Как могут взломать ваш пароль
Взлом паролей, какие бы пароли это ни были — от почты, онлайн-банкинга, Wi-Fi или от аккаунтов В контакте и Одноклассников, в последнее время стал часто встречающимся событием. В значительной степени это связано с тем, что пользователи не придерживаются достаточно простых правил безопасности при создании, хранении и использовании паролей. Но это не единственная причина, по которой пароли могут попасть в чужие руки.
В этой статье — подробная информация о том, какие методы могут применяться для взлома пользовательских паролей и почему вы уязвимы перед такими атаками. А в конце вы найдете список онлайн сервисов, которые позволят узнать, был ли уже скомпрометирован ваш пароль. Также будет (уже есть) вторая статья на тему, но начать чтение я рекомендую именно с текущего обзора, а уже потом переходить к следующему.
Обновление: готов следующий материал — Про безопасность паролей, в котором описано, как в максимальной степени обезопасить свои аккаунты и пароли к ним.
Какие методы используются для взлома паролей
Для взлома паролей используется не такой уж и широкий набор различных техник. Почти все они известны и почти любая компрометация конфиденциальной информации достигается за счет использования отдельных методов или их комбинаций.
Фишинг
Самый распространенный способ, которым на сегодняшний день «уводят» пароли популярных почтовых сервисов и социальных сетей — фишинг, и этот способ срабатывает для очень большого процента пользователей.
Суть метода в том, что вы попадаете на, как вам кажется, знакомый сайт (тот же Gmail, ВК или Одноклассники, например), и по той или иной причине вас просят ввести ваш логин и пароль (для входа, подтверждения чего-либо, для его смены и т.п.). Сразу после ввода пароль оказывается у злоумышленников.
Как это происходит: вы можете получить письмо, якобы от службы поддержки, в котором сообщается о необходимости войти в аккаунт и дана ссылка, при переходе на которую открывается сайт, в точности копирующий оригинальный. Возможен вариант, когда после случайной установки нежелательного ПО на компьютере, системные настройки изменяются таким образом, что при вводе в адресную строку браузера адреса нужного вам сайта, вы на самом деле попадаете на оформленный точно таким же образом фишинговый сайт.
Как я уже отметил, очень многие пользователи попадаются на это, и обычно это связано с невнимательностью:
- При получении письма, которое в том или ином виде предлагает вам войти в ваш аккаунт на том или ином сайте, обращайте внимание, действительно ли оно было отправлено с адреса почты на этом сайте: обычно используются похожие адреса. Например, вместо support@vk.com, может быть support@vk.org или нечто подобное. Однако, правильный адрес не всегда гарантирует, что все в порядке.
- Прежде чем куда-либо ввести свой пароль, внимательно посмотрите в адресную строку браузера. Прежде всего, там должен быть указан именно тот сайт, на который вы хотите зайти. Однако, в случае с вредоносным ПО на компьютере этого недостаточно. Следует также обратить внимание на наличие шифрования соединения, которое можно определить по использованию протокола https вместо http и изображению «замка» в адресной строке, по нажатии на который, можно убедиться, что вы на настоящем сайте. Почти все серьезные ресурсы, требующие входа в учетную запись, используют шифрование.
Кстати, тут отмечу, что и фишинговые атаки и методы перебора паролей (описано ниже) не подразумевают сегодня кропотливой муторной работы одного человека (т.е. ему не нужно вводить миллион паролей вручную) — все это делают специальные программы, быстро и в больших объемах, а потом отчитываются об успехах злоумышленнику. Более того, эти программы могут работать не на компьютере хакера, а скрытно на вашем и у тысяч других пользователей, что в разы повышает эффективность взломов.
Подбор паролей
Атаки с использованием подбора паролей (Brute Force, грубая сила по-русски) также достаточно распространены. Если несколько лет назад большинство таких атак представляли собой действительно перебор всех комбинаций определенного набора символов для составления паролей определенной длины, то на данный момент всё обстоит несколько проще (для хакеров).
Анализ утекших за последние годы миллионов паролей показывает, что менее половины из них уникальны, при этом на тех сайтах, где «обитают» преимущественно неопытные пользователи, процент совсем мал.
Что это означает? В общем случае — то, что хакеру нет необходимости перебирать несчетные миллионы комбинаций: имея базу из 10-15 миллионов паролей (приблизительное число, но близкое к истине) и подставляя только эти комбинации, он может взломать почти половину аккаунтов на любом сайте.
В случае целенаправленной атаки на конкретную учетную запись, помимо базы может использоваться и простой перебор, а современное программное обеспечение позволяет это делать сравнительно быстро: пароль из 8-ми символов может быть взломан в считанные дни (а если эти символы представляют собой дату или сочетание имени и даты, что не редкость — за минуты).
Обратите внимание: если вы используете один и тот же пароль для различных сайтов и сервисов, то как только ваш пароль и соответствующий адрес электронной почты будут скомпрометированы на любом из них, с помощью специального ПО это же сочетание логина и пароля будет опробовано на сотнях других сайтах. Например, сразу после утечки нескольких миллионов паролей Gmail и Яндекс в конце прошлого года, прокатилась волна взломов аккаунтов Origin, Steam, Battle.net и Uplay (думаю, и многих других, просто по указанным игровым сервисам ко мне многократно обращались).
Взлом сайтов и получение хэшей паролей
Большинство серьезных сайтов не хранят ваш пароль в том виде, в котором его знаете вы. В базе данных хранится лишь хэш — результат применения необратимой функции (то есть из этого результата нельзя снова получить ваш пароль) к паролю. При вашем входе на сайт, заново вычисляется хэш и, если он совпадает с тем, что хранится в базе данных, значит вы ввели пароль верно.
Как несложно догадаться, хранятся именно хэши, а не сами пароли как раз в целях безопасности — чтобы при потенциальном взломе и получении злоумышленником базы данных, он не мог воспользоваться информацией и узнать пароли.
Однако, довольно часто, сделать это он может:
- Для вычисления хэша используются определенные алгоритмы, в большинстве своем — известные и распространенные (т.е. каждый может их использовать).
- Имея базы с миллионами паролей (из пункта про перебор), злоумышленник также имеет и доступ к хэшам этих паролей, вычисленным по всем доступным алгоритмам.
- Сопоставляя информацию из полученной базы данных и хэши паролей из собственной базы, можно определить, какой алгоритм используется и узнать реальные пароли для части записей в базе путем простого сопоставления (для всех неуникальных). А средства перебора помогут узнать остальные уникальные, но короткие пароли.
Как видите, маркетинговые утверждения различных сервисов о том, что они не хранят ваши пароли у себя на сайте, не обязательно защищают вас от его утечки.
Шпионские программы (SpyWare)
SpyWare или шпионские программы — широкий спектр вредоносного программного обеспечения, скрытно устанавливающегося на компьютер (также шпионские функции могут быть включены в состав какого-то нужного ПО) и выполняющего сбор информации о пользователе.
Помимо прочего, отдельные виды SpyWare, например, кейлоггеры (программы, отслеживающие нажимаемые вами клавиши) или скрытые анализаторы траффика, могут использоваться (и используются) для получения пользовательских паролей.
Социальная инженерия и вопросы для восстановления пароля
Как говорит нам Википедия, социальная инженерия — метод доступа к информации, основанный на особенностях психологии человека (сюда можно отнести и упоминавшийся выше фишинг). В Интернете вы можете найти множество примеров использования социальной инженерии (рекомендую поискать и почитать — это интересно), некоторые из которых поражают своей изящностью. В общих чертах метод сводится к тому, что почти любую информацию, необходимую для доступа к конфиденциальной информации, можно получить, используя слабости человека.
А я приведу лишь простой и не особенно изящный бытовой пример, имеющий отношение к паролям. Как вы знаете, на многих сайтах для восстановления пароля достаточно ввести ответ на контрольный вопрос: в какой школе вы учились, девичья фамилия матери, кличка домашнего животного… Даже если вы уже не разместили эту информацию в открытом доступе в социальных сетях, как думаете, сложно ли с помощью тех же социальных сетей, будучи знакомым с вами, или специально познакомившись, ненавязчиво получить такую информацию?
Как узнать, что ваш пароль был взломан
Ну и, в завершение статьи, несколько сервисов, которые позволяют узнать, был ли ваш пароль взломан, путем сверки вашего адреса электронной почты или имени пользователя с базами данных паролей, оказавшихся в доступе хакеров. (Меня немного удивляет, что среди них слишком значительный процент баз данных от русскоязычных сервисов).
Обнаружили ваш аккаунт в списке ставших известных хакерам? Имеет смысл поменять пароль, ну а более подробно о безопасных практиках по отношению к паролям учетных записей я напишу в ближайшие дни.
Дмитрий
Спасибо, Дмитрий, за интересную и содержательную информацию. С нетерпением буду ждать продолжения статьи.
Ответить
Fantom
Прошло 2 года, а мне до сих пор не понятно как меня тогда взломали. Ни один пункт из этой статьи не подходит под мой случай. Фишинг — не перехожу по незнакомым ссылкам. Подбор паролей — всегда на почте использовал пароль из 14 букв и цифр. Взлом сайтов и получение хэшей паролей — с трудом верится, что сломали яндекс (именно у них была моя почта). Шпионские программы — возможно, но маловероятно. Опять же потому, что посещаю проверенные сайты, набор установленных проверенных обновленных программ ограничен, система всегда обновлена, на борту тогда была связка защиты (Avast + Online Armor). Социальная инженерия и вопросы для восстановления пароля — никогда не пользовался соц сетями и тому подобным мусором. А свои уникальные данные вводил только на сайте webmoney и банка, в остальных случаях в основном фейковые регистрации.
Ещё меня очень удивило, что после того как мне вернули почту (за выкуп), в её настройках был изменён контрольный вопрос (на этот счет даже служба поддержки яндекса просто «пожала плечами»). Ответ на этот вопрос знал только я. Собственно, из-за изменённого вопроса я и не мог восстановить её самостоятельно. После этого инцидента почту яндекса мне пришлось удалить и найти сервис с двухфакторной аутентификацией.
Ответить
Dmitry
Тут сложно что-то доподлинно сказать. Но: вот возьмем контрольный вопрос. Какие там варианты есть: фамилия, кличка животного, номер школы… т.е. те вещи, варианты для которых очень ограничен и если взять, к примеру, список из 300 самых распространенных у нас фамилий, велика вероятность, что и ваша там окажется. А 300 штук быстро проверяются.
Ответить
Fantom
Ну я обычно выбираю серию и номер паспорта, а если есть «Свой вопрос» то обязательно его.
Ответить
Гордей
Через форму восстановления пароля
Ответить
Fantom
Кстати, а зачем у вас на сайте обязательное условие написания комментария — указание электронной почты? Вот так и ищут потенциальных жертв.
Ответить
Dmitry
Это свойство движка сайта. Лично я никак эти адреса не использую, в том числе для каких-либо рассылок. Если пишут фейковый адрес, отношусь к этому спокойно. Да и сам по себе адрес мало что дает (кроме возможностей отсылки спама, чем я не пользуюсь)
Ответить
Фархад
Благодарю за сервис — сайты. Удачи и процветания!
Ответить
Bus
сегодня было, пришло такое сообщение в вк Мы нашли данные для входа на Вашу страницу в открытых источниках. Ваш пароль могли украсть злоумышленники. В целях безопасности рекомендуем его изменить прямо сейчас.
а у меня вход на сайте через смс телефона что за?.. правда когда открываю страницу ВК то пароль не вожу там он автоматом уже залогинен… и че так каждый раз менять пароли я уже заманался….
Ответить
Dmitry
А там точно от ВК сообщение а не от какого-то злоумышленника, который прикидывается агентом поддержки и ссылку левую дает на «смену» пароля?
Ответить
мимокрокодил
Там не сообщение, а всплывающее уведомление, а-ля «укажите свой возраст/подтвердите актуальность номера телефона» и проч.
И еще: вк разлогинивает перед тем, как показать это уведомление.
То есть заходишь, введя пароли-явки, хотя до этого не выходил из аккаунта, и видишь его.
Я сначала подумал что это из-за использования впн, но аккаунт в вк действительно привязан к почте, на которую идет спам, поэтому почту надо менять
Ответить