Сколько времени потребуется для того, чтобы взломать пароль, который вы используете сразу для нескольких интернет-аккаунтов? Эксперт по технологиям защиты информации Джон Позэдзайдс утверждает, что особого труда это не составит. В статье, опубликованной на портале Money.MSN.com, он рассказывает о технологиях взлома, которыми пользуются хакеры, а также о том, как сделать свои пароли более надежными.
Итак, сколько времени мне нужно, чтобы узнать ваш пароль? Ну-ка, посмотрим… Вообще-то я могу выудить вашу персональную информацию куда быстрее, чем вам кажется. А узнав ваш пароль, я легко могу забраться в ваш электронный почтовый ящик, персональный компьютер или аккаунт в системе онлайн-банкинга. Более того — если я взломаю один аккаунт, то проникну и в остальные.
Вот мой «хит-парад» наиболее популярных паролей:
— имя вашего супруга, ребенка или домашнего питомца плюс 0 или 1 в конце (потому что всегда требуется использовать цифры при создании пароля, не так ли?);
— четыре последних цифры номера карты социального страхования;
— 123, 1234 или 123456;
— «password» («пароль»);
— город, где вы живете, название колледжа или любимой футбольной команды;
— дата рождения — ваша, супруга или ребенка;
— «god» («бог»);
— «letmein» («впустименя»);
— «money» («деньги»);
— «love» («любовь»).
Предполагаю, что статистически эта выборка верна для 20% из вас. Но даже если это не так, не спешите расслабляться: даже если я не вычислил ваш пароль только что, то сделаю это через несколько минут.
Хакеры из числа тех, кто не особенно задумывается над вопросами этики, создали множество инструментов для взлома персональных данных. И главное препятствие на пути к сохранности личной информации — это ваш пароль (ирония в том, что люди обычно безалаберно относятся именно к тому, что может защитить их лучше всего).
Один из простейших способов получить доступ к личной информации — это так называемый «метод грубой силы», когда хакер пытается войти на какой-либо сайт с вашим логином и паролем, используя специальные программы — взломщики паролей.
Как выглядит процесс выуживания персональных данных? Очень просто. По моей логике, все происходит так:
— вы ведь пользуетесь одним паролем для многих сайтов, так?
— некоторые сайты, к примеру, онлайн-банкинг и корпоративные сети, имеют довольно высокий уровень защиты, и их атаковать я не стану;
— однако другие сайты — к примеру, серверы электронной почты, форумы или сайты электронной торговли — не настолько хорошо защищены; вот за
— теперь все, что мне нужно — это запустить программу-взломщик вроде THC Hydra и задать в параметрах максимально быстрый подбор 10 тыс. вариантов имен пользователей и паролей (да хоть 100 тыс., как вам будет угодно).
С помощью подобранных вариантов пар «логин-пароль» опробуем доступ на выбранный нами сайт.
Хотя погодите: откуда мне известны сайты и логины, которыми вы пользуетесь чаще всего? Все просто: в кэше вашего веб-браузера сохраняются куки, или cookies — небольшие фрагменты данных, созданные веб-сервером или веб-страницей.
Насколько быстро можно все это проделать? Все зависит от трех факторов: длины и сложности вашего пароля, оперативности хакерского компьютера и скорости интернет-соединения, которой располагает взломщик.
Предположим, у хакера мощный компьютер и быстрый Интернет. Ниже приводится таблица, где показано, сколько времени потребуется на взлом пароля в зависимости от количества символов. После того, как будет сгенерирован список предполагаемых вариантов, взлом пароля — лишь дело времени. Программа либо переберет все возможные варианты, либо прекратит свою работу.
| Количество символов
| Время на расшифровку
| При использовании символов только в нижнем регистре
|
| 3 | 0,02 секунды | 0,02 секунды |
| 4 | 1,36 минуты | 0,046 секунды |
| 5 | 2,15 часа | 11,9 секунды |
| 6 | 8,51 дня | 5,15 минуты |
| 7 | 2,21 года | 2,23 часа |
| 8 | 2,10 столетия | 2,42 дня |
| 9 | 20 тыс. лет | 2,07 месяца |
| 10 | 1 899 тыс. лет | 4,48 года |
| 11 | 180 365 тыс. лет | 1,16 столетия |
| 12 | 17 184 705 тыс. лет | 3,03 тысячелетия |
| 13 | 1 627 797 068 тыс. лет | 78,7 тысячелетия |
| 14 | 154 640 721 434 тыс. лет | 2,046 тысячелетия |
Обращайте особое внимание на разницу в написании пароля при пользовании только нижним регистром и в написании с применением всех символов, к примеру @#$%^&*. Если вставить в пароль всего лишь одну заглавную букву или «звездочку», то, скажем, на расшифровку слова из восьми букв потребуется уже 2,1 столетия вместо 2,4 дня.
Учтите, что все расчеты приведены для обычных компьютеров, и если за дело возьмется Google, то он сделает это в тысячу раз быстрее.
Я бы мог хорошенько испортить вам жизнь, часами рассказывая о том, как вы подвергаете угрозе безопасность своих данных, но поскольку главное в защите данных — это пароли, то перейдем сразу к ним, чтобы вам спокойнее спалось по ночам.
Поверьте, я прекрасно понимаю ваше стремление создавать запоминающиеся пароли. Но если уж делать так, то почему бы не использовать слова и фразы, о которых никто не догадается и которые не особенно распространены?
Вот несколько подсказок:
— произвольно заменяйте буквы похожими на них символами. Букву «о» можно заменить цифрой 0, или, даже лучше, @ или * — к примеру, m0d3ltf@rd вместо modelTford;
— точно так же можно применять заглавные буквы — например, Mod3lTF0rD;
— вспомните что-нибудь, что вам нравилось в молодые годы, но не выбирайте имен людей. Любое имя в сочетании с любым словом не устоит перед хакерской атакой. Может, это особенная марка автомобиля, достопримечательность, которую вы увидели, будучи в отпуске, или любимый ресторан?
— вам действительно необходимо создать разные пароли для разных аккаунтов. Помните, что хакеры взламывают один из ваших аккаунтов, чтобы проверить ваш стандартный пароль, а потом принимаются и за остальные. Если у вас все пароли разные, то эта техника не сработает;
— запомнить множество разных паролей трудно, я рекомендую для этого программное приложение Roboform от Windows. Оно сохранит все ваши пароли в зашифрованном виде, и вы сможете получать доступ ко всем своим аккаунтам при помощи одного основного пароля. Кроме того, программа позволяет автоматически заполнять формы на веб-страницах. Некоторые версии программы позволяют импортировать данные о паролях на КПК, телефон или на USB-флешку;
— пользователям Mac я рекомендую приложение 1Password (хотя и у RoboForm есть соответствующая версия). Помимо того, есть версии подобных приложений, совместимые с iPhone и Android, и вы можете синхронизировать свои пароли с мобильными телефонами и всегда иметь их при себе;
— прогоните придуманный вами пароль через программу тестирования уровня надежности пароля, такую программу предлагает Microsoft.
Не забывайте, что часто самыми важными оказываются те данные, которые нам кажутся несущественными. К примеру, многие полагают, что пароли от электронных почтовых ящиков не так уж критичны, поскольку «там же не хранится никаких важных писем». Однако ваш e-mail может быть привязан к аккаунту в системе онлайн-банкинга, и если я его взломаю, то могу попросту сделать запрос на забытый пароль на банковском сайте, и мне его пришлют на почту. Что вы там говорили про «ничего важного»?
Часто приходится слышать от людей о том, что все пароли и логины хранятся на домашнем компьютере и защищены от кражи данных роутером или фаерволом. Однако если не позаботиться сменить входной пароль, то кто угодно может припарковаться рядом с домом, открыть свой ноутбук, получить доступ к беспроводному Интернету и взломать вашу домашнюю сеть — вот вы и попались.
Я понимаю, что частенько краски сгущаются специально для того, чтобы побудить людей к действию — но поверьте, это не тот случай. Есть еще полсотни других способов скомпрометировать ваши данные
Я понимаю и то, что большинству людей на все это наплевать, пока не станет слишком поздно и они не получат тяжелый урок. Почему бы вместо этого не сослужить добрую службу самим себе и не сделать ваши пароли более надежными? Да и мне это тоже на пользу, ведь по крайней мере я буду знать, что не зря потратил время, пока писал эту статью.
Перевела Наталья ЧЕРКАШИНА, Banki.ru
