Ўзлом пароляў, якія б паролі гэта ні былі - ад пошты, онлайн-банкінгу, Wi-Fi або ад акаўнтаў У кантакце і Аднакласнікаў, у апошні час стаў часта сустракаюцца падзеяй. У значнай ступені гэта звязана з тым, што карыстальнікі не прытрымліваюцца досыць простых правіл бяспекі пры стварэнні, захоўванні і выкарыстанні пароляў. Але гэта не адзіная прычына, па якой паролі могуць патрапіць у чужыя рукі.
У гэтым артыкуле - падрабязная інфармацыя пра тое, якія метады могуць прымяняцца для ўзлому карыстацкіх пароляў і чаму вы ўразлівыя перад такімі нападамі. А ў канцы вы знойдзеце спіс анлайн сэрвісаў, якія дазволяць даведацца, ці быў ужо скампраметаваны ваш пароль. Таксама будзе (ужо ёсць) другі артыкул на тэму, але пачаць чытанне я рэкамендую менавіта з бягучага агляду, а ўжо потым пераходзіць да наступнага.
Абнаўленне: гатовы наступны матэрыял - Пра бяспеку пароляў, у якім апісана, як у максімальнай ступені засцерагчы свае акаўнты і паролі да іх.
Якія метады выкарыстоўваюцца для ўзлому пароляў
Для ўзлому пароляў выкарыстоўваецца не такі ўжо і шырокі набор розных тэхнік. Амаль усе яны вядомыя і амаль любая кампраметацыя канфідэнцыйнай інфармацыі дасягаецца за кошт выкарыстання асобных метадаў ці іх камбінацый.
фішынг
Самы распаўсюджаны спосаб, якім на сённяшні дзень "адводзяць" паролі папулярных паштовых сэрвісаў і сацыяльных сетак - фішынг, і гэты спосаб спрацоўвае для вельмі вялікага адсотка карыстальнікаў.
Сутнасць метаду ў тым, што вы трапляеце на, як вам здаецца, знаёмы сайт (той жа Gmail, ВК або Аднакласнікі, напрыклад), і па той ці іншай прычыне вас просяць ўвесці ваш лагін і пароль (для ўваходу, пацверджання чаго-небудзь, для яго змены і да т.п.). Адразу пасля ўводу пароль аказваецца ў зламыснікаў.
Як гэта адбываецца: вы можаце атрымаць ліст, нібыта ад службы падтрымкі, у якім паведамляецца аб неабходнасці увайсці ў рахунак і дадзена спасылка, пры пераходзе на якую адкрываецца сайт, у дакладнасці які капіюе арыгінальны. Магчымы варыянт, калі пасля выпадковай ўстаноўкі непажаданага ПА на кампутары, сістэмныя налады змяняюцца такім чынам, што пры ўводзе ў адрасную радок браўзэра адрасу патрэбнага вам сайта, вы на самой справе трапляеце на аформлены сапраўды такім жа чынам фішынгавых сайт.
Як я ўжо адзначыў, вельмі многія карыстальнікі трапляюцца на гэта, і звычайна гэта звязана з няўважлівасцю:
- Пры атрыманні лісты, якое ў тым ці іншым выглядзе прапануе вам увайсці ў ваш рахунак на тым ці іншым сайце, зважайце, ці сапраўды яно было адпраўлена з адрасу пошты на гэтым сайце: звычайна выкарыстоўваюцца падобныя адрасы. Напрыклад, замест [email protected], можа быць [email protected] ці нешта падобнае. Аднак, правільны адрас не заўсёды гарантуе, што ўсё ў парадку.
- Перш чым куды-небудзь ўвесці свой пароль, уважліва паглядзіце ў адрасную радок браўзэра. Перш за ўсё, там павінен быць паказаны менавіта той сайт, на які вы хочаце зайсці. Аднак, у выпадку з шкоднасным ПА на кампутары гэтага недастаткова. Варта таксама звярнуць увагу на наяўнасць шыфравання злучэння, якое можна вызначыць па выкарыстанні пратаколу https замест http і малюнку "замка" ў адраснай радку, па націску на які, можна пераканацца, што вы на сапраўдным сайце. Амаль усе сур'ёзныя рэсурсы, якія патрабуюць ўваходу ў ўліковы запіс, выкарыстоўваюць шыфраванне.
Дарэчы, тут адзначу, што і фішынгавыя атакі і метады перабору пароляў (апісана ніжэй) не маюць на ўвазе сёння карпатлівай моташная працы аднаго чалавека (г.зн. яму не трэба ўводзіць мільён пароляў ўручную) - усё гэта робяць спецыяльныя праграмы, хутка і ў вялікіх аб'ёмах , а потым даюць справаздачу пра поспехі зламысніку. Больш за тое, гэтыя праграмы могуць працаваць не на кампутары хакера, а ўтойліва на вашым і ў тысяч іншых карыстальнікаў, што ў разы павышае эфектыўнасць узломаў.
падбор пароляў
Атакі з выкарыстаннем падбору пароляў (Brute Force, грубая сіла па-руску) таксама досыць распаўсюджаныя. Калі некалькі гадоў таму большасць такіх нападаў ўяўлялі сабой сапраўды перабор ўсіх камбінацый пэўнага набору знакаў для складання пароляў пэўнай даўжыні, то на дадзены момант усё ідзе некалькі прасцей (для хакераў).
Аналіз утекших за апошнія гады мільёнаў пароляў паказвае, што менш за палову з іх унікальныя, пры гэтым на тых сайтах, дзе "насяляюць" пераважна нявопытныя карыстальнікі, працэнт зусім малы.
Што гэта азначае? У агульным выпадку - тое, што хакеру няма неабходнасці перабіраць незлічоныя мільёны камбінацый: маючы базу з 10-15 мільёнаў пароляў (прыблізнае лік, але блізкае да праўды) і падстаўляючы толькі гэтыя камбінацыі, ён можа ўзламаць амаль палову акаўнтаў на любым сайце.
У выпадку мэтанакіраванай атакі на пэўны ўліковы запіс, акрамя базы можа выкарыстоўвацца і просты перабор, а сучаснае праграмнае забеспячэнне дазваляе гэта рабіць параўнальна хутка: пароль з 8-мі знакаў можа быць узламаны ў лічаныя дні (а калі гэтыя сімвалы ўяўляюць сабой дату або спалучэнне імя і даты, што не рэдкасць - за хвіліны).
Звярніце ўвагу: калі вы выкарыстоўваеце адзін і той жа пароль для розных сайтаў і сэрвісаў, то як толькі ваш пароль і адпаведны адрас электроннай пошты будуць скампраметаваныя на любым з іх, з дапамогай адмысловага ПА гэта ж спалучэнне лагіна і пароля будзе апрабавана на сотнях іншых сайтах. Напрыклад, адразу пасля ўцечкі некалькіх мільёнаў пароляў Gmail і Яндэкс у канцы мінулага года, пракацілася хваля узломаў акаўнтаў Origin, Steam, Battle.net і Uplay (думаю, і многіх іншых, проста па ўказаных гульнявым сэрвісаў да мяне шматкроць звярталіся).
Ўзлом сайтаў і атрыманне хэшаў пароляў
Большасць сур'ёзных сайтаў не захоўваюць ваш пароль у тым выглядзе, у якім яго ведаеце вы. У базе дадзеных захоўваецца толькі хэш - вынік ужывання незваротнай функцыі (гэта значыць з гэтага выніку нельга зноў атрымаць ваш пароль) да пароля. Пры вашым ўваходзе на сайт, зноўку вылічаецца хэш і, калі ён супадае з тым, што захоўваецца ў базе дадзеных, значыць вы ўвялі пароль дакладна.
Як нескладана здагадацца, захоўваюцца менавіта хэшы, а не самі паролі як раз у мэтах бяспекі - каб пры патэнцыйным ўзломе і атрыманні зламыснікам базы дадзеных, ён не мог скарыстацца інфармацыяй і даведацца паролі.
Аднак, даволі часта, зрабіць гэта ён можа:
- Для вылічэнні хэша выкарыстоўваюцца вызначаныя алгарытмы, у большасці сваёй - вядомыя і распаўсюджаныя (г.зн. кожны можа іх выкарыстоўваць).
- Маючы базы з мільёнамі пароляў (з пункта пра перабор), зламыснік таксама мае і доступ да хэшам гэтых пароляў, вылічаным па ўсіх даступных алгарытмах.
- Супастаўляючы інфармацыю з атрыманай базы дадзеных і хэшы пароляў з уласнай базы, можна вызначыць, які алгарытм выкарыстоўваецца і даведацца рэальныя паролі для часткі запісаў у базе шляхам простага супастаўлення (для ўсіх неуникальных). А сродкі перабору дапамогуць даведацца астатнія унікальныя, але кароткія паролі.
Як бачыце, маркетынгавыя зацвярджэння розных сэрвісаў пра тое, што яны не шануюць вашыя паролі ў сябе на сайце, не абавязкова абараняюць вас ад яго уцечкі.
Шпіёнскія праграмы (SpyWare)
SpyWare або шпіёнскія праграмы - шырокі спектр шкоднаснага праграмнага забеспячэння, ўтойліва ўстанаўліваюцца на кампутар (таксама шпіёнскія функцыі могуць быць уключаны ў склад нейкага патрэбнага ПА) і выконвае збор інфармацыі пра карыстальніка.
Апроч іншага, асобныя віды SpyWare, напрыклад, кейлоггеры (праграмы, якія адсочваюць націскайце вамі клавішы) або схаваныя аналізатары трафіку, могуць выкарыстоўвацца (і выкарыстоўваюцца) для атрымання карыстацкіх пароляў.
Сацыяльная інжынерыя і пытанні для аднаўлення пароля
Як кажа нам Вікіпедыя, сацыяльная інжынерыя - метад доступу да інфармацыі, заснаваны на асаблівасцях псіхалогіі чалавека (сюды можна аднесці і згадвальны вышэй фішынг). У Інтэрнэце вы можаце знайсці мноства прыкладаў выкарыстання сацыяльнай інжынерыі (рэкамендую пашукаць і пачытаць - гэта цікава), некаторыя з якіх дзівяць сваёй вытанчанасцю. У агульных рысах метад зводзіцца да таго, што амаль любую інфармацыю, неабходную для доступу да канфідэнцыйнай інфармацыі, можна атрымаць, выкарыстоўваючы слабасці чалавека.
А я прывяду толькі просты і не надта хупавы бытавой прыклад, які мае дачыненне да пароляў. Як вы ведаеце, на многіх сайтах для аднаўлення пароля досыць увесці адказ на кантрольны пытанне: у якой школе вы вучыліся, дзявочае прозвішча маці, мянушка хатняй жывёлы ... Нават калі вы ўжо не размясцілі гэтую інфармацыю ў адкрытым доступе ў сацыяльных сетках, як думаеце, складана ці можна з дапамогай тых жа сацыяльных сетак, быўшы знаёмым з вамі, або адмыслова пазнаёміўшыся, ненадакучліва атрымаць такую інфармацыю?
Як даведацца, што ваш пароль быў узламаны
Ну і, у завяршэнне артыкула, некалькі сэрвісаў, якія дазваляюць даведацца, ці быў ваш пароль узламаны, шляхам зверкі Ваш адрас электроннай пошты ці імя карыстальніка з базамі дадзеных пароляў, якія апынуліся ў доступе хакераў. (Мяне трохі здзіўляе, што сярод іх занадта значны адсотак баз дадзеных ад рускамоўных сэрвісаў).
- //haveibeenpwned.com/
- //breachalarm.com/
- //pwnedlist.com/query
Выявілі ваш рахунак на спісе якія сталі вядомых хакерам? Мае сэнс памяняць пароль, ну а больш падрабязна аб бяспечных практыках ў адносінах да пароляў уліковых запісаў я напішу ў бліжэйшыя дні.