Как я сломаю ваш пароль

Как сломать пароль

Эксперт по мировым стандартам, СЕО веб-компании iFusion Labs и блоггер Джон Позадзидес (John Podzadzides) знает хитрость или две о безопасности паролей, и он точно знает, как он может сломать лёгкий пароль, который вы используете в интернете.

Источник фото subcircle

Внимание: Это не руководство как ломать пароли других людей. Цель этой статье помочь вам понять важность безопасных паролей в интернете.

Если бы вы меня позвали попробовать сломать ваш пароль, который вы используете в интернете, сколько вопросов мне нужно задать, прежде чем я получу его?

Давайте посмотрим…вот мой топ-10 паролей. Я могу получить эту информацию гораздо проще, чем вы думаете, затем может быть я смогу получить доступ в вашу почту, компьютер или клиент банка. Более того, если я получу доступ хотя бы к одному из ваших ресурсов, я получу доступ ко всем вашим ресурсам.

  1. 1. Ваша жена/муж, ребёнок или имя животного, возможно с поставленным 0 или 1 перед словом (потому что они всегда просят ввести ещё и число, не так ли?)
  2. Последние четыре цифры вашей карточки страхования
  3. 123 или 1234 или 123456
  4. "password"
  5. Город, где вы живёте или университет, название футбольной команды
  6. Дата рождения — вас, вашей жены/мужа/подруги или ваших детей
  7. "god"
  8. "letmein"
  9. "money"
  10. "love"

Статистически, этого хватит где-то для 20% из вас. Но не беспокойтесь. Если я всё ещё не получил пароль, возможно мне нужно ещё пару минут.

Хакеры и я не думаем об этике, а используем вест набор инструментов, чтобы получить ваши персональные данные. И главным препятствием между сохранностью вашей информацией и хакером остаётся выбор пароля. (Иронично: по крайне мере одного)

Один из самых простых путей получить доступ к вашей информации, это использовать атаку с перебором. Это возможно когда хакер использует специальную программу для того, чтобы подобрать пароль на сайт с вашими данными. Лучшие 10 бесплатных программ для подбора паролей можно найти здесь.

Итак, как злоумышленник может использовать этот способ, чтобы украсть вашу персональную информацию. Очень просто, следуйте моей логике:

  • Возможно, вы используете одинаковый пароль для кучи мест, так?
  • Некоторые сайты, которые вы используете, например Банк, или рабочий VPN имеют неплохую защиту, так что я не буду их атаковать.
  • Однако, некоторые сайты, например сайт открыток от Hallmark, форум, который вы часто посещаете или интернет-магазин, где вы что-то покупаете, не так сильно защищены. Так что я буду работать с ними.
  • Всё, что нам нужно сделать, лишь направить Brutus, wwwhack или THC Hydra на их сервер указав, скажем, 10000 (или 100 000 — если это сделает вас счастливее) попыток разных логинов и паролей как можно быстрее.
  • Как только мы получим несколько пар логин-пароль, мы можем вернуться к интересующим нас ресурсам и попробовать их.
  • Стоп...Как я узнаю какой банк вы используете и как логин для сайтов чаще всего? Вся эта информация хранится в куки, незащищённая и правильно названная, в кеше вашего веб-браузера

Как быстро это может быть сделано? Ну это зависит от трёх вещей: длины и сложности вашего пароля, мощности компьютера хакера и скорости интернет соединения.

Предположим, что у хакера быстрый интернет и компьютер, генерация всех возможных паролей с данным набором символов займёт некоторое время. После создания словаря паролей это всего лишь дело времени, прежде чем компьютер попробует все варианты или просто выключится.

Обратите внимание на разницу между использованием только символов в нижнем регистре и использовании всех возможных символов (верхний и нижний регистр, а также специальные символы — @#$%^&*). Добавив лишь одну заглавную букву и один знак «*», вы усложните процесс подбора 8-значного пароля с 2.4 дней до 2.1 веков.

brutespeed

Заметьте, что эти расчёты всего лишь для среднестатистического компьютера, и с предположением, что вы не используете никакой словарь. Если бы Google решил заняться таким, то у него получилось бы в 1000 раз быстрее.

Я могу рассказывать часами обо всех способах нарушить вашу защиту и, возможно, сделать вашу жизнь невыносимой, но 95% этих способов начинаются с выяснения вашего просто пароля. Дак почему бы вам не защитить себя с самого начала и потом спокойно спать по ночам?
Поверьте мне, я понимаю, почему надо выбирать пароль, который можно запомнить. Но если вы выбираете себе пароль, то придумайте что-нибудь что никому кроме вас не придёт в голову и не содержит стандартных слов или фраз.

Некоторые подсказки для ваших паролей:

  1. Заменяйте буквы цифрами, которые выглядят также. Буква «о», например, можно заменить на цифру «0» или лучше на «@» или «*» (к примеру: m@sc0wc1ty... для moscowcity)
  2. Случайным образом ставьте заглавные буквы (например: M@sc0Wc1tY)
  3. Вспомните что-нибудь, что вам нравилось, когда вы были маленькими, НО ТОЛЬКЕ НЕ ИМЯ! Любое имя с любым стандартным словом быстро будет подобрано, используя атаку словарём.
  4. Может быть место, которые вам нравится, какая-то машина или впечатление, или даже любимый ресторан?
  5. Действительно стоит использовать разные комбинации логин / пароль везде. Запомните, что хитрость в том, чтобы сломать что-нибудь, где вы зарегистрированы, а затем использовать эти данные для доступа к остальным вашим ресурсам. Это не сработает, если вы будете везде использовать разные пароли.
  6. Поскольку сложно запомнить сотни паролей, я бы порекомендовал вам использовать что-нибудь типа Roboform (для Windows). Туда вы сможете занести все свои пароли и они там будут храниться в защищённом формате, вам лишь необходимо запомнить один главный пароль для доступа в программу. На заметку: читателям Lifehacker нравится свободный аналог KeePass, а другим нравится кросс-браузерный LastPass.
  7. Как только вы придумали пароль, воспользуйтесь инструментом проверки безопасности пароля от Microsoft.

Другая проблема в том, что некоторые пароли гораздо важнее, чем вы считаете. Например, некоторые люди думают, что пароль от их почтового ящика не так важен, поскольку «я там ничего такого серьёзного не храню». Хорошо, но, возможно, на этот ящик указывают данные в вашем клиенте банка. И если я смогу сломать ваш ящик, затем зайти на сайт банка и получить пароль, используя стандартную кнопку восстановления пароля. Теперь вы можете сказать, что пароль такой неважный?

Часто люди надеются, что все их логины и пароли в безопасности хранятся на их домашних компьютерах, которые находятся за надёжным маршрутизатором и файрволом. И конечно они никогда не заботятся о том, чтобы сменить пароль по-умолчанию на этих устройствах, так что кто-нибудь может припарковаться рядом с их домом, взять ноутбук, чтобы сломать вашу беспроводную сеть используя этот список, после чего вы будете полностью в их руках.

Я понимаю ,что мы каждый день сталкиваемся с людьми, которые преувеличивают опасность, но поверьте мне, это не тот случай. Есть ещё 50 других способов чтобы взломать и наказать вас за использование слабого пароля, которые я здесь не упомянул.

Я также представляю себе, что большинство людей не волнуют эти вопросы до тех пор, пока не будет слишком поздно. Но почему бы не сделать небольшое усилие и не проверить свои пароли, чтобы время, потраченное на чтение это статьи, не прошло впустую.

Пожалуйста, будьте осторожны, тут кругом джунгли.

Оригинал: How I’d Hack Your Weak Passwords

No related posts.

Автор

  • Pingback: Словари для взлома « Блоголента