Как украсть чужой пароль

10.05.2010

Очень многие люди используют одни и те же пароли. И не только одну и ту же комбинацию, но еще и такую, которую однозначно можно считать легко подбираемой. Интернет-эксперт, директор компании iFusion Labs и блогер Джон Позаджидес (John Pozadzides) рассказал, какие пароли можно использовать, а какие нет, и как можно взломать слабый пароль.

 

Внимание: это НЕ руководство на тему «Как украсть пароль», а адаптированный перевод «Руформатора» статьи Lifehacker с попыткой объяснить, насколько уязвимым может быть ваш текущий пароль.

Согласно Alldayplus.ru, топ-20 паролей Рунета выглядит так:

12345; 123456; 11111;

55555; 77777; qwerty;

111111; 00000; 666666;

123456789; 54321; 123321;

1234567; 123123; gfhjkm;

7777777; qwert; 22222;

555555; 123.

С точки зрения статистики, 10 самых популярных паролей используют 20% сетевого населения. Но не переживайте: если хакер не получил ваш пароль сейчас, то это значит, что ему просто надо немного больше времени…

Хакеры, и я не говорю сейчас об их этнической принадлежности, разработали широкий набор различных инструментов, чтобы украсть ваши персональные данные. Главным препятствием на пути этих мошенников по-прежнему остается пароль, который вы выбрали сами: по иронии судьбы, лучшая информационная защита, которая есть у людей, это та, к которой они относятся наименее серьезно.

Самый простой путь заполучить чужой пароль – использовать метод брутфорса (brut-force, «грубая сила»), когда пароль подбирается фактически вручную с помощью специальной программы.

Итак, как же понять, попадаете ли вы в группу риска? Довольно просто. Следите за моей логической цепочкой:

- Вы используете один и тот же пароль несколько раз в разных местах.

- Некоторые важные для меня сайты, такие как интернет-банк или ваше рабочее место, подключенное через VPN, обладают приличным уровнем безопасности, так что я их не буду трогать.

- Однако, сайты наподобие сервиса открыток Hallmark, ваш любимый онлайн-форум, интернет-магазин, в котором закупаетесь, вряд ли защищены должным образом. Так что я попробую сделать что-нибудь с ними.

- Таким образом, мой следующий шаг – утилиты наподобие Brutus, wwwhack, THC Hydra, которые будут применены к какому-нибудь из подобных сервисов с указанием подобрать 10 тысяч (ну или 100 тысяч – неважно) комбинаций пользователя и пароля так быстро, как это вообще возможно.

- Как только я получу пару логин-пароль, я могу попробовать ее на других сайтах.

- Ээ, стоп. Откуда я знаю, каким вы пользуетесь банком, и какой логин вы чаще все используете? По секрету – все это записано в куки-файлах (cookies), которые хранятся в браузере в незашифрованном виде и с отличными, «говорящими» именами.

Насколько быстро вся эта схема может быть реализована? Ну, это зависит от трех вещей: длина и сложность вашего пароля, мощность хакерского компьютера и скорость его интернет-соединения. Как правило, у хакеров довольно мощная машина и быстрый интернет, поэтому попробуем оценить примерное время подбора пароля в зависимости от его длины, сложности и с учетом всех возможных распространенных комбинаций. Обратите также особое внимание на регистр букв и специальные символы. Добавление только одной буквы или символа «*» привете к тому, что восьмисимвольный пароль будет подбираться не 2,4 дня, а два с лишним столетия.

Обратите внимание, это лишь примерное время вычисления на среднем компьютере, и в данной таблице предполагается, что используется любое слово из словаря. Если бы Google подключила к работе свои компьютеры, то закончила бы работу в 1000 раз быстрее.

Теперь я могу часами сидеть и пытаться вас поломать, чтобы сделать вас совсем несчастным – и 95% из этих методов используют прежде всего ваш слабый пароль. Так что же вам мешает защитить себя лучше и спокойней спать ночью?

Поверьте мне, я понимаю, что больше разных сложных паролей труднее запомнить. Но попробуйте хотя бы для начала сделать такой пароль, который хоть и будет простым для запоминания вами, но никогда не придет в голову другим. И вот вам еще несколько советов на эту тему:

1. Замените часть символов похожими на них. Например, «o» можно заменить на «0» или «@». К примеру, «koza» станет выглядеть как «k03a».

2. Часть букв в пароле капитализируйте, как это делают школьники «В Контакте» : например M0dIfIeD.

3. Подумайте об имени какого-нибудь близкого вам человека. Но не используйте это имя само по себе – лучше прибавьте к имени словарное слово, и это будет самая простая защита от брутфорса.

4. Любимое место, марка машины, впечатление от отпуска, любимый ресторан тоже подойдут.

5. Вам правда нужно использовать разные комбинации логина-пароля везде. Запомните, с технической точки зрения можно вломиться куда угодно, если знать, что вы используете стандартные пароли. Эта фишка не сработает, если вы используете разные пароли везде.

6. Поскольку трудно запомнить, какие пароли и где вы используете, рекомендую сохранять их в специальных крипто-программах, например, Roboform для Windows. Она хранит все ваши пароли в зашифрованном виде, и нужно знать только один мастер-пароль для доступа к ним всем. Также Roboform автоматом заполняет формы на веб-страницах и его даже можно установить на КПК, мобильном телефоне или на флэшке. (Читатели Lifehackers любят использовать программу KeePass с открытым исходным кодом, служащую тем же целям, и к тому же кросс-платформенную.) Пользователи Mac и iPhone могут использовать утилиту 1Password.

7. Подумали о новом пароле? Попробуйте утилиту Microsoft Password Checker и проверьте, насколько он хорош.

А вот видео, которое показывает, как используется Roboform.

Другой аспект, который бы мне хотелось затронуть - это то, какое значение вы придаете паролям. Те, о которых вы думаете как о малозначимых, могут на самом деле значить очень много. Например, пароль от почтового ящика – многие думают, что это ерунда, потому что там ничего особо важного нет. А то, что e-mail связан с вашим аккаунтом в интернет-банке – к примеру? Если я взломаю ваш ящик, то смогу получить доступ к вашему банковскому счету – сказав, что забыл свой пароль и попрошу его выслать. Вы все еще считаете, что это неважно?

Многие люди думают, что они защищены своим роутером или файрволло, если хранят все свои пароли дома. И конечно же, они никогда не меняют пароли от своих устройств по умолчанию! Поэтому любой человек может подъехать к дому, сесть с ноутбуком на лестничной площадке и нарушить безопасность беспроводной сети, а затем заняться брутфорсом, пока не получит полный контроль над вашей сетью.

Каждый день мы сталкиваемся с людьми, которые чрезмерно раздувают ту или иной проблему, делая из мухи слона. Но поверьте – это не тот случай. Есть еще полсотни разных невыгодных для вас вариантов, которые могут вас скомпрометировать с помощью слабого пароля. Я их даже не хочу упоминать. Я также понимаю, что большинству людей просто пофигу на это все – естественно, до тех пор, пока им не преподадут хороший урок. Но сделайте одолжение мне, да и себе тоже – потратьте немного времени и усильте защиту своих паролей! Чтобы я знал, что мои слова не пропали даром.

Избранные комментарии к оригиналу статьи

Barts: «Поскольку я много читаю, то использую пароли, которые имеют корни в забытых или восточноевропейских языках, и их проще их запомнить, если эти слова имеют какое-то значение для меня. Я могу добавить к ним еще и «звездочку» или знак подчеркивания, но я уверен, что мои пароли невозможно угадать. К примеру, номер моего диплома или номер заключенного, который мой дед имел в концлагере.

Я, например, начал с арамейского варианта моего имени: «Бартоломью» (Bartholomew) - в оригинале это имя звучало как «Бар Толмаи» (Bar Tolmai), сын Птолемея (математик или астроном). Бар Толмаи можно представить в виде B4r T01m4i, 84r-T01m4i или B4r_+01m41 (но это уже для маньяков). И вуаля – 10-значный пароль готов. Если мне нужно сделать еще более безопасный пароль, я могу добавить цифру 5669, это последние цифры с номера старой машины моих родителей в Польше, когда эта страна была еще частью зоны советской оккупации (и кстати, это не настоящие цифры). А для менее значимых сайтов, например, игровых или просто компьютерных форумов, я использую время от времени более простые пароли, например, Sekigahara1600 – просто потому, что мне удобно запомнить дату и время этой исторической битвы.

p.s. Не глупите, я НЕ использую ни один из этих паролей в реальности :)»

kityglitr: «Я отлично защищен, все мои пароли уникальны и меняются ежемесячно…чуваки, это меня с ума сводит. Ничего не поделаешь, правда, нужно меньше париться об этом».

minealone6: «¿ʚоvоʚwиɔ хıqʇʎнdǝʚǝdǝu єи ʇиоʇɔоɔ но иvɔǝ ,qvоdɐu qʇɐdgо6оu ʇʎJоw ıqdǝʞɐх ɐ»

DharmaLab: «Можно еще, например, удваивать каждую букву, даже при использовании слабых паролей – не qwerty, а qqwweerrttyy. Удваивать слово, можно даже с капитализацией букв: «passwordPASSWORD. Также можно рисовать виртуальные формы на клавиатуре: скажем, квадрат 2х2. И тоже с капитализацией – 12qw!@qw».

ultraaman: «А мой пароль точно никто не подберет! Потому что я использую марку моей любимой игрушечной машины, когда мне было не скажу сколько лет. Хороший у меня выбор, правда?»

ragincajunnyc: «В дополнение к вышесказанному, хотел бы заметить, что не везде разрешены уникальные логины. Есть куча сервисов, которые используют в качестве логина адрес e-mail типа netflix@domain.com, newegg@domain.com и так далее. Подбирать пароли в таком случае становится много проще, особенно при наличии компьютера с мощным процессором».

heckler95: «А мне нравится использовать первые буквы предложений, фраз или слова песен, включая пунктуацию и числа в должной мере. Например, пароль, основанный на слогане компании UPS («What can brown do for you?») будет выглядеть так: UPSWcbdfy. Никаких словарных слов. Регистры, спецсимволы, числа. Но главное – чтоб не забыть потом все это».

John Steele: «Статья очень интересная… с теоретической точки зрения. Но как быть с практикой? Окей, давайте предположим, что я использую пароль с пятью символами разного регистра. Предположим, что у меня есть аккаунт на Hallmark. И быстрый интернет. Что, неужели Hallmark не заметит, если с одного IP послать тысячи запросов в течение 10 часов? Многие системы не допускают больше четырех попыток за две минуты».

Jsmorley: «Я лично использую всего 4 пароля. Один из них – на сайтах, которые не особо важны для меня, их примерно 80% от общего числа. Один я использую ТОЛЬКО для своего банковского аккаунта. Один я использую в Google, включая свой публичный ящик Gmail. И один пароль – для приватного ящика Gmail. Все они сильны в той степени, в которой это необходимо. И при таком подходе ни разу еще у меня не было проблем с украденным паролем; они, может быть, не «на века», но «на года» - совершенно точно».

Toothball: «А я использую серийные номера с моих гаджетов. Например, у моего МР3-плеера 12-значный серийник. Просто и эффективно – если забуду пароль, то просто переверну плеер и посмотрю на его нижнюю сторону».