Взлом паролей и пара советов для повышения уровня безопасности паролей
- Категория: Технические советы
- – Автор: Игорь (Администратор)
Многие люди заинтересованы в безопасном использовании интернета и своего компьютера. Если на технологическую сторону вопроса сложно как-либо повлиять (например, вы не можете изменить алгоритмы безопасности Windows), то на различные аспекты, зависящие только от пользователя, такие как пароли, вы всё же можете повлиять. Однако прежде, чем обсуждать любые методы безопасности, необходимо хотя бы немного знать о том, какие методы используют злоумышленники и каких результатов сегодня они могут добиться.
Большинство систем хранят пароли в зашифрованном виде, без возможности восстановления. Это мера повышает уровень безопасности за счет того, что даже если злоумышленник получит доступ к базе данных, то он не увидит сами пароли. Пароли шифруются так называемым хэш-функциями, такими как MD5 и SHA1, которые превращают ваши пароли в одинаковой длины наборы символов. Ещё одним приятным бонусом является то, что эти функции применяются только в одностороннем порядке. Хэш-функции так устроены, что как таковой не существует какой-либо обратной функции, которая бы возвращала пароли из зашифрованного текста.
Однако хэш-функции подразумевают свои проблемы. Во-первых, большинство алгоритмов доступны. Их описание можно легко найти в интернете. Во-вторых, для большинства известных алгоритмов, как, например, MD5, вполне возможно составить таблицу соответствия паролей и итоговых значений. Так что подбор часто используемых паролей никак не усложняется. Пароль вида "123456" никак не станет безопаснее. В-третьих, существует понятие "Коллизия". Речь идет о том, что, в некоторых ситуациях, разные пароли дадут один и тот же зашифрованный результат. Так что злоумышленнику не обязательно знать реальный пароль. Существуют и другие проблемы.
К сожалению, сегодня компьютеры настолько быстры, что параллельная обработка процессорами современных видеокарт предоставляет негодяю негодяевичу мощный инструмент, который позволяет относительно быстро подобрать большинство хэшированных паролей, используемыми многими люди. Как пример, по результатам одного из эксперимента, один хакер расшифровал 62 процента более 16000 хэшированных паролей примерно за один час. Для этого он использовал видеокарту AMD Radeon 7970. Другой хакер, который использовал две видеокарты AMD Radeon 6990, смог расшифровать более 82 процентов тех же паролей за тот же период.
Как видите, в руках злоумышленников находятся достаточно мощные средства. Поэтому, если раньше использование популярных хэш-функций могло существенно повысить уровень безопасности даже простых паролей (с точки зрения хранения паролей), то сегодня достаточно знать алгоритм и его входные параметры.
Конечно, в сложных системах используются и другие меры повышения уровня безопасности. Однако этот механизм применяется достаточно часто. И некоторые авторы считают, что его вполне достаточно. Оставляя без внимания тот факт, что сегодня даже обычные игровые компьютеры легко могут справиться с этими трудностями.
Именно поэтому, составлению паролей необходимо уделять повышенное внимание. Ведь, чем сложнее составлен пароль, тем больше вероятность того, что злоумышленник не сможет его подобрать.
Вот базовые рекомендации:
1. Пароль должен быть длинным. Хоть, в этом и нет ничего такого сверх неожиданного, но это почему-то многие игнорируют. Даже грубый перебор символов позволяет достаточно быстро взломать семи- и восьмизначные пароли (в текущий момент желательно уже не менее 12 символов, а то и того больше). И об этом стоит помнить. Так же нужно понимать, что с ростом производительности компьютеров, количество символов в пароле так же должно возрастать. В некотором роде, это побочный эффект технологического роста.
2. Тем не менее, просто сделать пароли длинными - не значит повысить уровень безопасности. При взломе, хакеры используют более сложные методы, нежели грубый перебор. Атаки сетями Маркова (выстраивание возможных последовательностей символов позволяет серьезно сократить перебор), списки часто используемых слов, шаблоны построения паролей, атаки по словарям и многое другое. Этот пункт означает, что сложность пароля складывается не только из длины. Необходимо, по мере возможности, использовать специфические символы, числа и буквы разного регистра. Конечно, в этом также нет ничего интригующего. Но многие люди попросту игнорируют этот пункт.
3. Помните, что замена букв на схожие символы - не сильно повышает безопасность пароля. Хакеры - это люди, и они также знают, что "4" не всегда цифра, а "@" может обозначать букву "а". Поэтому не стоит рассчитывать, что, поменяв ряд букв, вы сделали пароль из одного слова сложным и безопасным.
4. Если какой-либо сервис или система просит вас о чём-либо, связанным с паролем или доступом, то вам настоятельно рекомендуется сменить пароль, вне зависимости от того, что в последующем будет сообщать сервис или система. Ведь, вполне возможно, что ваш текущий пароль уже находится в чьей-то базе.
5. Не используйте один и тот же пароль везде. Несмотря на банальность совета, его многие игнорируют, не предавая значения тому факту, что взлом какой-либо ненадежной системы, где по случайности был оставлен пароль, приведет к серьезной угрозе безопасности всех данных, где этот пароль также используется.
6. На многих веб-сайтах часто используют специальные тестеры безопасности пароля. Однако не стоит всецело доверять их показаниям. Многие тестеры ограничиваются проверкой только лишь длины пароля, оставляя без внимания реальную сложность пароля. Кроме того, такие тестеры не всегда актуальные. Скажем, если тестер 5-летней давности и несильно требовательный, то вряд ли он соответствует текущим реалиям.
7. Случайные пароли - это не всегда лучшие пароли. Скажем, в теории существует ненулевая вероятность, что пароль будет состоять из повторяющихся символов в стиле "ааааааа" с небольшой добавкой некоторых спецсимволов. Поэтому всегда обращайте внимание и задавайтесь вопросом: а действительно ли пароль случайный, хотя бы внешне. Скажем, не сложно догадаться какой из этих двух паролей будет более сложным: "аааааа11111!!!!" или "FD@$#@^G54&$^3h"/
Если вам нужно создать сложные пароли, и вы не знаете как это можно сделать, то стоит использовать такие инструменты, как генераторы паролей.
Теперь, вы знаете о некоторых проблемах безопасности, связанных с паролем. О том, какими средствами могут пользоваться хакеры. А так же о том, как правильно составлять пароли.
Также вам могут быть интересны обзоры:
1. Как повысить уровень безопасности личных данных в интернете.
2. Информационная безопасность и защита информации простыми словами.
4. Правила цифровой гигиены в интернете.
5. Интернет конфиденциальность - что это на самом деле?
Понравилась заметка? Тогда время подписываться в социальных сетях и делать репосты!
☕ Понравился обзор? Поделитесь с друзьями!
Комментарии / отзывы
Если абстрагироваться дальше, то, при физическом доступе к компьютеру с залогиненной учетной записью администратора и открытому файлу с паролями, вообще сложно что-то противопоставить.
А по существу. Выражаясь вашим языком, на сприткидиссов станет не плевать, когда они сольют ваши данные.