Главная / Безопасность, Киберпреступления, Полезное / Почему пароли легко взломать

Почему пароли легко взломать

Computer security concept

Сегодня к списку известных угроз и рисков можно прибавить дополнительный пункт – взлом хакерами пользовательских паролей. Проблема состоит в том, что у людей складывается иллюзорное представление, что выбранный пароль будет трудно угадать посторонним людям, забывая о том, что хакеры не в «ручном режиме» взламывают код – для этого существует ряд умных программ, автоматически подбирающих ключ.

И никакие государственные механизмы не в силах гарантировать, что аккаунт и ваша приватная информация будет в безопасности. Как ни парадоксально, взлом пользовательских паролей – самый распространенный вид виртуального преступления. И это дело довольно простое, стоит только захотеть. Что и доказал Нэйт Андерсон, редактор журнала Ars Technica, проведя эксперимент, временно вжившись в роль хакера. С помощью доступного софта и базы хэшей паролей ресурса RockYou, Нэйт взломал почти половину из загруженного на форуме списка из 16449 MD5-хэшей, в результате за пару часов работы он получил восемь тысяч паролей пользователей в текстовой форме. Впечатляет! Журналисты Ars Technica продолжили эксперимент, пригласив уже профессиональных хакеров. Джереми Госни, эксперт компании Stricture Consulting Group с помощью ПК вскрыл 90% (14734) списка паролей MD5-хэшей, став победителем такого мини-конкурса.

Причины «легкодоступности» паролей и рекомендации как избежать утечки приватной информации, взаимосвязаны:

  • как правило, степень сложности пароля для взлома определяется количеством символов и комбинаций цифр и букв. Без труда хакеры взламывают простые легкие (1-6 символов верхнего и нижнего регистров) пароли путем подбора по принципу «грубой силы», поскольку количество комбинаций небольшое и ПК рассчитывает код за пару минут. Добавление еще трех символов затягивает процесс расшифровки – эксперты советуют выбирать пароли из букв нижнего регистра до 8 символов и пароли из чисел до 12 символов. Да и метод «грубой силы» справляется хуже с такими конфигурациями, а с более длинными паролями он и вовсе бессилен;
  • длинный пароль – не гарантия безопасности. Хакеры имеют в арсенале прием, использующий специальный словарный список, содержащий реальные пароли, «засветившихся» при утечках. RockYou-база содержит настоящие пароли, а не комбинации;
  • беспечность пользователей, наивно полагающих, что их скромная персона никого не интересует, простые и одинаковые пароли ставят на всех сайтах, а хакеры с помощью словарного подбора взламывают около 70% паролей на любом ресурсе;
  • гибридные атаки используются для взлома других паролей, не подходящих под обычный алгоритм взлома – пароли из 7-8 с цифрами в конце и в начале. Хакеры используют сочетание «грубой силы» и словарного подбора, и другой вид – «грубая сила» и статистический метод на основе цепей Маркова;

В опрометчивости можно обвинить и создателей сайтов, безответственно относящихся к безопасности пользователей, используя для хэшей простые алгоритмы, чтобы не перегружать серверы.

Общие рекомендации:

  • меняйте комбинации часто;
  • не используйте одинаковый пароль для всех аккаунтов;
  • пароли должны быть 12-символьные, как минимум, включающие буквы, цифры и другие символы.

Поделитесь новостью: