Взлом пароля

Методы взлома пароля

Основы компьютерной безопасности. Рекомендации по защите от популярных методов взлома паролей к аккаунтам в социальных сетях и почтовым ящикам.
19.09.2014 / 23:49 | pomnibeslan

Популярные методы взлома пароля

 
Никто не хочет терять доступ к аккаунтам социальных сетей или почтовым ящикам, но очень часто такое всё же происходит. Чаще всего причиной этой неприятности служит недостаточная стойкость использованного пароля. Многие сайты не допускают к использованию пароли короче 8-и символов, но эта мера не всегда эффективна.
 
Оптимальным вариантом является генерация пользовательского пароля специализированной программой, однако следует учитывать, что даже самый взломоустойчивый пароль может быть похищен или банально утерян. Защита конфиденциальной информации должна осуществляться комплексно, но начинать её нужно с создания надёжного пароля. Рассмотрим основные методы, применяемые злоумышленниками для вскрытия паролей:
 

Перебор словарного запаса

 
Самый простой, но действенный метод заключается в простом переборе всего словарного состава определённого языка в автоматическом режиме. В повседневной жизни люди используют очень мало различных слов, поэтому для перебора достаточно иметь максимально полный словарь, редко содержащий более 100 000 слов. Подобные базы широко представлены в свободном доступе;
 

Перебор с добавлением цифр

 
Незначительная модификация первого метода заключается в добавлении к словам цифр. Этот старый метод получил название метода полного перебора. Одним из классических вариантов использования этих методов является база RockYou.
 
Эти два способа позволяют без труда взломать большинство паролей используемых людьми не знакомыми с основами компьютерной безопасности. Если нет возможности воспользоваться услугами он-лайн генерации пароля, то для начала следует воспользоваться следующими рекомендациями:
 
  • Выбирайте для использования в качестве пароля не одно слово, а фразу из двух-трёх слов, как правило, она легка для запоминания, но взломать её сложнее;
  • Не используйте пароли длинной менее 16 символов;
  • Умышленно напишите хорошо знакомое слово неправильно, большинство интеллектуальных систем взлома, бессильны перед грамматическими ошибками.

Фишинг

 
Основан на воздействии на самое слабое звено защиты информации – человека. Пароль любой сложности может быть попросту украден, но особое удовольствие взломщику доставит собственноручное его введение пользователем на подставном сайте. Создать дубликат любой странички в сети не представляет труда для опытного юзера. После чего нужно заманить, как правило, поддельным приглашением от кого-либо из друзей, на эту фейковую страницу атакуемого клиента и предложить ему залогиниться. Дело сделано, причём сложность пароля абсолютно не важна. Вторым названием этого метода, наиболее полно его описывающим, является ловля лоха.
 
Методы защиты от фишинга:
 
  • Всегда проверяйте адрес отправителя подозрительных писем с приглашениями. Постарайтесь вспомнить, когда последний раз вам что-либо предлагалось просто так в интернете ( ну ведь не было такого никогда!).
  • Никогда не переходите на ресурс, нажимая на пришедшую в письме ссылку. Скопируйте её в адресную строку браузера, чтобы убедиться в том, что попадёте куда нужно. Подменить гиперссылку может даже не очень опытный пользователь;

Социальный инжиниринг

 
Довольно распространённый метод, основанный на использовании присущей практически всем сайтам функции восстановления пароля. В большинстве случаев выбор контрольных вопросов стандартен, поэтому пользователи редко придают значение опасности, исходящей от этой функции. Однако познакомившись с жертвой в социальной сети, злоумышленник может легко получить нужную информацию. Вы же не будете скрывать при общении кличку собаки, любимый цвет или камень. Бороться с этим методом не сложно, достаточно создать собственный контрольный вопрос. Очень эффективно использование метода двойной аутентификации, когда система требует введения высланного на телефонный номер кода.
 

Использование вредоносного ПО

 
Метод позволяет злоумышленнику похитить файл паролей из браузера, или просто зафиксировать и сохранить последовательность вводимых данных при входе в систему (для этой цели используется кейлоггер) с последующей отправкой для обработки на любой адрес. Для предотвращения подобной атаки следует устанавливать ПО только проверенных поставщиков и максимально ограничить доступ посторонних к своему компьютеру;
 

Прямое похищение паролей

 
Простой, но удивительно эффективный метод. В офис солидной компании заходит сантехник, связист или электрик, на которого никто не обращает внимания. Он же наоборот, внимательно фиксирует всё, что может заметить его камера или опытный взгляд. В любом офисе можно заметить на мониторах стикеры с каллиграфически выведенными логинами и паролями, особенно у милых дам… Такое пренебрежительное отношение к безопасности легко может разорить компанию. Бороться можно и нужно, укрепляя внутреннюю дисциплину;
 

Метод «Пауков»

 
 
Профессиональные хакеры давно заметили, что большинство слов и фраз, используемых в качестве паролей, связаны с основными направлениями деятельности компаний или отдельных лиц. Прошерстив всемирную паутину, сайты конкурентов или специальную литературу удаётся значительно сократить поисковую базу. Бороться бесполезно, но воспользовавшись автоматической генерацией пароля, пользователь сводит на нет попытки применения этой методики против него.
 
Все остальные методики представляют модификации перечисленных способов. Целью данной статьи была необходимость заострить внимание пользователей не только на создании взломоустойчивых паролей, но и на необходимость их тщательного хранения.
 

Проверка надежности пароля

 
Проблема безопасности паролей актуальна во всём мире, поэтому существует множество сайтов, предлагающих осуществить примерный подсчёт времени их взлома. Предлагаем пользователю самостоятельно поэкспериментировать со своими паролями. Очень многое для понимания методов повышения взломоустойчивости паролей даёт англоязычный сайт passfault.appspot.com, правда с русским языком он не работает. При анализе используются основные методы, применяемые программами автоматического взлома.
 
Главная страница сайта passfault.appspot.com
 
 
 
Читать дальше:

Как запомнить пароль

Как лучше запоминать стойкие пароли из букв и цифр (до 25-30 символов). Пошаговая инструкция как запоминать числа и слова.

Как воруют пароли

Как хакеры крадут пароли и похищают личные данные. Социальная инженерия. Кража cookie. Клавиатурные шпионы. Брутфорс.
Мощный пароль

Рецепты создания паролей

Пароли-стихи, словесный каламбур и другие народные способы составления мощных и лёгких для запоминания паролей.
 

Добавить комментарий

9 + 1 =
Решите эту простую математическую задачу и введите результат. Например, для 1+3, введите 4.