«192.168.1.1, логин: login, пароль: password…и вот я в админке соседского tp-link'а. Что бы сделать?», - типичные мысли юного кулхацкера, по счастливой случайности нарвавшегося на практически «халявный» вай-фай. Порой из таких вырастают серьёзные гуру, порой вырастает чудо в перьях, гораздое кричать «форточки масдай». О последних о хочу сегодня повести беседу. А точнее об их паролях.
Не так давно широко известный в узких кругах ресурс Antichat.ru был взломан и в сеть «утекли» логины и пароли пользователей. Надо отдать должное администрации форума. После взлома была включена привязка к IP-адресу при авторизации для всех пользователей. Но вот сама база, выложенная в открытый доступ, позволила всем желающим попробовать свои силы в брутфорсе.
Известный эксперт Брайан Кребс получил файл с профилями, личными сообщениями и хэшами паролей от 41 037 аккаунтов форума, взял видеокарту EVGA GTX 295, программу для брутфорса Hashcat под CUDA и за 18 дней подобрал аж 44% паролей. Небольшой статистикой, кстати, тоже поделился:
Сам эксперт с некоторой долей иронии пишет, что российские «хакеры» не очень-то сильны в выборе паролей. Около 4500 паролей использовались пятью или большим количеством пользователей.
Но можете ли вы сами похвастаться сложным паролем к своим аккаунтам? Вы никогда не использовали в пароле дату своего рождения? Или русское слово, набранное в другой раскладке? Например rjkj,jr (который от бабушки ушёл) – с виду вполне надёжный пароль. Но только с виду. В нём один регстр, нет цифр, нет спецсимволов. С точки зрения брутфорса такой пароль весьма лего взломать.
Недаром любой грамотный безопасник вам скажет «хороший пароль – тот, который вы не в состоянии запомнить». Да и в интернете хватает советов и методик по придумыванию более-менее устойчивых к взлому паролей.
Как же быть? Лет 5 назад мой хороший друг-разработчик из северной столице просвещал меня в таких вещах с помощью программы, которую разрабатывал. Этот менеджер паролей на данный момент был загружен более 28 млн. раз. Принцип работы, грубо говоря, сводился к тому, что пользователь хранит все свои сложные пароли внутри этого менеджера. Вход в программу также осуществляется через ввод пароля. Таким образом, человеку достаточно выучить лишь один действительно сложный пароль, а все остальные в зашифрованном виде за него будет хранить программа.
Такой способ кажется мне весьма удобным. Но что думаете вы? Действительно ли нужно использовать сложные пароли везде и как их хранить? Может вы знаете лёгкий способ придумать себе сложный пароль? Насколько безопасно использовать один и тот же пароль на различных ресурсах?
Алексей Дрозд,
аналитик компании SearchInform
Я обычно комбинирую пароль из нескольких русских слов, написанных английскими буквами разного регистра, с цифрами. Такой пароль и запомнить несложно, и взломать проблемно – выглядит он как случайно сгенерированный.
ОтветитьУдалитьИспользовать один и тот же пароль можно только для аккаунтов, которым не придаешь большого значения – на сайтах, где для загрузки файлов нужна регистрация, и т.д. Для почты, соц. сетей, админок сайтов и прочих ресурсов – только сложные уникальные пароли!
Всё правильно. Но вот я пользуюсь постоянно двадцаткой различных аккаунтов. Как запомнить все эти пароли? Сейчас подумал и увидел неожиданный вариант решения. Он заключается в "корпорации добра". По сути нужно помнить уникальный сложный пароль только от своей почты. Потому что через него можно будет логиниться и на ютуб, и на блоггер, на пикасса, а теперь ещё и в новую социалку. Гуглу следует запустить рекламную кампанию с этой мыслью - привлечёт новых пользователей)
ОтветитьУдалитьМне тоже кажется, что для почты и других ресурсов, которые пользователь считает важными, нужно придумывать сложные пароли. Но как их запомнить и не путать? Мне кажется, что всё здесь банально просто – взять и записать их в ежедневник. Ведь там же хранятся важные номера телефонов, так почему бы там не хранить важные пароли?
ОтветитьУдалитьЛучше придумать какой-то алгоритм их генерации, чтобы один раз запомнить его и потом легко восстанавливать в памяти пароль по названию ресурса.
ОтветитьУдалить