Ай Ком Сервис 11.05.2010 Как украсть чужой пароль - 11 Мая 2010 - Ай Ком Сервис
Главная » 2010 » Май » 11 » 11.05.2010 Как украсть чужой пароль
21:00
11.05.2010 Как украсть чужой пароль
Уже не первый год в сети публикуются аналитические данные и отчёты, связанные с анализом защиты пользователей своих аккаунтов посредством пароля.  И каждый раз, ситуация повторяется, так как очень многие люди используют одни и те же пароли. И не только одну и ту же комбинацию, но еще и такую, которую однозначно можно считать легко подбираемой. Интернет-эксперт, директор компании iFusion Labs и блогер Джон Позаджидес (John Pozadzides) рассказал, какие пароли можно использовать, а какие нет, и как можно взломать слабый.  Обращаем ваше внимание, что данная статья- это не руководство на тему «Как украсть пароль», а перевод статьи Lifehacker с попыткой объяснить, насколько уязвимым может быть ваш текущий пароль. Согласно Alldayplus.ru, топ-20 паролей Рунета особо не изменился и выглядит следующим образом:
12345; 123456; 11111; 55555; 77777; qwerty; 111111; 00000; 666666; 123456789;  54321; 123321; 1234567; 123123; gfhjkm; 7777777; qwert; 22222; 555555; 123. 
Знакомая картина, не правда ли? С точки зрения статистики, 10 самых популярных паролей используют 20% сетевого населения. Но не переживайте: если хакер не получил ваш пароль сейчас, то это значит, что ему просто надо немного больше времени… Хакеры разработали широкий набор различных инструментов, чтобы украсть ваши персональные данные. Главным препятствием на пути этих мошенников по-прежнему остается пароль, который вы выбрали сами: по иронии судьбы, лучшая информационная защита, которая есть у людей, это та, к которой они относятся наименее серьезно. Самый простой путь заполучить ваш пароль – использовать метод брутфорса (brut-force, «грубая сила»), когда пароль подбирается фактически вручную с помощью специальной программы. Итак, как же понять, попадаете ли вы в группу риска? Довольно просто. Следите за логической цепочкой:

- Вы используете один и тот же пароль несколько раз в разных местах.

- Некоторые важные для меня сайты, такие как интернет-банк или ваше рабочее место, подключенное через VPN, обладают     приличным уровнем безопасности, так что я их не буду трогать.

- Однако, сайты наподобие сервиса открыток Hallmark, ваш любимый онлайн-форум, интернет-магазин, в котором закупаетесь, вряд ли защищены должным образом. Так что я попробую сделать что-нибудь с ними.

- Таким образом, мой следующий шаг – утилиты наподобие Brutus, wwwhack, THC Hydra, которые будут применены к какому-нибудь из подобных сервисов с указанием подобрать 10 тысяч (ну или 100 тысяч – неважно) комбинаций пользователя и пароля так быстро, как это вообще возможно.

- Как только я получу пару логин-пароль, я могу попробовать ее на других сайтах.

- Ээ, стоп. Откуда я знаю, каким вы пользуетесь банком, и какой логин вы чаще все используете? По секрету – все это записано в куки-файлах (cookies), которые хранятся в браузере в незашифрованном виде и с отличными, «говорящими» именами. Насколько быстро вся эта схема может быть реализована? Ну, это зависит от трех вещей: длина и сложность вашего пароля, мощность хакерского компьютера и скорость его интернет-соединения. Как правило, у хакеров довольно мощная машина и быстрый интернет, поэтому попробуем оценить примерное время подбора пароля в зависимости от его длины, сложности и с учетом всех возможных распространенных комбинаций. Обратите также особое внимание на регистр букв и специальные символы. Добавление только одной буквы или символа «*» привете к тому, что восьмисимвольный пароль будет подбираться не 2,4 дня, а два с лишним столетия.

Обратите внимание, это лишь примерное время вычисления на среднем компьютере, и в данной таблице предполагается, что используется любое слово из словаря. Если бы Google подключила к работе свои компьютеры, то закончила бы работу в 1000 раз быстрее. Теперь я могу часами сидеть и пытаться вас поломать, чтобы сделать вас совсем несчастным – и 95% из этих методов используют прежде всего ваш слабый пароль. Так что же вам мешает защитить себя лучше и спокойней спать ночью? Поверьте мне, я понимаю, что больше разных сложных паролей труднее запомнить. Но попробуйте хотя бы для начала сделать такой пароль, который хоть и будет простым для запоминания вами, но никогда не придет в голову другим. И вот вам еще несколько советов на эту тему:

1. Замените часть символов похожими на них. Например, «o» можно заменить на «0» или «@». К примеру, «koza» станет выглядеть как «k03a».

2. Часть букв в пароле капитализируйте, как это делают школьники «В Контакте» : например M0dIfIeD.

3. Подумайте об имени какого-нибудь близкого вам человека. Но не используйте это имя само по себе – лучше прибавьте к имени словарное слово, и это будет самая простая защита от брутфорса.

4. Любимое место, марка машины, впечатление от отпуска, любимый ресторан тоже подойдут.

5. Вам правда нужно использовать разные комбинации логина-пароля везде. Запомните, с технической точки зрения можно вломиться куда угодно, если знать, что вы используете стандартные пароли. Эта фишка не сработает, если вы используете разные пароли везде.

6. Поскольку трудно запомнить, какие пароли и где вы используете, рекомендую сохранять их в специальных крипто-программах, например, Roboform для Windows. Она хранит все ваши пароли в зашифрованном виде, и нужно знать только один мастер-пароль для доступа к ним всем. Также Roboform автоматом заполняет формы на веб-страницах и его даже можно установить на КПК, мобильном телефоне или на флэшке. (Читатели Lifehackers любят использовать программу KeePass с открытым исходным кодом, служащую тем же целям, и к тому же кросс-платформенную.) Пользователи Mac и iPhone могут использовать утилиту 1Password.

7. Подумали о новом пароле? Попробуйте утилиту Microsoft Password Checker и проверьте, насколько он хорош.

А вот видео, которое показывает, как используется Roboform.



Другой аспект, который бы хотелось затронуть - это то, какое значение вы придаете паролям. Те, о которых вы думаете как о малозначимых, могут на самом деле значить очень много. Например, пароль от почтового ящика – многие думают, что это ерунда, потому что там ничего особо важного нет. А то, что e-mail связан с вашим аккаунтом в интернет-банке – к примеру? Если я взломаю ваш ящик, то смогу получить доступ к вашему банковскому счету – сказав, что забыл свой пароль и попрошу его выслать. Вы все еще считаете, что это неважно? Многие люди думают, что они защищены своим роутером или файрволлом, если хранят все свои пароли дома. И конечно же, они никогда не меняют пароли от своих устройств по умолчанию! Поэтому любой человек может подъехать к дому, сесть с ноутбуком на лестничной площадке и нарушить безопасность беспроводной сети, а затем заняться брутфорсом, пока не получит полный контроль над вашей сетью. Каждый день мы сталкиваемся с людьми, которые чрезмерно раздувают ту или иной проблему, делая из мухи слона. Но поверьте – это не тот случай. Есть еще полсотни разных невыгодных для вас вариантов, которые могут вас скомпрометировать с помощью слабого пароля. Я их даже не хочу упоминать. Я также понимаю, что большинству людей просто пофигу на это все – естественно, до тех пор, пока им не преподадут хороший урок. Но сделайте одолжение мне, да и себе тоже – потратьте немного времени и усильте защиту своих паролей! Чтобы я знал, что мои слова не пропали даром.

Избранные комментарии к оригиналу статьи

Barts: «Поскольку я много читаю, то использую пароли, которые имеют корни в забытых или восточноевропейских языках, и их проще их запомнить, если эти слова имеют какое-то значение для меня. Я могу добавить к ним еще и «звездочку» или знак подчеркивания, но я уверен, что мои пароли невозможно угадать. К примеру, номер моего диплома или номер заключенного, который мой дед имел в концлагере. Я, например, начал с арамейского варианта моего имени: «Бартоломью» (Bartholomew) - в оригинале это имя звучало как «Бар Толмаи» (Bar Tolmai), сын Птолемея (математик или астроном). Бар Толмаи можно представить в виде B4r T01m4i, 84r-T01m4i или B4r_+01m41 (но это уже для маньяков). И вуаля – 10-значный пароль готов. Если мне нужно сделать еще более безопасный пароль, я могу добавить цифру 5669, это последние цифры с номера старой машины моих родителей в Польше, когда эта страна была еще частью зоны советской оккупации (и кстати, это не настоящие цифры). А для менее значимых сайтов, например, игровых или просто компьютерных форумов, я использую время от времени более простые пароли, например, Sekigahara1600 – просто потому, что мне удобно запомнить дату и время этой исторической битвы.

p.s. Не глупите, я НЕ использую ни один из этих паролей в реальности»

kityglitr: «Я отлично защищен, все мои пароли уникальны и меняются ежемесячно…чуваки, это меня с ума сводит. Ничего не поделаешь, правда, нужно меньше париться об этом».

minealone6: «¿ʚоvоʚwиɔ хıqʇʎнdǝʚǝdǝu єи ʇиоʇɔоɔ но иvɔǝ ,qvоdɐu qʇɐdgо6оu ʇʎJоw ıqdǝʞɐх ɐ»

DharmaLab: «Можно еще, например, удваивать каждую букву, даже при использовании слабых паролей – не qwerty, а qqwweerrttyy. Удваивать слово, можно даже с капитализацией букв: «passwordPASSWORD. Также можно рисовать виртуальные формы на клавиатуре: скажем, квадрат 2х2. И тоже с капитализацией – 12qw!@qw».

ultraaman: «А мой пароль точно никто не подберет! Потому что я использую марку моей любимой игрушечной машины, когда мне было не скажу сколько лет. Хороший у меня выбор, правда?»

ragincajunnyc: «В дополнение к вышесказанному, хотел бы заметить, что не везде разрешены уникальные логины. Есть куча сервисов, которые используют в качестве логина адрес e-mail типа netflix@domain.com, newegg@domain.com и так далее. Подбирать пароли в таком случае становится много проще, особенно при наличии компьютера с мощным процессором».

heckler95: «А мне нравится использовать первые буквы предложений, фраз или слова песен, включая пунктуацию и числа в должной мере. Например, пароль, основанный на слогане компании UPS («What can brown do for you?») будет выглядеть так: UPSWcbdfy. Никаких словарных слов. Регистры, спецсимволы, числа. Но главное – чтоб не забыть потом все это».

John Steele: «Статья очень интересная… с теоретической точки зрения. Но как быть с практикой? Окей, давайте предположим, что я использую пароль с пятью символами разного регистра. Предположим, что у меня есть аккаунт на Hallmark. И быстрый интернет. Что, неужели Hallmark не заметит, если с одного IP послать тысячи запросов в течение 10 часов? Многие системы не допускают больше четырех попыток за две минуты».

Jsmorley: «Я лично использую всего 4 пароля. Один из них – на сайтах, которые не особо важны для меня, их примерно 80% от общего числа. Один я использую ТОЛЬКО для своего банковского аккаунта. Один я использую в Google, включая свой публичный ящик Gmail. И один пароль – для приватного ящика Gmail. Все они сильны в той степени, в которой это необходимо. И при таком подходе ни разу еще у меня не было проблем с украденным паролем; они, может быть, не «на века», но «на года» - совершенно точно».

Toothball: «А я использую серийные номера с моих гаджетов. Например, у моего МР3-плеера 12-значный серийник. Просто и эффективно – если забуду пароль, то просто переверну плеер и посмотрю на его нижнюю сторону».

Будьте бдительны и помните: Ваша безопасность зависит и от вас.
Категория: Защити и Безопасность | Просмотров: 1115 | Добавил: Administrator | Теги: программы для взлома, Пароли, взлом пароля, хакеры, как взломать пароль | Рейтинг: 0.0/0
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]