору выдавать себя за другого пользователя, не вводя пароль этого пользователя, при этом привязывая действия к учетной записи пользователя администратора. Это тоже приемлемая альтернатива. В случае ремонта компьютера одной из альтернатив является запрос на создание пользователем временной учетной записи в своей системе.
Ниже приведены несколько дополнительных рекомендаций для лиц, ответственных за разработку и внедрение систем и приложений:
-
Изменить пароли учетных записей по умолчанию
Учетные записи по умолчанию часто являются источником несанкционированного доступа злоумышленника. По возможности их следует полностью отключить. Если учетную запись невозможно отключить, пароли по умолчанию следует изменить сразу после установки и настройки системы или приложения.
Общие сервисные аккаунты обычно предоставляют повышенный уровень доступа к системе. Учетные записи системного уровня, такие как root и Administrator, обеспечивают полный контроль над системой. Это делает эти типы учетных записей очень уязвимыми для вредоносных действий. В результате должен быть реализован более длинный и сложный пароль. Системные учетные записи и учетные записи общих служб обычно имеют решающее значение для работы системы или приложения. Из-за этого эти пароли часто известны более чем одному администратору. Пароли следует менять каждый раз, когда кто-либо, знающий пароль, меняет должностные обязанности или увольняется. Использование таких учетных записей, как root и Administrator, также должно быть максимально ограничено. Следует изучить альтернативы, такие как использование sudo вместо root и создание уникальных учетных записей для администрирования Windows вместо использования учетных записей по умолчанию.
Использование одного и того же пароля для нескольких учетных записей может упростить администрирование систем и приложений. Однако эта практика также может иметь цепной эффект, позволяющий злоумышленнику проникнуть в несколько систем в результате компрометации пароля одной учетной записи.
Пароли не должны храниться или передаваться с использованием слабых алгоритмов шифрования или хеширования.Например, и алгоритм шифрования DES, и алгоритм хеширования MD-4 имеют известные недостатки в системе безопасности, которые могут позволить расшифровать защищенные данные. Алгоритмы шифрования, такие как 3DES или AES, и алгоритмы хэширования, такие как SHA-1 или SHA-256, являются более надежными альтернативами ранее упомянутым алгоритмам. Свяжитесь с отделом информационной безопасности по адресу iso@andrew.cmu.edu, если у вас есть вопросы, связанные с использованием определенного алгоритма шифрования и хеширования.
При изменении или сбросе пароля владельцу учетной записи этого пользователя должно автоматически отправляться электронное письмо. Это предоставляет пользователю подтверждение того, что изменение или сброс были успешными, а также предупреждает пользователя, если его пароль был изменен или сброшен по незнанию.
Ниже приведены дополнительные рекомендации для системных или сервисных учетных записей, которые не предназначены для использования людьми:
- По возможности сервисные аккаунты должны создаваться случайным образом, иметь длину (>= 15 символов) и соответствовать тем же требованиям сложности для надежных паролей, которые указаны выше.
- Служебные учетные записи в Microsoft Active Directory с именем участника-службы (SPN) должны создаваться случайным образом, иметь длину (>= 28 символов) и соответствовать тем же требованиям сложности для надежных паролей, которые указаны выше. Большая длина снижает эффективность слабых шифровальных шифров. Если совместимость программного обеспечения требует установки более короткого пароля, свяжитесь с отделом информационной безопасности (iso@andrew.cmu.edu), чтобы обсудить меры компенсации.
Дополнительная информация
Если у вас есть какие-либо вопросы или комментарии, связанные с этим Руководством, отправьте электронное письмо в отдел информационной безопасности университета по адресу iso@andrew.cmu.edu.
Дополнительную информацию также можно найти на следующих ресурсах:
История изменений
Версия | Дата Опубликовано | Автор | Описание |
1.0< /td> | 01.12.2007 | Дуг Маркевич | Оригинальная публикация. Заменяет рекомендации по надежности паролей и рекомендации по совместному использованию паролей. |
1.1 | 14/05/2008 | Дуг Маркевич | Обновлена неработающая ссылка в дополнительной информации. |
1.2 | 12.09.2012 | Дуг Маркевич | Обновлены устаревшие ссылки на дополнительные ресурсы. |
1.3 | 24/03/2014 | Wiam Younes | Обновлена информация о процедуре компрометации пароля и пример проверки личности пользователя. |
1.4 | 14.09.2017 | Лаура Радерман | Обновлены ссылки на новый сайт Computing Services и отформатированы для новых шаблонов CMS |
1.5 | < td>18/02/2022Лаура Радерман | Добавлено руководство для сервисных аккаунтов. |
< table border="0">
Подбор паролей также можно выполнять с помощью радужных таблиц, которые представляют собой таблицы поиска с предварительно вычисленными хэшами паролей. Например, можно создать радужную таблицу, содержащую все возможные пароли для заданного набора символов определенной длины. Затем оценщики могут искать в таблице хэши паролей, которые они пытаются взломать. Для радужных таблиц требуется много места для хранения, и их создание может занять много времени, но их основной недостаток заключается в том, что они могут быть неэффективны против хэширования паролей, использующего соли. Соление — это включение случайной части информации в процесс хэширования паролей, что снижает вероятность того, что идентичные пароли вернут один и тот же хэш. Радужные таблицы не будут давать правильных результатов без учета соли, но это значительно увеличивает объем памяти, требуемый таблицам. Многие операционные системы используют механизмы хеширования паролей с солью, чтобы снизить эффективность радужных таблиц и других форм взлома паролей. 17
Домен 9
Эрик Конрад, . Джошуа Фельдман, учебное пособие CISSP, 2010 г.
Подбор и взлом пароля
Хотя некоторые не различают эти два понятия, целесообразно проводить различие между подбором пароля и взломом, поскольку методы различаются. Подбор пароля — это более простой из двух методов как с точки зрения злоумышленника, так и с точки зрения защитника. Подбор пароля — это онлайн-метод, который включает попытку аутентифицировать конкретного пользователя в системе. Под взломом пароля понимается автономный метод, с помощью которого злоумышленник получает доступ к хэшам паролей или базе данных.Обратите внимание, что большинство веб-атак на пароли связаны с подбором пароля, поэтому веб-приложения должны быть разработаны с учетом этого с точки зрения обнаружения и предотвращения.
Подбор пароля можно обнаружить, отслеживая системные журналы неудачных попыток входа. Чтобы отличить обычного пользователя, который случайно ошибся при вводе пароля, от злоумышленника, полезны уровни отсечения. Уровни отсечения определяют минимальный пороговый уровень отчетности. Используя пример подбора пароля, можно установить уровень отсечки таким образом, чтобы система аудита предупреждала только в том случае, если неудачная аутентификация происходит чаще, чем пять раз в час для конкретного пользователя. Уровни отсечения могут помочь отличить атаки от шума, однако они также могут привести к ложным отрицательным результатам, если злоумышленники смогут подобрать порог, ниже которого они должны работать.
Предотвращение успешных атак с подбором пароля обычно осуществляется с помощью блокировки аккаунта. Блокировка учетной записи используется для того, чтобы злоумышленник не смог просто угадать правильный пароль, пытаясь ввести большое количество потенциальных паролей. Некоторым организациям требуется ручное исправление заблокированных учетных записей, обычно в форме вмешательства службы поддержки. Однако некоторые организации настраивают блокировку учетных записей просто для автоматического сброса времени, что не обязательно требует ручного вмешательства. Следует проявлять осторожность при настройке блокировки учетной записи, так как злоумышленник, даже не сумев получить правильный пароль, может создать значительную административную нагрузку, преднамеренно заблокировав большое количество учетных записей.
Взлом пароля считается атакой в автономном режиме, поскольку злоумышленник получил доступ к хэшу пароля для определенной учетной записи или ко всей базе данных паролей. Большинство баз данных паролей хранят пароли в виде хэшей, а не в виде открытого текста. Эти односторонние криптографические хэши создаются путем запуска открытого текста пароля с помощью алгоритма хеширования, такого как MD5, LM, NT Hash (MD4) и т. д. Злоумышленник попытается взломать пароль с помощью словаря, гибрида и, наконец, грубой силы. метод, если у него есть соответствующие мотивы для получения пароля в виде открытого текста. Метод словаря просто указывает инструменту для взлома паролей использовать предоставленный список слов в качестве потенциальных паролей. Инструмент зашифрует предоставленное слово, используя алгоритм сопоставления пароля, и сравнит полученный хэш с хэшем в базе данных. Если два хэша совпадают, то теперь известен открытый текстовый пароль. Если метод словаря не удался, вероятно, будет предпринята попытка гибридного подхода. Гибридный подход к взлому паролей по-прежнему использует список слов (словарь), но вносит изменения в слово, прежде чем подвергнуть догадку алгоритму хеширования. Общие изменения, вносимые гибридными взломщиками, включают добавление цифр или символов к паролю в начале или в конце, изменение регистра букв в слове, замену букв общими символами или цифрами (например, замену «о» на «0»). Наконец, подбор пароля включает в себя простое перебор всех возможных паролей до тех пор, пока не будет найдено правильное совпадение. Полный перебор в конечном итоге даст пароль, но вопрос в том, достаточно ли быстро (дни, месяцы или годы) он вернет открытый текстовый пароль, чтобы он все еще имел ценность. Разновидностью типичного подбора пароля, который может значительно увеличить скорость, с которой может быть извлечен правильный пароль, является атака методом прямого перебора перед вычислением. Этот метод использует радужные таблицы, которые представляют собой таблицы предварительно вычисленных комбинаций паролей и хэшей, иногда в определенных пределах, таких как верхний предел длины пароля или включающий только наиболее распространенные символы, набор всех хэшей паролей, которые применимы для данного алгоритма. В то время как радужные таблицы могут свести взлом паролей к простому просмотру таблицы, чтобы найти хеш пароля, создание этих радужных таблиц является чрезвычайно трудоемким процессом.
Эффективность атак с предварительным перебором с использованием радужных таблиц зависит от реализации алгоритма хеширования паролей. Основная особенность, которая определяет, сильно ли радужные таблицы увеличат скорость восстановления пароля, заключается в том, используются ли в реализации алгоритма соли, которые являются просто способом внесения случайности в результирующие хэши. В отсутствие солей один и тот же пароль каждый раз будет давать один и тот же хэш. Примечательно, что хэши Windows LM и NT не содержат соли, что делает их особенно уязвимыми для такого типа перебора. В системах Linux и UNIX соли используются десятилетиями. 16-битная соль фактически потребует от злоумышленника создания 65 536 отдельных наборов радужных таблиц, по одному набору для каждой возможной соли.
Предотвратить успешные попытки взлома паролей можно с помощью политик надежных паролей, которые предписывают соответствующую длину, сложность, срок действия и ротацию паролей. Кроме того, еще одной превентивной мерой является надежная система безопасности, которая предотвращает получение злоумышленником доступа к базе данных паролей.
У всех есть эти внутренние гремлины, которые разговаривают с ними, вызывая самые плохие мысли, предугадывая их инстинкты и в целом проявляя недоброе отношение.
Откуда именно исходят эти критические голоса? И почему они такие злые? Если вы читаете это, вы, вероятно, знаете, о чем я (ТК) говорю — это негативный разговор с самим собой, и никто не застрахован от этого.
Итак, мы поговорили с одним из моих фаворитов, Джой Харден Брэдфорд, доктором философии. (более известный как доктор Джой), клинический психолог из Атланты, организатор и основатель Therapy for Black Girls, о нескольких способах успокоить эти голоса.
Джой Харден Брэдфорд, доктор философии, лицензированный психолог, спикер, автор, а также ведущий и основатель подкаста Therapy for Black Girls. Кэрол Ли Роуз, Colurwrk скрыть подпись
Поговорите с собой так, как вы бы разговаривали с другом
Многие из наших негативных разговоров с самим собой исходят из сообщений, которые мы услышали в мире и усвоили — может быть, от чрезмерно критичного опекуна, школьного хулигана или СМИ.
Когда мы корим себя за ошибки, пренебрежительно относимся к своей внешности или отговариваем себя от великих идей, мы не проявляем к себе той благодати и заботы, которые могли бы оказать другим. Попробуйте проявить немного сострадания к себе и заменить негативный внутренний голос на более добрый.
Спасательный набор
Натолкнуться на стену пандемии? Иллюстрированное руководство по самовыражению
"Мы говорим о том, чтобы использовать тот же добрый и мягкий язык и подходы, которые мы делаем с другими людьми, которых мы любим в нашей жизни, с самими собой", – говорит доктор Джой. "Потому что мы также люди, которых мы надеемся любить, верно?"
Когда вы поймете, что говорите себе свысока, спросите: "Сказал бы я это своему лучшему другу?" Затем напомните себе, кто вы есть на самом деле. Как лучший друг себе, я стараюсь помнить, что все мы совершаем ошибки, никто не смотрит на мой прыщ, и со мной приятно находиться рядом!
Отслеживание и сбор доказательств
Прежде чем вы сможете отключить этот злобный тихий голос, вы должны знать, как он работает. «Мы хотим отслеживать и вести журнал негативных разговоров с самим собой», — говорит доктор Джой. Выберите половину дня, обратите внимание на эти негативные модели мышления и запишите их.
Тогда вам нужно собрать квитанции. Как только вы заметите, что рассказываете себе не очень приятные истории, соберите доказательства того, действительно ли эти истории правдивы.
Спасательный набор
Как начать терапию
Доктор. Радость показывает нам пример. Скажем, ваш негативный внутренний диалог звучит так: «Я никогда ничего не достигаю». Спросите себя: «Какие у меня есть доказательства, подтверждающие это? Вы никогда добились чего-либо или получили повышение в прошлом году? ты вовремя встаешь с постели этим утром?"
Запишите эти доказательства. «Есть что-то в том, чтобы физически что-то записать, что позволяет вам как бы увидеть: «Хорошо, на самом деле это неправда, верно?» — говорит доктор Джой. Как только вы раскроете дело гремлинов .
Найдите подходящие утверждения
Выйти из состояния негативного разговора с самим собой может быть непросто. Наше отсутствие самооценки в данный момент не позволяет нам верить утверждениям окружающих нас людей или самих себя. Позитивный разговор с самим собой – важный шаг в изменении наших моделей поведения, но говорить себе, что мы – колени пчелы, в данный момент может быть слишком грандиозно.
Вы можете смягчить свои утверждения, чтобы они казались вам подлинными. «Мы хотим чего-то, во что вы действительно чувствуете, что можете вырасти. Итак, «Я обязуюсь любить себя немного больше каждый день», или «Я обязуюсь каждый день делать все возможное», или «Я лучше, чем я был. "
Меньше времени проводите в социальных сетях
Исследования показывают, что люди во всем мире проводят три часа (и лазают!) в день в социальных сетях.Я определенно виновен в том, что теряю 30 минут тут и там, просматривая все свои каналы. Неизбежно я оказываюсь на том, что я называю «Терапия ИГ», где живут все бесплатные советы по психическому здоровью. Поначалу это может воодушевлять, но иногда это заставляет меня сомневаться в себе, и мне приходится спрашивать себя, когда все это слишком много?
Спасательный набор
Приклеены к телефону? Вот как переосмыслить свои отношения с социальными сетями
Доктор. Джой соглашается с тем, что многие терапевты предлагают отличные идеи и ресурсы, но она также говорит, что вся эта информация может быть ошеломляющей. "Когда вы уже боретесь с негативными разговорами с самим собой, последнее, что вам нужно, – это куча аккаунтов в социальных сетях, говорящих вам, что вы делаете что-то неправильно".
Она предлагает проверять, сколько времени вы проводите в социальных сетях, и осознавать, какую информацию вы потребляете.
"Даже если это полезно, просто нехорошо постоянно думать обо всех вещах, которые вы могли бы сделать лучше, вместо того, чтобы говорить: "Я достаточно хорош, как я есть, даже если есть есть некоторые вещи, над которыми я хочу поработать». "
Не думайте о себе меньше — думайте о себе меньше
Очевидный (но трудный) способ перестать быть таким строгим к себе — просто перестать так много думать о себе. "Что-то, что часто происходит с депрессией и беспокойством, заключается в том, что мы чувствуем, что люди обращают на нас гораздо больше внимания, чем на самом деле", – говорит доктор Джой.
Если вы чувствуете, что зациклены на всех своих якобы ужасных недостатках (доктор Джой называет это настойчивостью), она говорит, что работа руками может помочь вам выбраться из этого пространства. Садоводство, вязание, раскраска, пластилин Play-Doh — вы поняли.
Спасательные наборы, которые помогут вам вырваться из головы
- Как разбить сад
- Начальное руководство по шитью
- Как найти хобби
- 6 советов, которые помогут выработать творческую привычку
- Как вырастить счастливые комнатные растения
Или попробуйте выйти на улицу и понаблюдать за окружающим миром. «Если вы чувствуете себя комфортно, снимая обувь и ставя ноги на землю, или если вы находитесь рядом с водой, можете слышать волны или водопад — все, что вы можете сделать, действительно связывает вас с фактом, что есть что-то больше, чем мы, – говорит доктор Джой, – может быть очень полезным способом просто немного изменить свою точку зрения, чтобы вы не были так сосредоточены на себе".
Краткий обзор
Ключ к отказу от негативных разговоров с самим собой заключается в том, как мы практикуем утверждение. Окружите себя позитивным влиянием; подкрепите их напоминаниями, такими как стикеры или голосовые заметки, напоминающие себе обо всех ваших достижениях и целях. Попробуйте ограничить свое время в социальных сетях или, по крайней мере, прокрутите TikTok до раздела о щенках и котятах. Оценивайте, насколько замечательными вы становитесь каждый день, и никогда не позволяйте себе говорить обратное.
Читайте также: