Никто не хочет терять доступ к аккаунтам социальных сетей или почтовым ящикам, но очень часто такое всё же происходит. Чаще всего причиной этой неприятности служит недостаточная стойкость использованного пароля. Многие сайты не допускают к использованию пароли короче 8-и символов, но эта мера не всегда эффективна.
Оптимальным вариантом является генерация пользовательского пароля специализированной программой, однако следует учитывать, что даже самый взломоустойчивый пароль может быть похищен или банально утерян. Защита конфиденциальной информации должна осуществляться комплексно, но начинать её нужно с создания надёжного пароля. Рассмотрим основные методы, применяемые злоумышленниками для вскрытия паролей:
Перебор словарного запаса
В народе -
брутфорс. Самый простой, но действенный метод заключается в простом переборе всего словарного состава определённого языка в автоматическом режиме. В повседневной жизни люди используют очень мало различных слов, поэтому для перебора достаточно иметь максимально полный словарь, редко содержащий более 100 000 слов. Подобные базы широко представлены в свободном доступе;
Перебор с добавлением цифр
Незначительная модификация первого метода заключается в добавлении к словам цифр. Этот старый метод получил название метода полного перебора. Одним из классических вариантов использования этих методов является база RockYou.
Эти два способа позволяют без труда взломать большинство паролей используемых людьми не знакомыми с основами компьютерной безопасности. Если нет возможности воспользоваться услугами он-лайн генерации пароля, то для начала следует воспользоваться следующими рекомендациями:
- Выбирайте для использования в качестве пароля не одно слово, а фразу из двух-трёх слов, как правило, она легка для запоминания, но взломать её сложнее;
- Не используйте пароли длинной менее 16 символов;
- Умышленно напишите хорошо знакомое слово неправильно, большинство интеллектуальных систем взлома, бессильны перед грамматическими ошибками.
Фишинг
Основан на воздействии на самое слабое звено защиты информации – человека. Пароль любой сложности может быть попросту украден, но особое удовольствие взломщику доставит собственноручное его введение пользователем на подставном сайте. Создать дубликат любой странички в сети не представляет труда для опытного юзера. После чего нужно заманить, как правило, поддельным приглашением от кого-либо из друзей, на эту фейковую страницу атакуемого клиента и предложить ему залогиниться. Дело сделано, причём сложность пароля абсолютно не важна. Вторым названием этого метода, наиболее полно его описывающим, является ловля лоха.
Методы защиты от фишинга:
- Всегда проверяйте адрес отправителя подозрительных писем с приглашениями. Постарайтесь вспомнить, когда последний раз вам что-либо предлагалось просто так в интернете ( ну ведь не было такого никогда!).
- Никогда не переходите на ресурс, нажимая на пришедшую в письме ссылку. Скопируйте её в адресную строку браузера, чтобы убедиться в том, что попадёте куда нужно. Подменить гиперссылку может даже не очень опытный пользователь;
Социальный инжиниринг
Довольно распространённый метод, основанный на использовании присущей практически всем сайтам функции восстановления пароля. В большинстве случаев выбор контрольных вопросов стандартен, поэтому пользователи редко придают значение опасности, исходящей от этой функции. Однако познакомившись с жертвой в социальной сети, злоумышленник может легко получить нужную информацию. Вы же не будете скрывать при общении кличку собаки, любимый цвет или камень. Бороться с этим методом не сложно, достаточно создать собственный контрольный вопрос. Очень эффективно использование метода двойной аутентификации, когда система требует введения высланного на телефонный номер кода. Подробнее с методами социальной инженерии можно ознакомиться
в этой статье.
Использование вредоносного ПО
Метод позволяет злоумышленнику похитить файл паролей из браузера, или просто зафиксировать и сохранить последовательность вводимых данных при входе в систему (для этой цели используется
кейлоггер) с последующей отправкой для обработки на любой адрес. Для предотвращения подобной атаки следует устанавливать ПО только проверенных поставщиков и максимально ограничить доступ посторонних к своему компьютеру;
Прямое похищение паролей
Простой, но удивительно эффективный метод. В офис солидной компании заходит сантехник, связист или электрик, на которого никто не обращает внимания. Он же наоборот, внимательно фиксирует всё, что может заметить его камера или опытный взгляд. В любом офисе можно заметить на мониторах стикеры с каллиграфически выведенными логинами и паролями, особенно у милых дам… Такое пренебрежительное отношение к безопасности легко может разорить компанию. Бороться можно и нужно, укрепляя внутреннюю дисциплину;
Метод «Пауков»
Профессиональные хакеры давно заметили, что большинство слов и фраз, используемых в качестве паролей, связаны с основными направлениями деятельности компаний или отдельных лиц. Прошерстив всемирную паутину, сайты конкурентов или специальную литературу удаётся значительно сократить поисковую базу. Бороться бесполезно, но воспользовавшись автоматической генерацией пароля, пользователь сводит на нет попытки применения этой методики против него.
Все остальные методики представляют модификации перечисленных способов. Целью данной статьи была необходимость заострить внимание пользователей не только на создании взломоустойчивых паролей, но и на необходимость их тщательного хранения.
Проверка надежности пароля
Проблема безопасности паролей актуальна во всём мире, поэтому существует множество сайтов, предлагающих осуществить примерный подсчёт времени их взлома. Предлагаем пользователю самостоятельно поэкспериментировать со своими паролями. Очень многое для понимания методов повышения взломоустойчивости можно узнать потестировав разные пароли на устойчивость ко взлому
на нашем сайте. При анализе используются основные методы, применяемые программами автоматического взлома.
При этом рекомендуем вводить не конкретный пароль, используемый для защиты, а только примерно соответствующий по структуре (число букв в различных регистрах и цифр, а также порядок следования)
Результатом практически моментальной проверки стойкости пароля будет сообщение о предполагаемом сроке взлома аккаунта или почтового ящика:
В данном случае восьми месячная стойкость вполне достаточна, но этот результат может быть значительно улучшен добавлением даже нескольких лишних символов.
С его помощью можно значительно упростить процесс регистрации и авторизации на любых сайтах, форумах, соц. сетях. Для этого при регистрации на каком-либо сайте генерируем профиль, копируем из него нужные поля на сайт, удаляем ненужные поля в профиле, скачиваем и сохраняем на компьютере созданный профиль с пометкой названия сайта, где его использовали. Готово.
В следующий раз при авторизации на этом ресурсе достаточно открыть (с помощью ворда) файл с нужным названием и вуаля - вся необходимая информация о входе в аккаунт в одном месте.
Кроме этого, с его помощью можно придумать себе интересное фото на аватар для инстаграмма, Вконтакте и других соц.сетей.
Сохраняем в закладки, пользуемся и делимся в соцсети с друзьями!