Взломе паролей и пара советов для повышения уровня безопасности паролей

Категория: Технические советы

– Автор: Игорь (Администратор)

Многие люди заинтересованы в безопасном использовании интернета и своего компьютера. Если на технологическую сторону вопроса сложно как-либо повлиять (например, вы не можете изменить алгоритмы безопасности Windows), то на различные аспекты, зависящие только от пользователя, такие как пароли, вы все же можете повлиять. Однако, прежде, чем обсуждать любые методы безопасности, необходимо хотя бы немного знать о том, какие методы используют злоумышленники и каких результатов сегодня они могут добиться. 

Большинство систем хранят пароли в зашифрованном виде, без возможности восстановления. Это мера повышает уровень безопасности за счет того, что даже если злоумышленник получит доступ к базе данных, то он не увидит сами пароли. Пароли шифруются так называемым хэш-функциями, такими как MD5 и SHA1, которые превращают ваши пароли в одинаковой длины наборы символов. Еще одним приятным бонусом является то, что эти функции применяются только в одностороннем порядке. Хэш-функции так устроены, что как таковой не существует какой-либо обратной функции, которая бы возвращала пароли на основе зашифрованного текста. 

Однако, хэш-функции имеют и свои проблемы. Во-первых, большинство алгоритмов доступны. Их описание можно легко найти в интернете. Во-вторых, для большинства известных алгоритмов, как, например, MD5, вполне возможно составить таблицу соответствия паролей и итоговых значений. Так что подбор часто используемых паролей никак не усложняется. Пароль вида "123456" никак не станет безопаснее. В-третьих, существует понятие "Коллизия". Речь идет о том, что, в некоторых ситуациях, разные пароли дадут один и тот же зашифрованный результат. Так что злоумышленнику не обязательно знать реальный пароль. Существуют и другие проблемы.

К сожалению, сегодня компьютеры настолько быстры, что параллельная обработка процессорами современных видеокарт предоставляет взломщику мощный инструмент, который позволяет относительно быстро подобрать большинство хэшированных паролей, используемыми многими люди. Как пример, по результатам одного из эксперимента, один хакер расшифровал 62 процента более 16000 хэшированных паролей примерно за один час. Для этого он использовал видеокарту AMD Radeon 7970. Другой хакер, который использовал две видеокарты AMD Radeon 6990, смог расшифровать более 82 процентов тех же паролей за тот же период.

Как видите, в руках злоумышленников находятся достаточно мощные средства. Поэтому, если раньше использование популярных хэш-функций могло существенно повысить уровень безопасности даже простых паролей (с точки зрения хранения паролей), то сегодня достаточно знать алгоритм и его входные параметры.

Примечание: Конечно, в сложных системах используются и другие меры повышения уровня безопасности. Однако, этот механизм применяется достаточно часто. И некоторые разработчики считают, что его вполне достаточно. Оставляя без внимания тот факт, что сегодня даже обычные игровые компьютеры легко могут справиться с этими трудностями.

Именно поэтому, составлению паролей необходимо уделять повышенное внимание. Ведь, чем сложнее составлен пароль, тем больше вероятность того, что злоумышленник не сможет его подобрать. Вот базовые рекомендации:

1. Пароль должен быть длинным. Хоть, в этом и нет ничего нового, но об этом многие забывают. Даже грубый перебор символов позволяет достаточно быстро взломать семи- и восьмизначные пароли. И об этом не стоит забывать. Так же нужно понимать, что с ростом производительности компьютеров, количество символов в пароле так же должно возрастать. В некотором роде, это побочный эффект технологического роста.
2. Тем не менее, просто сделать пароли длинными - не значит повысить уровень безопасности. При взломе, хакеры используют более сложные методы, нежели грубый перебор. Атаки сетями Маркова (выстраивание возможных последовательностей символов позволяет серьезно сократить перебор), списки часто используемых слов, шаблоны построения паролей, атаки по словарям и многое другое. Этот пункт означает, что сложность пароля складывается не только из длины. Необходимо, по мере возможности, использовать специфические символы, числа и буквы разного регистра. Конечно, в этом так же нет ничего нового. Но, многие люди попросту игнорируют этот пункт.
3. Помните, что замена букв на схожие символы - не сильно повышает безопасность пароля. Хакеры - это люди, и они так же знают, что "4" не всегда цифра, а "@" может обозначать букву "а". Поэтому не стоит рассчитывать, что, поменяв ряд букв, вы сделали пароль из одного слова сложным и безопасным.
4. Если какой-либо сервис или система просит вас о чем-либо, связанным с паролем или доступом, то вам настоятельно рекомендуется сменить пароль, вне зависимости от того, что будет говорить сервис или система. Ведь, вполне возможно, что ваш текущий пароль уже находится в чьей-то базе.  
5. Не используйте один и тот же пароль везде. Несмотря на банальность совета, его многие игнорируют, не предавая значения тому факту, что взлом какой-либо ненадежной системы, где по случайности был оставлен пароль, приведет к серьезной угрозе безопасности всех данных. 
6. На многих веб-сайтах часто используют специальные тестеры безопасности пароля. Однако, не стоит всецело доверять их показаниям. Многие тестеры ограничиваются проверкой только лишь длины пароля, оставляя без внимания реальную сложность пароля.

Если вам нужно создать сложные пароли, и вы не знаете как это можно сделать, то стоит использовать такие инструменты, как генераторы паролей.

Теперь, вы знаете о некоторых проблемах безопасности. О том, какими средствами могут пользоваться хакеры. А так же о том, как правильно составлять пароли.

• Как отключить JavaScript в программах для чтения PDF документов?
• Управление службами Windows XP/7 с помощью Services Suite