Бастион

"Бастион" - это курсы спецподготовки журналистов, работающих в экстремальных условиях и горячих точках.

Как снизить вероятность взлома аккаунта в интернете

Как снизить вероятность взлома аккаунта в интернете

03.08.2016

Эти рекомендации защитят от популярных методов массового угона паролей, с которыми может столкнуться каждый из вас и избавят от неудобных вопросов: «Друг, а почему ты решил заняться партнеркой Forex и так часто пишешь мне про это?».

Если кому-то сильно понадобится конкретно ваш пароль, то эти советы могут оказаться бессильными.

Как воруют пароли?

Есть три основных группы способов получения доступа к чужим аккаунтам:

- Перехват - липовые страницы авторизации (фишинг), вирусные программы (отслеживание нажатий клавиш, снимки экрана, воровство данных), перехват трафика (например, передаваемого по незащищенным сетям Wi-Fi в кафе).

- Взлом сайтов - получение доступа к базам данных, в которых хранятся пароли (вместе с логинами) и их расшифровка.

- Подбор - тупо перебираются варианты возможных паролей при авторизации (брутфорс). В 2016 году у большинства сайтов и программ есть защита от автоматического повторного ввода, способ почти ушел в прошлое, но иногда случаются удивительные открытия. Например, пару месяцев назад исследователь из Бельгии обнаружил, что можно подбирать пароли на главной странице Instagram (в настоящий момент уязвимость закрыта).

Есть и другие способы: письма/звонки от «администрации сайта» с просьбой сменить пароль, наблюдение со скрытых камер в офисе, пытки… Но сегодня остановимся на защите от трех самых распространенных.

Хороший пароль это тот, который долго расшифровывать/подбирать и невозможно угадать. Но главное - защитить от перехвата при вводе.

1. Не ходите по левым ссылкам

Зарегистрировать сайт odnaklssniki.ru (схожий по написанию) и повесить на него страницу ввода логина/пароля - очень просто. Еще проще купить бота для отправки этой ссылки в личку/по почте всем подряд, сократив ее на bit.ly и приписав: «Ой, смотри как Вася мог такое в комментарии к твоей фотке написать». Этим промышляют очень много людей. Эпидемия фишинга началась более 15 лет назад, но люди еще ведутся и авторизируются на липовых страницах.

Еще бывают случаи, когда человек хочет подсоединиться к Wi-Fi в кафе, а его просят подтвердить свою личность, зайдя под свои логином и паролем в соцсеть. Те же яйца, только в профиль.

Более современный вариант - заражение компьютера вирусом, который будет перенаправлять человека на поддельный сайт в тот момент, когда он введет адрес настоящего сайта, а после кражи логина/пароля авторизировать человека там, где он хотел.

Лучший способ защиты - внимательность (тупо смотреть, где вводишь пароль) и не забывать проверять незнакомые сайты на virustotal.com. Даже если ссылка пришла от близкого человека (его могли взломать). Еще можно поставить антифишинговый плагин в браузер, антивирус для почты и настроить подтверждение ввода пароля по смс (пункт 4).

2. Вовремя обновляйте антивирус

top_antivirus

В первую очередь этот пункт касается тех, у кого Android и Windows. Поставьте себе хороший антивирус и не забывайте вовремя его обновлять. Это нужно для защиты от вредоносных программ, которые фиксируют ввод с клавиатуры, похищают данные с компьютера, перенаправляют на фишинговые сайты.

По результатам исследования портала TopTenReviews лучшие антивирусы в 2016 году это:

- Bitdefender Antivirus Plus

- Kaspersky Anti-Virus

- McAfee AntiVirus Plus

- Norton Security

- F-Secure Anti-Virus

3. Шифруйте трафик

Следующая опасность, от которой внимательность и антивирус уже не помогут - перехват трафика. Если вы сидите в интернете с офисного и публичного Wi-Fi, то старайтесь использовать VPN.

Подробности о том, какую пользу вы можете извлечь из этой технологии, какого провайдера выбрать и что поставить на iPhone есть в статье VPN: зачем и как скрывать свой IP и шифровать трафик.

4. Подключите смс-подтверждение

Плюс к безопасности дает схема, когда для входа надо помимо пароля ввести код из смс. Посмотрите настройки сервисов, которыми часто пользуетесь на предмет фразы: «двухфакторная идентификация». Примеры сайтов, которые ее поддерживают:

- Gmail

- Mail.ru

- VK

- «Яндекс»

- Twitter

Для Apple ID тоже можно подключить. В таком случае помимо пароля будут просить ввести проверочный код, который отображается на устройстве.

Когда это не сработает? Если у вас «открытая мобильная операционная система», то есть небольшая вероятность, что смс с кодом подтверждения может перехватить вирус. Она существенно понизится, если не забывать о пунктах 1 и 2 из этой статьи и на телефоне тоже. Подробности в статье Почему нельзя доверять деньги Android.

Владельцы блогов на WordPress могут подключить на нем двухфакторную авторизацию с помощью плагинов, чтобы сделать приятное пользователям и поставить дополнительный барьер для доступа в админку. Например Duo Two Factor Identification

5. Каждому сайту - свой пароль/логин/email

По разным данным одинаковые пароли для большинства аккаунтов используют от 15% до 25% пользователей.

Получить доступ ко всем аккаунтам такого человека можно, взломав базу какого-нибудь самописного блога васясрязани.ру, на котором человек засветил свой основной почтовый адрес и пароль от него ради скачивания книги «Советы от рыболова Васи».

Помимо уникального пароля, для регистраций на один раз лучше использовать временный адрес электронной почты, который можно создать на 10minutemail.com

Большинство людей не уделяют достаточно внимания безопасности своих сайтов и они имеют какие-либо уязвимости, позволяющие хакеру (а чаще просто настойчивому человеку) получить доступ к файлам сайта и базе данных => логинам, паролям и почтовым адресам пользователях.

Вот пример таблицы MySQL c сайта на WordPress, в которой хранятся вышеназванные данные. Третий столбец это хеши паролей, полученные в результате их обработки популярным (особенно у PHP-разработчиков) алгоритмом хэширования (одностороннего шифрования) md5:

wp_mysql_database

При авторизации пароль, введенный пользователь снова шифруется и сравнивается со значениями в базе. Когда хакеру нужно выяснить исходный текст пароля, он перебирает хеши разных паролей и сравнивает их с исходным значениям. Но сначала проверяет, не расшифровали ли уже этот пароль добрые люди.

Например, возьмем хеш 3e7fa8c51e2e498697a55104055aa1fd и забьем его в онлайн-расшифровщик MD5 (база уже расшифрованных хешей), вводим капчу и получаем результат:

md5_decryptor_online

Если у кого-то стоит простой пароль на всех ресурсах и он засветил его на сайте, который был взломан, вместе с основным адресом электронной почты, то все его аккаунты окажутся в руках хакеров после первого сравнения хеша с базой расшифрованного (в ней уже 125 миллионов строк). А проверить, где зарегистрирован человек можно на knowem.com.

Иногда к стандартной функции md5() добавляется криптографическая соль. Например, перед обработкой меняются местами буквы в пароле или добавляются какие-либо символы. Это несколько затрудняет расшифровку, но если получен доступ к базе, то скрипты, в которых прописан порядок обработки паролей тоже в руках мошенника и он может использовать их при переборе вариантов.

Вирусы и снифферы (анализаторы перехваченных пакетов трафика) тоже, чаще всего, собирают пароли в зашифрованном виде. Так как современные браузеры их в открытом виде не хранят и не передают.

Есть множество других алгоритмы шифрования и хэширования кроме md5, но это тема отдельной большой статьи. Но почти для любого алгоритма правила составления надежного пароля одинаковы. О них и поговорим.

Как создать такой пароль, который если и попадет в зашифрованном виде все же попадет к злоумышленникам, то они бы не смогли восстановить его методом подбора?

6. Чем длиннее, тем лучше

password_1

password_2

password_3

Зайдем на howsecureismypassword.net и посмотрим, сколько времени потребуется для подбора паролей разной длины:

iphones - 0,2 секунды;

iloveiphones - 4 недели;

- iloveiphonesverymuch - 16 млрд лет.

Какая же оптимальная длина пароля? Джеф Атвуд, один из основателей Stack Overflow и владелец наикрутейшего блога CodingHorror утверждает, что 12 символов - минимум.

7. Разнообразие это +

password_4

password_5

password_6

password_9

Сложности для расшифровки и перебора добавляют Цифры, прописные и заглавные буквы, знаки пунктуации:

- iph0nes - 2 секунды;

- !ph0nes - 22 секунды;

- !Ph0nes - 7 минут;

- ilove!Ph0nes - 3400 лет.

8. Меньше смысла

Пароли из предыдущих пунктов - хреновые пароли. Ведь интернетом пользуется 3 с лишним миллиарда человек. И, наверняка, есть еще тысячи людей на этой земле, которые ставят себе пароли «айфоны», «Я люблю айфоны», «Я люблю айфоны очень сильно» заменяя «o» ноликом для большой «безопасности». По этой же причине некуда не годятся:«!H@cker1»,«!admin123»,«motherrussia», «the_cool» и «thering7337».

Большинство подобных шаблонных фраз давно есть в хакерских словарях. Вот пример небольшого списка паролей для перебора. Можете скачать и поискать там ваш.

К тому же, при переборе хакеры используют не только словарные слова, но и закономерности, которыми бессознательно руководствуются люди при составлении паролей.

most_used_end_of_password

keyboard_patterns

most_used_words

names

top_pass_1

top_pass_2

top_pass_3

most_used_password

Люди мыслят и действуют очень похоже. И придумывают пароли тоже. На картинках — результаты анализа информации об аккаунтах 10 миллионов пользователей. Прокомментируем каждую из них:

1. Четверть паролей в мире заканчиваются на единицу!

2. Часто при создании пароля люди просто тыкают в стоящие рядом клавиши.

3. Слова «Я люблю его» в пароле встречаются чаще чем «Я люблю ее», но отстают по распространенности от слов «Я люблю себя» и «Я люблю секс».

4. Еще люди любят пятницу, бэтмена и чтобы логин совпадал с паролем.

5, 6, 7. Надежность пароля человека совершенно не зависит от его личных качеств. Вот примеры очень слабых комбинаций символов, которые используют руководящие работники известных компаний (на сайтах, которые принимали участие в исследовании).

8. Люди часто использует для своих паролей подряд идущие цифры и чьи-то имена, а также слова связанные с компьютерными играми и спортом.

Есть такая утилита для расшифровки паролей методом перебора, называется hashcat. Под нее можно создавать скрипты, которые учитывают подобные закономерности. Вот фрагмент таблицы с командами для их описания:

hashcat_table

К примеру, можно написать код, который будет брать логин человека, по разному переставлять в нем регистр символов, добавлять разные цифры перед ним и после него, удалять символы с разных позиций и проверять, совпадает ли зашифрованная строка с исходной или нет. Займет это дело меньше секунды. И для определенного процента пользователей это сработает! И не надо никаких миллиардов лет. Пароль в виде немного измененного логина - плохая идея.

Словарь, ссылка на который была чуть выше, перебирается схожим образом. Сначала берется текущее слово как есть, потом с измененным регистром и т.д. Чаще используется не просто список паролей, а ассоциативные цепочки заранее вычисленных хешей, так называемые «радужные таблицы». Есть хорошая статья на Хабре о том, как они составляются. Эта технология ускоряет время угадывания зашифрованной строки в тысячи раз. Так что сроки, вычисленные сервисом из пунктов 6 и 7 - условны.

Подбор и расшифровка паролей - это не то, о чем легко рассказать в двух словах (последнего мы не коснулись в статье вообще). Но независимо от платформы и способа перебора характеристики надежного пароля едины - длина, разнообразие и бессмысленность.

9. Да здравствуют коты и генераторы паролей!

password_generation

very_strong_password

Чтобы сгенерировать надежный пароль, можно попросить кошку походить по клавиатуре или зайти на passwordsgenerator.net. Для подбора примера на картинке понадобится 4 секстильона лет. И ассоциативный перебор не поможет.

Можно установить браузерный плагин для создания паролей или воспользоваться менеджером паролей (о них ниже).

10. Не забываем о контрольных вопросах

Некоторые люди создали себе основную почту в лохматом году, сразу как вошли в сеть и по неопытности вводили ответ, о котором можно догадаться из их биографии. И с тех пор ничего не меняли. Рекомендую зайти сейчас в настройки своего почтового ящика и проверить этот момент.

Пример годного ответа на контрольный вопрос - s<)3:KH:*.9k6+a8W}R(. Можно сделать так, чтобы сброс пароля происходил с помощью мобильного телефона. Но если у вас почта на Яндексе или Mail.ru, то любой, кто знает ваш адрес электронной почты, сможет узнать в каком регионе вы покупали симку (первые 7 из 10 цифр телефона отображаются при сбросе пароля).

Где хранить пароли?

В голове. Или на бумажке, спрятанной в укромном месте. Но надо что-то придумать, чтобы в случае нахождения, ее кроме вас никто не мог использовать. В народе ходят разные «креативные» способы. Например:

- Записать в адресной книге телефона виртуалов «Гуля», «Яша», «Мила», «Фоня» и поля для номеров заполнить паролями.

- Составить список покупок в TO-DO листе и в комментарии к продуктам записать пароли. Допустим «Твикс» = «Twitter», «Патиссоны» = «iPhones». У кого какие ассоциации.

Но менеджеры паролей удобнее. Автоматическая генерация сложных комбинаций, автозаполнение, возможность передать данные на другое устройство. Главный минус — если кто-то узнает пароль от менеджера паролей, то он сразу будет знать все. Но для некоторых программ такая проблема уже в прошлом. Например, True Key поддерживает идентификацию по отпечатку пальца или другому устройству. А в Dashlane можно настроить подтверждение по смс.

Но если кому-то очень сильно понадобится расшифровать базу менеджера и узнать ваши пароли, то он это сделает. История знает много примеров таких ситуаций. Но если вас не разыскивает интерпол и характер у вас спокойный, то беспокоится не о чем.

Еще в менеджерах паролей иногда обнаруживаются уязвимости. Помните историю с LastPass? Попасть в число первых жертв шанс совсем невелик и как только подобная проблема обнаруживается, то разработчики сразу присылают пользователям рекомендации о том, как обезопасить себя. Читайте письма от них и следуйте советам.

Итог

1. При вводе пароля внимательно смотрим, на каком именно сайте мы находимся.

2. Защищаемся от вирусов.

3. Используем VPN.

4. Для каждого сайта придумываем отдельный пароль. А для разовых регистраций используем временные адреса электронной почты.

5. Если есть возможность, подключаем подтверждение по смс.

6. Длина пароля должна быть не менее 12 символов.

7. В пароле должны быть цифры, знаки пунктуации, прописные и заглавные буквы.

8. Пароль должен быть максимально бессмысленным.

9. Для создания паролей удобно использовать онлайн-генераторы и менеджеры.

10. Ответы на контрольные вопросы должны быть непредсказуемыми.

Что будет, если их не соблюдать?

Среди читателей обязательно окажется человек с паролем dodik1, который ставит его везде уже 15 лет подряд и думает: «Да ну тебя нафиг женщина, со своими сказками про хакеров. Я на все это забил и ни разу еще не случилось ничего».

Да, есть шанс всю жизнь прожить с паролем «qwerty» и ни разу не вляпаться в историю. Особенно, если мало сидеть в инете и пользоваться только техникой Apple.

check_your_password

ic_crack

На leakedsource.com можно проверить, есть ли ваш email и пароль от него (в зашифрованном виде) в базах взломанных аккаунтов. Старая почта для спама с 4-значным паролем засветилась аж в трех местах, как и 38 аккаунтов моих тесок. Искать человека можно по имени, фамилии, логину, номеру телефона и IP-адресу.

Если вы нашли свой адрес и пароль от него легко расшифровать, то:

- Ваш профиль в соцсети может начать неожиданно рассылать спам.

- Если кто-то захочет почитать вашу переписку, то он сможет купить доступ к информации о вас.

Обнаружили себя - смените пароль.

iphones.ru