• Мнения
  • |
  • Обсуждения
Александр Аб Грандмастер

Каким образом взламывают пароль?

Подавляющее большинство ресурсов в Интернете «пускают» пользователей к себе после указания правильных логина и пароля. Считается, что это надежная защита. Тогда каким образом злоумышленники взламывают электронную почту, аккаунты, странички в социальных сетях и сайты?

shutteratakan Shutterstock.com

Происходит такое бедствие по целому ряду причин. И самая главная из них — человеческий фактор. Проще говоря, человеческая глупость. Для примера — как сравнительно простым способом взламывают электронную почту.

Хакер (даже с не ахти какими знаниями) создает на каком-либо бесплатном хостинге домен третьего уровня. При загрузке на него сайта никакие паспортные и иные данные не требуются. Это позволяет хакеру анонимно поставить на сайте небольшую программку. С ее помощью жертве отправляется на почту HTML-сообщение, например, такого вида: «Ваш пароль устарел. Необходимо срочно его заменить». И далее идет PHP-форма, где надо указать прежний пароль и вставить новый. Доверчивый пользователь заполняет форму и нажимает на кнопочку «Отправить».

Но куда уходит отправка? Правильно, через редирект с сайтика на почту хакеру. Он получает ваше ответное сообщение, смотрит, какой указан первоначальный пароль, заходит на ваш почтовый аккаунт и после ввода логина (а это — ваш электронный адрес) вписывает ваш прежний пароль. Остается только нажать на «Войти», зайти и сменить пароль на любой другой. Все, вашу почту увели!

Запомните: на всех ресурсах не предлагается менять пароль методом заполнения формы непосредственно на вашей почте.

А теперь о том, какие пароли нельзя делать. Недопустимы пароли, состоящие из имени (фамилии) и года рождения; из номера телефона (в том числе и мобильного); из клички вашего песика или кошки; из имени и отчества ваших родителей (равно и с вашими именем-отчеством); из названия населенного пункта, где живете; из номера дома, номера квартиры и года рождения… Суть тут в том, что такие пароли довольно легко узнать в общении или же «вычислить». Как ни удивительно, но в Сети встречаются по сей день и пароли в виде слова parol и цифр 12345. Тут уж без комментариев!

Сложный пароль запомнить трудно. По этой причине пользователи подсознательно стремятся к простым для запоминания паролям. Это может быть не только номер личной автомашины, но и что угодно другое. В том числе даже клавиатура компьютера. Я это говорю серьезно. Много раз видел, как коллеги набирали на ней пароль, последовательно нажимая на клавиши в одном ряду. Скажем, пароль был такого вида: asdfg плюс год рождения. На первый взгляд — довольно сложновато для зрения, но легко запоминается со стороны, если внимательно смотреть на клавиатуру. Не верите? Тогда посмотрите на порядок этих «кнопочек». Тут и хакером не надо быть, чтобы взломать коллеге почту, аккаунт в социальных сетях или еще что-то. Самое любопытное: на большинстве ресурсов при регистрации пароль такого вида оценивается почему-то как средний по сложности. Возможно, для машины он и в самом деле такой по сложности, но не для человека, сидящего сбоку от коллеги и видящего, в какой последовательности нажаты клавиши и куда тот зашел.

Конечно, существуют различные алгоритмы для криптования паролей. Но есть специальные программы для их взлома. В основном они основаны на переборе вариантов. Но нужны ли такие программы, если случайно увидев из-за спины «систему» набора пароля, злоумышленник с ним же зайдет на другие ресурсы жертвы, где требуется авторизация? Особенность столь «повального» взлома будет в том, что пользователь, однажды придумав сложный пароль, надежно запомнил его и использует на других ресурсах. Тут тоже без комментариев.

Не надейтесь на то, что о вашей безопасности позаботится ресурс, на который заходите. Довольно обычная практика: в целях снижения нагрузки на сервер, для создания хешей применяются простые алгоритмы, которые не позволяют надежно шифроваться от взлома специальными программами. Если пароль имеет шаблонный вид по количеству знаков, использованию символов, их порядку (лишь прописные или лишь заглавные буквы без включения цифр) и так далее, то перебором вариантов подобрать такой пароль может даже человек, далекий от хакерства. Всех и дел — скачать из Сети нужную программу и запустить ее.

Гарантированно защититься от взлома пароля невозможно. Обещания обеспечить 100% защиты — миф. Но снизить риск взлома аккаунта — это возможно. Пароль должен быть длиной в 10−12 символов. В нем обязательно наряду с буквами должны быть цифры. И не только в конце, а и в любом другом месте. Кроме того, следует чередовать регистр при написании пароля. И самое главное: пароль должен быть уникальным. Не прибегайте к помощи онлайн-генераторов паролей. Заход на сайт с таким ресурсом обычно заканчивается тем, что вы получаете не только пароль, но и скрытно от вас на компьютер устанавливается мини-программка из числа шпионских, которая передаст потом ваши пароли куда-либо.

Современная жизнь в Интернете основана на логине и пароле. Забудьте о том, что многие ресурсы предлагают вам запомнить пароль. На домашнем компьютере воспользоваться этой услугой можно. Да и то в случае, если это ваш личный компьютер и никто из домочадцев им точно не пользуется. На рабочем же компьютере такая медвежья услуга чревата очень большими неприятностями.

Статья опубликована в выпуске 6.04.2015
Обновлено 22.07.2020

Комментарии (7):

Чтобы оставить комментарий зарегистрируйтесь или войдите на сайт

Войти через социальные сети:

  • Мне тоже в спаме порой приходят перлы компьютерного перевода. Особенно запомнился такой:
    "Открыть вложение документа и ответить ко мне спиной". Я тогда ответил... спиной к отправителю, лицом к его почтовому провайдеру.

  • Спасибо! Полезная информация!

  • Спасибо! Пошла менять пароли

    Оценка статьи: 5

  • А так ли уж страшен чёрт, как его малюют. Есть смысл воровать пароли связанные с финансами, иногда - для рассылки спама. Ну украдут у меня пароль входа на ШЖ, ну и что - комментарий от моего имени напишут или статью разместят? Реклама здесь удаляется сразу.
    А с другой стороны - у меня на вайфае стоит пароль из 13 знаков и тем не менее - входишь в его программу и видишь посторонние компьютеры, кто-то, пользуясь дырами в его защите качает бесплатный трафик. Иногда так рьяно, что перегружается канал связи и начинает глючить весь интернет. Приходится выключать вайфай когда он не нужен.

  • Все упирается в человеческий фактор.

    Никто в здравом уме не будет запоминать пароли типа gzhdcbszh367325, все равно большинство будут использовать что-то типа ivanov12345. А владельцы сайтов просто должны применять меры защиты - ограничение числа попыток например, SMS-подтверждения и пр, чтобы злоумышленник не подобрал пароль.

  • Один из способов подбора хорошего и легко запоминающегося пароля - использовать иностранные слова. И чем иностраннее, тем лучше.Одно-два слова не трудно выучить, даже если эти слова на китайском языке. А лучше - на абхазском. Там вообще головоломка, язык редкий и слова длинные. Или вот, угадайте, на каком языке: txakurraetakatua. Теперь заменяем в этом длинном слове 2-ю, 4-ю и 6-ю буквы цифрами 0, 9 и 8 соответственно,а перед последней буквой ставим !

    Внесите в этот алгоритм свои изменения и пользуйтесь на здоровье.

    Оценка статьи: 5

    • Марк Блау, не очень удачный совет! Словарь любого языка весьма ограничен (максимум 100 тыс. слов, что для перебора - семечки). В базах для перебора паролей, наверняка, всё это уже давно сидит. Как сидят там все даты от рождества Христова, все пятибуквенные сочетания клавиатурных клавиш-соседок и т.п.

      Пароль должен быть полной АБРАКАДАБРОЙ. Причем, слово "абракадабра" употреблять тоже нельзя!