Вся правда о паролях [Сергей Слесарев] (fb2) читать онлайн


 [Настройки текста]  [Cбросить фильтры]
  [Оглавление]

Сергей Слесарев   Вся правда о паролях

Правила распространения и условия соглашения на использование данной книги
Электронная книга «Вся правда о паролях» может распространяться бесплатно при условии, что в текст книги не внесено каких-либо изменений. Продавать данную электронную книгу запрещено. Приветствуется распространение данной книги среди людей, заинтересованных в собственной безопасности и безопасности личных данных. Электронная книга «Вся правда о паролях» предназначена для личного использования и распространяется в виде «как есть». Книга подготовлена для предоставления наиболее точной и достоверной информации, доступной автору на момент выхода книги.

Мнение автора книги может кардинально отличаться от мнения читателя. Автор книги не несет ответственности за действия, которые будут выполнены читателем после прочтения данной электронной книги, а также за неверную интерпретацию ее содержания. 

Вступление

Простой пароль не трудно взломать, а сложный можно легко забыть. Каким же он должен быть идеальный пароль, и существует ли он? В этой книге мы разберем основополагающие вопросы безопасности, связанные с авторизацией в системах, а также рассмотрим наиболее частые ошибки, совершаемые при выборе нового пароля. Эта тот минимум, если хотите, начальная база знаний о безопасности, которую должен знать каждый!

Взламывать пароли не так уж сложно, более того, как показывает практика, для этого большого ума не требуется, куда важней в этом деле терпение, поэтому взлом паролей считается одним из самых распространённых преступлений в Сети. Почему же хакерам так легко удаётся взламывать пароли, в чем их секрет успеха? 

Самая главная причина — человеческий фактор. Прежде всего, взламываются «простые» пароли, на что уходит меньше всего времени и не требуется особых навыков.

В марте 2013 года известный американский интернет-журнал Ars Technica провёл любопытный эксперимент. Редактор журнала Нэйт Андерсон, никогда раньше не занимавшийся взломом паролей, вооружился свободно доступным в Интернете софтом, крупнейшей за последние годы базой хэшей паролей сайта RockYou, также за секунды найденной в сети, и за какие-то несколько часов взломал чуть меньше половины из загруженного на специализированном форуме списка с 16449 MD5-хэшей, получив порядка восьми тысяч пользовательских паролей в обычной текстовой форме. Еще раз повторю, вы просто вдумайтесь - Андерсон до этого вообще никогда в жизни не занимался взломом паролей. 

Спустя два месяца та же редакция Ars Technica повторила этот же эксперимент, но уже с участием профессиональных взломщиков. Результаты оказались сокрушительными. Используя обычный серийный компьютер на процессоре AMD с видеокартой Radeon 7970, эксперт Stricture Consulting Group, Джереми Госни за двадцать часов взломал 14734 паролей, что составило 90% всего списка. «Причем здесь видеокарта?» – спросите вы. Об этом мы поговорим в следующей главе.

Сухая статистика

Компания SplashData вот уже в который раз составила свой рейтинг худших паролей, которые только можно придумать. Лидеры популярности из года в год одни и те же: это слово password (пароль) и комбинации цифр - 123456 и 12345678. Среди популярных паролей также оказались сочетание первых букв алфавита и первых цифр. Особняком стоит вечно живое слово qwerty (благодаря тому, что эти буквы стоят рядом на клавиатуре, а само слово несложно запомнить). Любят пользователи также простые слова: футбол, бейсбол, iloveyou, welcome и т.д.

В ниже перечисленном списке представлены примеры англоязычных паролей, но многие из них актуальны и для россиян. Внимательно посмотрите на этот список и задумайтесь прямо сейчас: не пора ли и вам сменить пароль?

Полный рейтинг 25 худших паролей 2012 года по версии SplashData выглядит следующим образом:

 Если вы увидели ваш пароль в этом списке, следует немного поразмыслить и придумать что-то более защищенное.

 Исследование также выявило несколько грубых ошибок, которые делают многие пользователи: почти половина (48%) пользователей сообщают пароль другим людям, что противоречит основному правилу безопасности.

Только вдумайтесь в эту статистику - 91% пользователей выбирает один из  1000  самых  популярных  паролей.  А  вот  так  выглядит  статистика предоставляемая компанией Google.

Список 10-и самых популярных паролей по версии Google Apps:
1. Клички (имена) животных

2. Памятная дата (например, день свадьбы)

3. День рождения одного из членов семьи

4. Имя ребенка

5. Имя другого члена семьи

6. Место рождения пользователя

7. Любимый праздник

8. Информация, связанная с любимой спортивной командой

9. Имя любимого человека

10. Пароль "Password"


Стоит отметить, что использование вышеперечисленных данных в качестве пароля, например, даты рождения, имени родных или животных можно и вовсе получить из социальных сетей.

10 Фактов о паролях

Мы подошли к наиболее интересной главе книги. Ниже представлены всего десять наиболее важных фактов о паролях, которые должен знать каждый!

1. Гарантированное запоминание множества паролей
Существует очень простой метод, который позволяет запоминать пароли любой степени сложности. Я уже рассказывал о нем в одной из своих статей, называлась она «Основные правила безопасности в интернете». Заключается он в следующем. Вам нужно придумать один сложный пароль и сочетать его с элементами, которые ассоциируются с различными ресурсами. К примеру, придумаем пароль следующего вида: Сtr-2j!Hq:-). Это вполне надежный пароль с регистром маленьких и заглавных букв, знаками препинания, цифрами и символами.

Допустим, вам потребовался новый пароль к аккаунту социальной сети, к примеру, www.odnoklassniki.ru. Берем этот пароль и добавляем в начало или конец, как вам легче запомнить, первые две буквы из названия данного ресурса. У нас получается новый пароль: odСtr-2j!Hq:-) или faСtr-2j!Hq:-), если речь идет о социальной сети Facebook.

2. Длина имеет значение
Пароли длиной до шести символов включительно, составленные из 95 ASCII-символов (26 букв латинского алфавита в обоих регистрах, 10 цифр и 33 служебных символов), взламываются на обычном персональном компьютере. Делается это методом полного перебора («грубой силы») при помощи «числодробилки» современной видеокарты буквально за считанные минуты. Да-да, именно с помощью этого компонента системы, который вы обычно используете как единицу измерения производительности в сложных графических играх, можно перебрать 103 000 паролей за одну секунду. Причем это показатель относительно устаревшей карточки ATI Radeon HD 5970.

При добавлении каждого символа к вашему паролю количество вариантов для подобного перебора растет в геометрической прогрессии. Чуть позже в качестве примера я приведу таблицу подобной прогрессии. Это серьёзно усложняет задачу, удлиняя время перебора до нескольких дней и даже месяцев. Здесь нужно запомнить одно простое правило: для защиты критически важных данных лучше всего использовать пароли не короче восьми знаков.

3. Осмысленные слова не подходят
ElcomSoft WireLess Security Auditor, запущенная на современном ПК с процессором Intel Core i7, тестирует около 400 WPA-паролей в секунду. Данная утилита - весьма дорогое удовольствие (порядка 1000$, в зависимости от версии), но в сети можно найти и взломанные версии. Большинство подобных приложений работает со словарями, так что вашему продвинутому соседу не составит особого труда за несколько минут подключиться к вашему WLAN-роутеру. Защитить от этого может только использование в качестве паролей не слов, а бессмысленного набора символов.

4. Генераторы паролей не имеют личностных предпочтений
Так устроена человеческая натура, что в качестве пароля мы спешим использовать памятные для нас даты, события, иногда просто имена. Пароль из такой комбинации не достаточно надежен. Использование генератора паролей - отличное решение в данной ситуации. Зачастую хакер применяет ускоренный вариант полного перебора, тем самым исключая из обработки определенные, редко используемые символы в паролях. Воспользовавшись онлайновой программой для генерации ключей, которые используют все символы без исключения, вы избежите подобного риска.

5. Программы для хранения паролей это удобно, но..
На сегодняшний день предостаточно утилит, которые готовы за вас запоминать все пароли. В целом - это весьма удобно. С другой стороны, это не может не вызывать опасение, ведь для доступа ко всем  существующим учетным записям, приложениям, данным достаточно знать один мастер-пароль. Если троянская программа перехватит управление вашим компьютером, или кто другой узнает ваш главный ключ, вы потеряете всю охраняемую информацию разом. Единственным верным решением будет запускать данные программы на виртуальной машине через браузер.

6. Пароли тоже можно наследовать
Вы когда-нибудь задумывались, что происходит в случае смерти владельца защищенных аккаунтов и данных. Сайты, адреса электронной почты, онлайн доступ к банку - все это можно наследовать. С юридической точки зрения данный вопрос не представляет особых трудностей, а вот с технической - может быть затруднительно. Что делать, если наследник не знает данных доступа или был вообще не в курсе интернет-активности, которую вел умерший в глобальной сети. Для этого сегодня существуют специализированные службы, они обеспечивают законный (контролируемый) доступ к цифровым данным в случае смерти их владельца. В качестве примера приведу сервис SecureSafe (www.securesafe.com).

7. Использование экзотических символов
Сразу хочу сказать, это весьма неудобно, но очень надежно. Наибольшую ценность представляют пароли, состоящие из символов, которые нельзя ввести нажатием одной кнопки на клавиатуре. Подбор методом «грубой силы» уведет хакера по ложному пути, поскольку включение в пароль специального символа существенно увеличивает количество перебираемых вариантов. Такой результат дает, например, введение знака ® путем последовательного нажатия на цифровой клавиатуре комбинации «0174» при зажатой клавише «Alt» (пять нажатий для одного символа). В таблице приведены примеры кодов для ввода некоторых специальных знаков.

В принципе, при помощи кодов с «Alt» могут быть введены любые ASCII- символы. Их использование не только усложняет взлом посредством полного перебора, но и делает неэффективными классические словарные атаки. Препятствием для этого способа защиты может быть то, что ввести некоторые символы не всегда возможно (например, в мобильных телефонах их набор ограничен).

8. Даже надежные ключи можно вычислить
Даже если вы все сделали правильно, опасность может возникнуть при вводе пароля. При работе на чужом компьютере он способен сохранить ключевое слово и выдать его злоумышленникам. Программу-кейлоггер можно обмануть, используя для ввода пароля экранную клавиатуру Windows (для ее вызова введите «osk» в командной строке). Также шпионское ПО может делать снимки экрана, поэтому пароль всегда должен скрываться звездочками. Да, взломать (подобрать, угадать) можно абсолютно любой пароль. Вопрос лишь в ресурсах - вычислительных и временных. Поэтому устойчивость пароля имеет смысл оценивать с точки зрения оправданности затрат на его взлом: если в течение некоторого времени он не поддаётся вскрытию при помощи доступных ресурсов, то его можно считать безопасным. Другими словами, нужно соблюдать элементарные правила безопасности при выборе пароля, чтобы не стать жертвой обычного любителя.

9. Надежные пароли вечны
Теоретически, если вы создали очень надежный ключ, вам не потребуется менять его в будущем. Однако некоторые службы, например, банковские системы, настаивают на регулярной смене кодового слова. Основанием для этого служат риски, которые возникают при вводе паролей на странице пользователя. Принудительная смена ключа призвана свести их к минимуму. Но администраторы, которые требуют ее слишком часто, оказывают себе медвежью услугу: нередко реакцией на это становится использование менее надежных и легко запоминающихся комбинаций, которые проще взломать.

10. Тест. Надежен ли ваш ключ
Вы можете самостоятельно оценить свой пароль. Для начала необходимо выяснить, из каких символов он составлен. В качестве примера возьмем полностью числовой пароль, например, PIN-код. Рассматриваем числа от 0 до 9, то есть всего 10 цифр.

Предположим, что ваш пароль состоит из шести символов. Вы можете самостоятельно подсчитать количество возможных вариантов: 6 символов это 106-т.е. миллион комбинаций. В пункте номер 2 я говорил о видеокарте, при помощи которой российский разработчик ElcomSoft проверил 103000 вариантов всего за 1 секунду. Если произвести несложный подсчет и разделить миллион на этот показатель, получим результат в 9.7 секунд. Это и есть то время, за которое хакер узнает ваш пароль.

А теперь смотрим на таблицу. Обратите внимание, в какой геометрической прогрессии при использовании комбинации из строчных и прописных букв увеличивается время на взлом пароля, добавив всего один символ.

 При использовании всех символов разница в прогрессии просто огромна.

Вот так, с помощью нехитрой манипуляциии чисел, можно оценить надежность пароля и сделать соответствующий вывод о безопасности уже используемых паролей.

Популярные заблуждения

Давайте разберём популярные заблуждения, которые очень часто можно услышать на просторах Интернета.


Ненавижу, когда пароль на экране заменяется звездочками. Если мне нужно набрать пароль в переполненном трамвае, я могу просто отгородиться ладошкой от пассажиров, пытающих подсматривать его через мое плечо. Профессионального шпиона это не остановит, он сумеет изъять пароль просто по тем кнопкам, которых я касаюсь - их-то вы звездочками не закроете.


Кроме переполненного трамвая, существуют миллионы офисных работников, мониторы которых постоянно на виду. Заменять символы пароля звездочками - это совершенно необходимое требование. Сейчас многие сервисы в конце строки пароля ставят специальный символ, при нажатии которого пароль будет высвечен - отличное решение.


Не понимаю разработчиков, которые предупреждают: «пароль плохой, обязательно должна быть хоть одна заглавная буква, цифра, знак препинания и минимум две буквы греческого алфавита...» Если я хочу поставить "123" - это мое личное дело, а не ваше! А свои инструкции с заглавными буквами сами используйте.


Ребята, ну это вообще бред. Сервисам и без этого приходит масса претензий по поводу "взлома" аккаунтов от людей, которые задают пароль "123", а потом орут, что их, дескать, взломали. Помнится, некая "статусная дама" Мария Арбатова чуть ли не среди ночи поднимала Антона Носика с постели звонком в истерике о том, что ее аккаунт в ЖЖ взломали, а руководство ЖЖ ничего не делает. У «статусной дамы», насколько я помню, как раз был пароль "123", а отвечать за это почему-то должен был Носик. Поэтому правильно сервисы требуют от пользователей задавать хоть сколько-нибудь стойкие пароли: от этого всем будет хорошо - и пользователям, и сервисам... 

Пару слов о фишинге.

Это очень распространенный вид мошенничества, который осуществляется путем подставных страниц. Подставная страница – это страница того или иного интернет-ресурса, где вы проходите авторизацию, вам требуется ввести логин и пароль. На внешний вид она практически не отличается от оригинальной. Например, подставная страница социальной сети ВКонтакте может быть полной копией официальной страницы, но с одним отличием, незаметным большинству пользователей – адресом.


Обратите внимание на адресную строчку. Все знают, что официальный сайт социальной сети ВКонтате имеет адрес вида: http://vk.com. То есть, первый рисунок - это и есть официальный сайт, второй – подставная страница. Как видите, изменена всего одна буква адреса с http://vk.com  на http://vk.cm. Адрес может быть любой, вы, скорее всего, просто не обратите на это внимание. Задача хакера - подсунуть вам подставную страницу, надеясь на вашу невнимательность, где вы введете свой логин и пароль от официальной страницы. Как попадаются на подставные страницы? Очень просто. Допустим, вы пользуетесь оповещением с социальных сетей, которые приходят к вам на почту. Как часто вы получаете оповещение, что вам кто-то написал или прокомментировал ваше фото или просит добавиться в друзья? Да практически каждый день, если вы, конечно, активный пользователь соц. сетей. Одно из таких оповещений может быть отправлено хакером.

Допустим, вы парень, и к вам придет письмо, что некая Эля хочет с вами познакомиться. Если вы переходите по этой ссылке, вы попадаете на подставную страницу, где вводите свой логин и пароль. Все, вы попались. Так и осуществляется кража вашего пароля. Вывод один - авторизоваться только с официальной страницы сообщества, соц. сети или форума.

Как понять, что взломали ваш аккаунт? Чаще всего друзья пользователя жалуются, что от него приходят сообщения, которых он не посылал, или появляются статусы, которые он сам не ставил. В этом случае следует проверить компьютер антивирусом, поменять пароль, нажать кнопку «Выход», и авторизоваться снова.  

Подводим итоги

 Пароли - это лишь одно из средств защиты информации, пусть и из числа самых распространённых. Но даже с хорошими паролями нужно уметь правильно обращаться. Например, не использовать один и тот же пароль на разных ресурсах По поводу частоты смены пароля лично я считаю, что если речь идет о несложных паролях, например, для защиты социальных сетей, то смены пароля раз в полгода вполне достаточно. Это если не считать экстренных ситуаций с утратой компьютера, его взломов или взломов веб-аккаунта. Не вводите свои пароли на чужих компьютерах, особенно тех, к которым имеет доступ большой или неограниченный круг людей Даже если коварные злоумышленники не установили там кейлоггеры, запоминающие все нажатия клавиш в настройках системы, браузера или ПО, может быть, по умолчанию предусмотрено запоминание всех вводимых паролей, не очевидное для пользователя. Если же вам всё-таки пришлось воспользоваться таким компьютером, поспешите заменить пароль с безопасной машины Наконец, никогда и никому не высылайте свои пароли ни электронной почтой, ни через службы мгновенных сообщений: никакой интернет-сервис никогда не потребует от вас прислать ваш же пароль. Если понадобилось переслать пароль знакомым, надиктуйте его голосом по телефону либо пришлите фотографию с мобильного. И снова, в целях безопасности, при первой же возможности сразу поменяйте такой пароль на новый.


Приведем вышесказанное к одному общему правилу, состоящему из десяти наиболее важных пунктов:


1. Придумайте сложный пароль.

2. Используйте метод множественного запоминания.

3. Не используйте на разных сайтах одинаковые пароли.

4. Хороший пароль - это пароль не менее 8 символов, с и использованием нижнего и верхнего регистра, то есть заглавных и малых букв, цифр, символов.

5. В пароле не должен просматриваться явный шаблон.

6. Отключайте куки, не отмечайте пункты «запомнить пароль».

7. Избегайте ввода пароля с чужих систем, компьютеров, при первой же возможности измените этот пароль в своей системе.

8. Не храните все яйца пароли в одной корзине.

9. Не переходите по ссылкам в почте. Достаточно скопировать ссылку и вставить ее в новой вкладке браузера.

10. Авторизуйтесь только с официальной страницы онлайн сервиса. 

Преступление и наказание.

Возможно, кто-то из прочитавших эту книгу, руководствуясь впечатлением, что так легко осуществить взлом, сразу же начнет изучать этот вопрос или искать соответствующий софт. Помните, это не только аморальное и противозаконное дело, но и ОПАСНОЕ ДЛЯ ВАС САМИХ!!!

Например, если речь идет о специальных программах для взлома тех же социальных сетей. Да, интернет кишит подобным софтом, но помните, именно этот вид программного обеспечения наиболее интересен злоумышленникам. Именно на нем они зарабатывают свой хлеб. Очень часто при скачивании такой программы происходит установка на компьютер пользователя какого-либо вируса, который незаметно отправляет мошенникам ваши пароли, прочую ценную информацию или стандартный баннер, выманивающий деньги.

Хотя некоторая справедливость в этом есть - тот, кто решил взломать чужую анкету, может потерять пароль от своей собственной. «Взлом аккаунта в социальных сетях, в том числе его изменение, копирование из него информации, или выдавание себя за взломанного пользователя образует состав преступления, предусмотренного статьей 272 УК РФ частью первой. Наказание - от штрафа до 200 тысяч рублей до лишения свободы на срок до двух лет».

Случаи из реальной судебной практики.
В Волгограде была осуждена на 100 часов исправительных работ женщина, которая из ревности взломала аккаунт бывшего возлюбленного и размещала там сведения о нетрадиционной ориентации последнего. В процессе расследования было установлено, что женщина осуществляла свою преступную деятельность с домашнего компьютера, который был изъят при обыске, а впоследствии уничтожен как орудие преступления. Рассказы женщины на суде о том, что ее действия были шуткой, на приговор не повлияли, так как такие действия нарушают УК РФ и подлежат наказанию.


Житель Ижевска взломал аккаунт знакомой и разместил там эротическое фото. За совершение преступления ему было назначено наказание в виде лишения свободы на 1 год условно с испытательным сроком 8 месяцев, а также штраф в сумме 20 тысяч рублей.


Важно отметить, что к уголовной ответственности за данное преступление может быть привлечено любое лицо, достигшее 16-ти лет. Дети до 16 лет к уголовной ответственности не привлекаются, но к ним могут быть применены меры дисциплинарного воспитания, в том числе и помещение в специальную школу-интернат, а родители оштрафованы за неисполнение обязанностей по воспитанию несовершеннолетнего.

Кроме того, в результате привлечения к ответственности за данное преступление у гражданина возникает судимость, которая погашается через год после исполнения наказания, и, хоть формально считающаяся погашенной, все равно доставляет гражданину неудобства. Это и отказ в получении кредитов, и проблемы с получением виз иностранного государства, и проблемы с трудоустройством.

Да, законы работают не всегда, но иногда принятие меры пресечения носят демонстративный характер, а значит, подобная слава быстро распространится далеко за пределы вашего города.

***
Вот мы и подошли к концу этой книги. Надеюсь, этот материал придал ясности вашим мыслям по отношению к правильной организации своей безопасности в глобальной сети. Теперь, получив и дочитав данный материал, вы можете ясно решить для себя, стоит ли вам тратить своё время и начать соблюдать элементарные правила безопасности или довериться русскому «авось».

Послесловие. Бонус

Если вы дочитали эту книгу до конца, вряд ли вы живете по принципу «авось». Вам не безразлична ваша безопасность. Вы современный пользователь, которому интересно постоянно развиваться и усовершенствовать свои знания. Надеюсь, вам было интересно. До встречи в новых статьях и обучающих материалах на сайте http://user-life.ru/.

Немного юмора!!)
Извините, Ваш пароль используется более 30 дней, необходимо выбрать новый!

— Розы.

— Извините, слишком мало символов в пароле!

— Розовые розы.

— Извините, пароль должен содержать хотя бы одну цифру!

— 1 розовая роза.

— Извините, не допускается использование пробелов в пароле!

— 1розовая роза.

— Извините, необходимо использовать как минимум 10 различных символов в пароле!

— 1грёбаная розовая роза.

— Извините, необходимо использовать как минимум одну заглавную букву в пароле!

— 1ГРЁБАНАЯрозоваяроза.

— Извините, не допускается использование нескольких заглавных букв, следующих подряд!

— 1ГрёбанаяРозоваяРоза.

— Извините, пароль должен состоять более чем из 20 символов!

— 1ГрёбанаяРозоваяРозаБудетТорчатьУтебяИзЗадаЕслиНеДашьДоступПрямоСейчас!

— Извините, этот пароль уже занят.


Если вам понравился материал изложенный в данной книге рекомендую посетить мой сайт http://user-life.ru/.


Успехов Вам!!! C уважением, Сергей Слесарев.


Оглавление

  • Сергей Слесарев   Вся правда о паролях
  •   Вступление
  •   Сухая статистика
  •   10 Фактов о паролях
  •   Популярные заблуждения
  •   Пару слов о фишинге.
  •   Подводим итоги
  •   Преступление и наказание.
  •   Послесловие. Бонус