Как я украду ваш пароль

Как я украду ваш пароль



Бесполезно просить человека внимательнее относиться к своей интернет-безопасности — избегать очевидных паролей и почаще включать голову. Мы решили пойти от противного: следите за тем, как прямо сейчас я украду ваш пароль.

Часть №1: Великолепная десятка

Для того, чтобы получить доступ к компьютеру пользователя, его почтовому или web-экаунту, хакеру порой не нужно никаких инструментов. По статистике, полученной WalkyTalky от опытного бразильского хакера, до 20% всех мировых экаунтов можно открыть так называемой «великолепной десяткой» — или десятью самыми распространенными паролями. Вот они:

1. Имя пользователя, его жены, ребенка или домашнего животного. В ряде случаев к имени добавляется 0 или 1 (причем не потому, что человек хочет чувствовать себя защищенным — некоторые сайты требуют цифро-буквенных паролей, а жертва идет самым простым путем).

2. Номер телефона — домашний, мобильный.

3. Простейшие цифры: 123, 1234 и 123456

4. password или слово «пароль» при включенной английской раскладке

5. Место рождения, а так же такие регионы, как: eldorado, shambala, galaxy

6. Дата рождения пользователя, его жены, ребенка. Для тех, кто служил в армии — это место занимает номер армейского жетона.

7. God или Бог

8. сезамоткройся, сезам, пустименя, впуститеменя, открой!

9. Mistery или наш аналог — «тайна»

10. Love, любовь,

Часть №2: Взлом при помощи Brute Force

Самый простой и популярный способ взлома — Brute Force. Суть ее проста: хакер подгружает библиотеку паролей в одну из сотен специализированных программ для brute force аттаки, после чего запускает ее. Шпионский софт начинает тупо ломиться на экаунт жертвы, каждый раз подставляя новый пароль. Если 10 паролей покрывают 20% населения планеты, представьте, насколько высоки шансы при переборе 100 000 популярных паролей?

Часть №3: Поиск логина

Пароль подобрать очень просто. Но как найти логин, к которому он подходит? К примеру, хакер хочет получить доступ к экаунту интернет-банкинга своей жертвы. Он знает, как ее зовут — пусть это Иван Сидоров. Взламывать систему банка — самоубийство — финансисты уже научились нанимать на работу очень качественных специалистов по технической безопасности. Что делает хакер?

Все до боли просто. Хакер уверен (и совершенно оправданно), что человек в 99% случаев использует один и тот же пароль для большинства сервисов. Поэтому для получения доступа к банковскому счету или другой частной информации достаточно взломать что-то простое… например, интернет-форум, на котором зарегистрирована жертва или сайт небольшого интернет-магазина.

Сделать это может даже ребенок. Программы Brutus и wwwhack можно за 2 минуты найти и скачать из Сети. После этого хакеру достаточно настроить ее на поиск 10-100тыс. логинов/паролей конкретного сайта и нажать «ввод». Результат работы подобного червяка — огромная база данных кодов доступа. А ее можно использовать для Brute Force атаки по методу перебора.

Часть №4: Сколько времени длится взлом

Скорость поиска пароля методом перебора при условии что быстрый прогон базы данных паролей не помог, сильно зависит от трех факторов: длинны пароля, мощности компьютера хакера и качества его инетрнет-соединения.

Порядок цифр такой:



Это статистика, рассчитанная исходя средней по рынку мощности персонального компьютера. Порядок слов — алфавитный: все подряд по словарю. Если подобную процедуру решили бы сделать в Google, она пошла бы в 1000 раз быстрее.

Часть №5: пять самых действенных советов по защите пароля

1) Для того, чтобы сделать пароль более сложным, но легко запомнить его, меняйте буквы на цифры, которые выглядят похожим образом. Букву «о» заменяйте на цифру «0», букву «i» на цифру 1, а букву a на собачку @. Подобрать пароль 1d10t уже сложнее, чем его буквенный аналог, т.к. хакеру для перебора придется задействовать и буквенные, и цифровую раскладки

2) Меняйте регистр случайным образом. Достаточно сделать любую букву в слове заглавной (не первую и не последнюю).

3) Русский мат в английской раскладке. Оставьте включенной английскую раскладку и придумайте простой и понятный пароль в виде русской матерной триады. Максимально конкретной… с цифрами! Ни один хакер мира не сможет подобрать ничего подобного даже за миллион лет никаким перебором.

4) Используйте разные логины и пароли для разных сайтов. Хотя бы разделите их на несколько частей — для форумов используйте один логин-пароль. Для интернет-банкинга — совершенно другой, для почты — третий и т.д. Даже такое простое разграничение существенно увеличивает уровень безопасности.

5) Если при создании пароля вы не можете отказаться от использования имен, фамилий и телефонов, т.к. не можете похвастаться хорошей памятью, используйте неочевидные имена — обратитесь к детству, прошлому или какому-то жизненному опыту, который хорошо помните только вы, а не ваши близкие.

Источник: vsiaco.org.ua

[Serg95]

Из моего опыта since 1996.

Хороший результат дает применение двух любых простых слов (имен и т.п.), между которыми цифры или спецсимволы. Напр., test&Vasya2.

Очень хороший результат: взять любое стихотворение, которое помнишь, и в качестве пароля использовать первые буквы слов.
Напр: mDscp,Knwsz - "мой дядя самых честных правил, когда не в шутку занемог". Нужно только придумать для себя систему трансляции русских букв и делать некоторые буквы большими.

Конечно, не использовать один пароль для разных сервисов, особенно разнородных. Напр., форумы - ЖЖ - скайп - управление счетом - одноклассники. Тут должно быть 5 разных паролей.

Следить за состоянием почтовика, на который сервисом может быть отправлен пароль ("я забыл пароль") или ссылка для его изменения. Распространенный способ взлома аськи: у человека был указан левый почтовый домен, злоумышленник регистрирует этот домен (ранее не существовавший, аська не проверяла при регистрации валидность почты, по крайней мере, раньше), указывает id жертвы и нажимает "забыл пароль" и т.п. В результате пароль перехватывается. Такие случаи описаны.