Как украсть чужой пароль

  Внимание: это не руководство на тему «Как украсть пароль», а адаптированный перевод «Руформатора» статьи Lifehacker с попыткой объяснить, насколько уязвимым может быть ваш текущий пароль.

  Согласно Alldayplus.ru, топ-20 паролей Рунета выглядит так:

1. 12345;
2. 123456;
3. 11111;
4. 55555;
5. 77777;
6. qwerty;
7. 111111;
8. 00000;
9. 666666;
10. 123456789;
11. 54321;
12. 123321;
13. 1234567;
14. 123123;
15. gfhjkm;
16. 7777777;
17. qwert;
18. 22222;
19. 555555;
20. 123.

  С точки зрения статистики, 10 самых популярных паролей используют 20% сетевого населения. Но не переживайте: если хакер не получил ваш пароль сейчас, то это значит, что ему просто надо немного больше времени…

  Хакеры, и я не говорю сейчас об их этнической принадлежности, разработали широкий набор различных инструментов, чтобы украсть ваши персональные данные. Главным препятствием на пути этих мошенников по-прежнему остается пароль, который вы выбрали сами: по иронии судьбы, лучшая информационная защита, которая есть у людей, это та, к которой они относятся наименее серьезно.

  Самый простой путь заполучить чужой пароль – использовать метод брутфорса (brut-force, «грубая сила»), когда пароль подбирается фактически вручную с помощью специальной программы.

  Итак, как же понять, попадаете ли вы в группу риска? Довольно просто. Следите за моей логической цепочкой:

  - Вы используете один и тот же пароль несколько раз в разных местах.

  - Некоторые важные для меня сайты, такие как интернет-банк или ваше рабочее место, подключенное через VPN, обладают приличным уровнем безопасности, так что я их не буду трогать.

  - Однако, сайты наподобие сервиса открыток Hallmark, ваш любимый онлайн-форум, интернет-магазин, в котором закупаетесь, вряд ли защищены должным образом. Так что я попробую сделать что-нибудь с ними.

  - Таким образом, мой следующий шаг – утилиты наподобие Brutus, wwwhack, THC Hydra, которые будут применены к какому-нибудь из подобных сервисов с указанием подобрать 10 тысяч (ну или 100 тысяч – неважно) комбинаций пользователя и пароля так быстро, как это вообще возможно.

  - Как только я получу пару логин-пароль, я могу попробовать ее на других сайтах.

  - Ээ, стоп. Откуда я знаю, каким вы пользуетесь банком, и какой логин вы чаще все используете? По секрету – все это записано в куки-файлах (cookies), которые хранятся в браузере в незашифрованном виде и с отличными, «говорящими» именами.

  Насколько быстро вся эта схема может быть реализована? Ну, это зависит от трех вещей: длина и сложность вашего пароля, мощность хакерского компьютера и скорость его интернет-соединения. Как правило, у хакеров довольно мощная машина и быстрый интернет, поэтому попробуем оценить примерное время подбора пароля в зависимости от его длины, сложности и с учетом всех возможных распространенных комбинаций. Обратите также особое внимание на регистр букв и специальные символы. Добавление только одной буквы или символа «*» привете к тому, что восьмисимвольный пароль будет подбираться не 2,4 дня, а два с лишним столетия.

  Обратите внимание, это лишь примерное время вычисления на среднем компьютере, и в данной таблице предполагается, что используется любое слово из словаря. Если бы Google подключила к работе свои компьютеры, то закончила бы работу в 1000 раз быстрее.

  Теперь я могу часами сидеть и пытаться вас поломать, чтобы сделать вас совсем несчастным – и 95% из этих методов используют прежде всего ваш слабый пароль. Так что же вам мешает защитить себя лучше и спокойней спать ночью?

  Поверьте мне, я понимаю, что больше разных сложных паролей труднее запомнить. Но попробуйте хотя бы для начала сделать такой пароль, который хоть и будет простым для запоминания вами, но никогда не придет в голову другим. И вот вам еще несколько советов на эту тему:

  1. Замените часть символов похожими на них. Например, «o» можно заменить на «0» или «@». К примеру, «koza» станет выглядеть как «k03a».

  2. Часть букв в пароле капитализируйте, как это делают школьники «В Контакте» : например M0dIfIeD.

  3. Подумайте об имени какого-нибудь близкого вам человека. Но не используйте это имя само по себе – лучше прибавьте к имени словарное слово, и это будет самая простая защита от брутфорса.

  4. Любимое место, марка машины, впечатление от отпуска, любимый ресторан тоже подойдут.

  5. Вам правда нужно использовать разные комбинации логина-пароля везде. Запомните, с технической точки зрения можно вломиться куда угодно, если знать, что вы используете стандартные пароли. Эта фишка не сработает, если вы используете разные пароли везде.

  6. Поскольку трудно запомнить, какие пароли и где вы используете, рекомендую сохранять их в специальных крипто-программах, например, Roboform для Windows. Она хранит все ваши пароли в зашифрованном виде, и нужно знать только один мастер-пароль для доступа к ним всем. Также Roboform автоматом заполняет формы на веб-страницах и его даже можно установить на КПК, мобильном телефоне или на флэшке. (Читатели Lifehackers любят использовать программу KeePass с открытым исходным кодом, служащую тем же целям, и к тому же кросс-платформенную.) Пользователи Mac и iPhone могут использовать утилиту 1Password.

  7. Подумали о новом пароле? Попробуйте утилиту Microsoft Password Checker и проверьте, насколько он хорош.

  А вот видео, которое показывает, как используется Roboform.

  Другой аспект, который бы мне хотелось затронуть - это то, какое значение вы придаете паролям. Те, о которых вы думаете как о малозначимых, могут на самом деле значить очень много. Например, пароль от почтового ящика – многие думают, что это ерунда, потому что там ничего особо важного нет. А то, что e-mail связан с вашим аккаунтом в интернет-банке – к примеру? Если я взломаю ваш ящик, то смогу получить доступ к вашему банковскому счету – сказав, что забыл свой пароль и попрошу его выслать. Вы все еще считаете, что это неважно?

  Многие люди думают, что они защищены своим роутером или файрволло, если хранят все свои пароли дома. И конечно же, они никогда не меняют пароли от своих устройств по умолчанию! Поэтому любой человек может подъехать к дому, сесть с ноутбуком на лестничной площадке и нарушить безопасность беспроводной сети, а затем заняться брутфорсом, пока не получит полный контроль над вашей сетью.

  Каждый день мы сталкиваемся с людьми, которые чрезмерно раздувают ту или иной проблему, делая из мухи слона. Но поверьте – это не тот случай. Есть еще полсотни разных невыгодных для вас вариантов, которые могут вас скомпрометировать с помощью слабого пароля. Я их даже не хочу упоминать. Я также понимаю, что большинству людей просто пофигу на это все – естественно, до тех пор, пока им не преподадут хороший урок. Но сделайте одолжение мне, да и себе тоже – потратьте немного времени и усильте защиту своих паролей! Чтобы я знал, что мои слова не пропали даром.