Как я украду ваш пароль (ликбез для сомневающихся) |
Бесполезно просить человека внимательнее относиться к своей интернет-безопасности — избегать очевидных паролей и почаще включать голову. Мы решили пойти от противного: следите за тем, как прямо сейчас я украду ваш пароль.
Часть №1: Великолепная десятка
Для того, чтобы получить доступ к компьютеру пользователя, его почтовому или web-экаунту, хакеру порой не нужно никаких инструментов. По статистике, полученной WalkyTalky от опытного бразильского хакера, до 20% всех мировых экаунтов можно открыть так называемой «великолепной десяткой» — или десятью самыми распространенными паролями. Вот они:
1. Имя пользователя, его жены, ребенка или домашнего животного. В ряде случаев к имени добавляется 0 или 1 (причем не потому, что человек хочет чувствовать себя защищенным — некоторые сайты требуют цифро-буквенных паролей, а жертва идет самым простым путем).
2. Номер телефона — домашний, мобильный.
3. Простейшие цифры: 123, 1234 и 123456
4. password или слово «пароль» при включенной английской раскладке
5. Место рождения, а так же такие регионы, как: eldorado, shambala, galaxy
6. Дата рождения пользователя, его жены, ребенка. Для тех, кто служил в армии — это место занимает номер армейского жетона.
7. God или Бог
8. сезамоткройся, сезам, пустименя, впуститеменя, открой!
9. Mistery или наш аналог — «тайна»
10. Love, любовь,
Часть №2: Взлом при помощи Brute Force
Самый простой и популярный способ взлома — Brute Force. Суть ее проста: хакер подгружает библиотеку паролей в одну из сотен специализированных программ для brute force аттаки, после чего запускает ее. Шпионский софт начинает тупо ломиться на экаунт жертвы, каждый раз подставляя новый пароль. Если 10 паролей покрывают 20% населения планеты, представьте, насколько высоки шансы при переборе 100 000 популярных паролей?
Часть №3 Поиск логина
Пароль подобрать очень просто. Но как найти логин, к которому он подходит? К примеру, хакер хочет получить доступ к экаунту интернет-банкинга своей жертвы. Он знает, как ее зовут — пусть это Иван Сидоров. Взламывать систему банка — самоубийство — финансисты уже научились нанимать на работу очень качественных специалистов по технической безопасности. Что делает хакер?
Все до боли просто. Хакер уверен (и совершенно оправданно), что человек в 99% случаев использует один и тот же пароль для большинства сервисов. Поэтому для получения доступа к банковскому счету или другой частной информации достаточно взломать что-то простое... например, интернет-форум, на котором зарегистрирована жертва или сайт небольшого интернет-магазина.
Сделать это может даже ребенок. Программы Brutus и wwwhack можно за 2 минуты найти и скачать из Сети. После этого хакеру достаточно настроить ее на поиск 10-100тыс. логинов/паролей конкретного сайта и нажать «ввод». Результат работы подобного червяка — огромная база данных кодов доступа. А ее можно использовать для Brute Force атаки по методу перебора.
Часть №4 Сколько времени длится взлом
Скорость поиска пароля методом перебора при условии что быстрый прогон базы данных паролей не помог, сильно зависит от трех факторов: длинны пароля, мощности компьютера хакера и качества его инетрнет-соединения.
Порядок цифр такой:
Это статистика, рассчитанная исходя средней по рынку мощности персонального компьютера. Порядок слов — алфавитный: все подряд по словарю. Если подобную процедуру решили бы сделать в Google, она пошла бы в 1000 раз быстрее.
Часть №5: пять самых действенных советов по защите пароля
1) Для того, чтобы сделать пароль более сложным, но легко запомнить его, меняйте буквы на цифры, которые выглядят похожим образом. Букву «о» заменяйте на цифру «0», букву «i» на цифру 1, а букву a на собачку @. Подобрать пароль 1d10t уже сложнее, чем его буквенный аналог, т.к. хакеру для перебора придется задействовать и буквенные, и цифровую раскладки
2) Меняйте регистр случайным образом. Достаточно сделать любую букву в слове заглавной (не первую и не последнюю).
3) Русский мат в английской раскладке. Оставьте включенной английскую раскладку и придумайте простой и понятный пароль в виде русской матерной триады. Максимально конкретной... с цифрами! Ни один хакер мира не сможет подобрать ничего подобного даже за миллион лет никаким перебором.
4) Используйте разные логины и пароли для разных сайтов. Хотя бы разделите их на несколько частей — для форумов используйте один логин-пароль. Для интернет-банкинга — совершенно другой, для почты — третий и т.д. Даже такое простое разграничение существенно увеличивает уровень безопасности.
5) Если при создании пароля вы не можете отказаться от использования имен, фамилий и телефонов, т.к. не можете похвастаться хорошей памятью, используйте неочевидные имена — обратитесь к детству, прошлому или какому-то жизненному опыту, который хорошо помните только вы, а не ваши близкие.
И вот в комментах к этому процитированному поста нашла информацию - зачем пытаются взломать аккаунты рядовых пользователей: Рядовые пользователи нередко пренебрегают правилами безопасного поведения в Сети, считая их обременительными или полагая, что не обязаны соблюдать их. Многие придерживаются распространенного заблуждения, будто, не пользуясь системой онлайн-банкинга и не совершая покупок в Интернете, они не представляют интереса для сетевого криминала. Брайан Кребс (Brian Krebs) в своем блоге вкратце подытожил мотивы, побуждающие хакера интересоваться вашим ПК. Готовый веб-хостинг Завладев чужим компьютером, злоумышленник может использовать его для нелегального хранения спам-рекламы, фишинговых страниц, вредоносных программ, пиратских копий софта и кинофильмов, детской порнографии. Размещение ботов Зараженный компьютер может стать частью зомби-сети и без ведома владельца рассылать спам, участвовать в DDOS-атаках, подтасовывать рейтинг контекстной рекламы (click fraud), работать прокси-сервером или взламывать CAPTCHA-тесты для создания поддельных учетных записей. Сбор почтовых адресов Как правило, все адреса электронной почты, найденные во взломанной системе, хакер продает или сам использует для рассылки спама и реализации мошеннических схем. При этом первыми объектами его атак могут стать родные и близкие жертвы. Логин и пароль к бесплатной почте могут открыть злоумышленнику доступ к другим веб-сервисам под чужим именем, особенно если этот комплект идентификаторов — единственный ключ к ним. Кража личности Все регистрационные данные, в особенности логины и пароли к веб-сервисам, которые пользователь хранит на компьютере, представляют большую ценность для хакера. С их помощью он может от имени жертвы заниматься махинациями на онлайн-аукционах, атаковать пользователей социальных сетей, размещать нелегальный контент на FTP-серверах, охотиться за корпоративными секретами. Хищение виртуальных ценностей При всей своей нематериальности те ценности, которыми оперируют участники онлайн-игр, представляют для хакеров предмет особого интереса. Существуют обширные семейства специализированных программ, ориентированных на хищение лицензионных ключей к сетевым играм и учетных данных их участников. Объем подпольного рынка, на котором ворованные учетные записи к играм и виртуальные ценности обмениваются на реальные деньги, измеряется миллиардами долларов. Хищение финансовой информации Касается держателей онлайн-счетов и клиентов интернет-магазинов. В особых комментариях вряд ли нуждается.Рубрики: | Разное |
Комментировать | « Пред. запись — К дневнику — След. запись » | Страницы: [1] [Новые] |
Комментировать | « Пред. запись — К дневнику — След. запись » | Страницы: [1] [Новые] |