АКАДЕМИЯ

15.05.2014 Автор: Михаил Полюхович Версия для печати

Как защититься от взломщиков

Из-за того, что мы все больше впадаем в так называемую «зависимость» от мобильных (электронных, портативных) устройств, каждый из нас в той или иной степени становится параноиком, постоянно ощущая некое давление со стороны. В связи с активным проникновением Интернета в нашу жизнь безопасность персональных данных стоит чуть ли не на первом месте, поэтому мы не перестаем разрабатывать и совершенствовать различные методы защиты, чтобы скрыть свои «секретные» данные от третьих лиц. В данном материале мы еще раз напомним вам о методах защиты личной информации от проникновения извне, а также дадим несколько полезных советов относительно составления и хранения паролей.



Защита персональных данных

Во многих странах существуют специальные нормативные акты, регламентирующие наше право на сокрытие личных сведений о себе по причине персональной безопасности. Ведь злоумышленники, воспользовавшись такими сведениями, могут использовать их во вред нам, нашим близким или обществу в целом. Вот почему любая наша коммуникационная активность требует создания определенных щитов и заслонов от несанкционированного проникновения.

На первый взгляд, это выглядит как-то по-шпионски, но персональный пароль позволяет в большинстве случаев не переживать, что вашей конфиденциальной информацией воспользуются в дурных целях.

Любой активный пользователь Интернета знаком с системами регистрации на сервере. И все они обязательно потребуют создания логина (персонального идентификатора для входа в систему) и пароля (некой секретной комбинации символов, являющейся, по сути «ключиком от замка в двери»). Логин и пароль должны быть секретными. Их нельзя сообщать или передавать кому-либо, даже если вы полностью доверяете этому человеку. Случается, что пользовательские персональные электронные устройства могут быть заражены компьютерными вирусами или атакованы мошенниками гражданской наружности, регулярно выдумывающими все новые и новые схемы для взлома. Даже хорошо знакомый человек, будучи невольным посредником хакера, вдруг может полностью ограничить вашу возможность доступа к сайту. Примеров масса. Всегда следует помнить, как «дважды два – четыре»: никогда нельзя кому-либо передавать свои личные данные!


Давайте же рассмотрим подробнее, что же такое логин и пароль, какие комбинации символов лучше всего использовать, чтобы создать непревзойденный уровень защиты от несанкционированного проникновения?


Логин и пароль – уникальное защитное средство


Как уже упоминалось выше, логин – это некий идентификатор (имя) личности, которая намеревается зайти на сайте в свой личный кабинет (аккаунт). Чаще всего логин совпадает с дальнейшей учетной записью (персональным именем), которая отображается в анкете и видна каждому, «заходившему на вас», пользователю. Стоит уточнить, что некоторые серверы разделяют понятия «логин» и «персональное имя» (никнейм), определяя, что первый необходим лишь при входе в систему, когда как второе становится идентификатором. Для логина можно использовать совершенно любую комбинацию: от собственного имени до случайного набора знаков. Большинство серверов в основном требуют набор латиницей, и комбинации не исключают использования регистра, знаков пунктуации или других символов (имеющихся на клавиатуре или создающихся с помощью определенного сочетания клавиш).

Пароль же является уникальным кодом доступа к данным, создающийся специально как особая ключевая комбинация, имеющая уровень секретности и контроллер безопасности. Он должен быть сложным, чтобы злоумышленники не могли его подобрать. Это своего рода заслон для ограниченного доступа к вашему аккаунту. Взломоустойчивость пароля играет значительную роль. Чем длиннее комбинация, тем сложнее ее вычислить. 

Но многим из нас, порой, не хватает фантазии, чтобы создать действительно оригинальный ключ. Поэтому мы используем набор символов, которые легко запомнить. Например, часто используемые вариации паролей: дата рождения, собственное имя, номер телефона, домашний адрес, кличка питомца и так далее. Эксперты по электронной безопасности советуют, во избежание нежелательного взлома и проникновения в личные данные, следует для пароля выбирать комбинации из сочетания букв и цифр. К тому же, количество символов должно быть не менее восьми. Для взломов паролей, злоумышленники используют специальные электронные сервисы, которые запрограммированны путем исключения подбирать возможные комбинации. Короткий пароль (3-5 символов) подобрать гораздо проще, чем сложный восьмизначный случайный набор.

 

Некоторое время назад калифорнийская компания SplashData, ведущий поставщик приложений и служб безопасности, уже более 10 лет обслуживающий свыше 1 миллиона пользователей по всему миру, опубликовала список самых неудачных паролей в мире. После глубокого анализа учетных записей пользователей на разных сайтах, был сформирован список неоригинальных комбинаций для пароля. Возглавляют перечень «password» и «123456». Цифровые комбинации «глупостей»: 123456789 (как в одну сторону, так и в другую, как полный набор, так и сокращенный), 1111 (любого количества), 123123 и тому подобное. Что касается комбинаций из букв, то здесь встречаются виды спорта (football, baseball), имена (Ashley, Michael), животные и фантастические персонажи (monkey, dragon, superman). Также часто используются пароли типа: qwerty, shadow, iloveyou, master, sunshine и др. Запомните, самыми безопасными паролями будут те комбинации, которые содержат цифры, буквы с регистром и без, а также состоят из не менее, чем 8 символов.

Что касается портативных устройств, то в отличие от Сети, пароли и коды доступа могут быть слегка ограничены в возможности комбинаций. Но производители IT-устройств постоянно расширяют спектр услуг по безопасности данных. Одно из последних предложений для пользователей – технология идентификации личности (при разблокировании мобильного устройства, вводе пин-кода и т.д.) по дактилоскопическому сканированию пальцев пользователя, широко используемая в бизнес-ноутбуках и смарфоне iPhone 5S. При этом, благодаря уникальности рисунка на кончике пальца, ваш личный пароль невозможно будет никак взломать. Система позволяет сканировать и распознавать рисунки сразу нескольких фаланг, что повышает уровень безопасности от взлома.


Как обезопасить пароли?

Еще одна проблема, с которой сто процентов столкнулся каждый активный интернетчик: как запомнить сложный пароль, а тем более, если их несколько. Одно из решений – записать на бумаге, в мобильнике или еще где-нибудь. Но это не всегда бывает удобно, да и безопасности может угрожать. Вдруг вы потеряете телефон, случайно сотрете данные или выбросите листок с паролем. Что тогда? Снова заводить аккаунт, а с прежними данными можно попрощаться? 

Сегодня существует несколько полезных электронных приложений, в которых можно хранить все свои пароли или создавать единый код доступа ко всем своим аккаунтам. При этом, технологическое развитие таких приложений просто поражает. 

Использование одного и того же пароля для всех серверов – противоречит правилам безопасности, а запоминать каждый в отдельности бывает проблематично. Тогда пользователь ищет соответствующее решение, призванное обеспечить безопасное хранение и облегчить использование кодов доступа. Это могут быть: встроенные в браузер средства, специальные менеджеры паролей, сервисы онлайн. Один из возможных вариантов – букмарклет Supergenpass. Создание паролей осуществляется на основе мастер-пароля и адреса сайта, для которого он создается. Запомнить придется всего один главный пароль, а все другие пароли не сохраняются дополнительно, а генерируются по запросу на основе web-адреса.

И все же, есть еще несколько вариантов: как взлом пароля с помощью специальных приложений, так и использование одноразовых ключей. И если первое уже порядком укоренилось, то последнее еще сравнительно ново. 

Например, социальный сервер Facebook предложил следующий сервис, связанный с безопасностью. Разработчики предлагают пользователям использовать одноразовые пароли. Заметим, что это может стать преимуществом, если вам приходится заходить на свой аккаунт с разных машин (на работе, в Интернет-кафе или у знакомых). Одноразовый пароль присылается через СМС на мобильный телефон, для этого нужно для начала отослать сообщение с запросом на соответствующий короткий мобильный номер. Действует этот пароль всего 20 минут, затем процедуру следует повторить заново. Обязательное условие – наличие в учетных записях действующего номера сотового, данные о котором время от времени следует подтверждать. Сейчас данная услуга действует лишь на территории Соединенных Штатов Америки, разработчики планируют в ближайшее время расширить функцию для жителей Канады, Южной Америки и отдельных стран Европы.
Но временный пароль, это не единственный вариант защиты от проникновения. Так тот же Facebook предлагает возможность мониторить собственную активность в сети. Специальное приложение показывает, сколько было осуществлено одномоментных входов в систему под одним аккаунтом (что позволяет распознать факт взлома). Заметим, что подобная технология уже внедрена в электронный сервис Gmail, что встретило немало положительных откликов.

Время от времени у некоторых из нас возникают мысли о несанкционированном проникновении в систему, будь то аккаунт или мобильник подружки/друга или ресурс какой-нибудь правительственной организации. Ряд взломщиков находят в этом собственную специализацию. Недавно в Сети был описан случай, когда обычный человек смог за несколько часов взломать около 8000 пользовательских паролей, при том список данных был составлен в обычном текстовом редакторе. В 2013 году американский интернет-журнал Ars Technica провел следующий эксперимент: редактор Нэйт Андерсон (никогда прежде не взламывающий пароли) использовал доступный в Интернете софт, являющийся крупнейшей базой хэш-паролей сайта RockYou. Всего за несколько часов Андерсену удалось взломать чуть меньше половины списка с 16449 MD5-хэшами, загруженного на специализированном форуме. Журналисты на этом не остановились и решили повторить эксперимент, но уже с помощью специалистов по электронному взлому. Над «решением задачи» работали три автономных эксперта. Одному из них, эксперту Stricture Consulting Group Джереми Госни, удалось без малого за сутки взломать 90% паролей из списка. Он использовал простой серийный компьютер с процессором AMD.

Как же хакерам удаются такие проникновения? Сначала в расход идут «простые» комбинации, что занимает сравнительно короткое время. Затем взломщик переходит к более сложным паролям, требующим специальных навыков и больше времени. Это, как в компьютерной игре, переходя от уровня к уровню, квесты усложняются. 


Как действуют взломщики паролей?


Атака с использованием словарей. Здесь используется обычный файл со словами, которые содержаться в любом словаре. Основной принцип – перебрать все возможные вариации, т.к. пользователи в качестве пароля действительно используют обычные слова. В случае же со словосочетанием, которое, как мы понимаем, будет написано слитно, все равно возможность взлома вероятна (только на это уйдет чуть больше времени). 

Метод полного перебора. Здесь хакерская атака похожа на способ со словарем, но в просчете комбинаций также будут участвовать варианты, не содержащиеся в словаре. Чтобы правильно вычислить пароль, хакер может потратить уйму времени. Для упрощения задачи иногда используются дополнительные вычислительные мощности техники. 

Использование радужной таблицы для хакерской атаки. Радужная таблица – это как раз тот список предварительно вычисленных числовых значений зашифрованных паролей (хэшей), которые применяются в ряде современных электронных систем. В таблице будут содержаться все возможные комбинации, поддающиеся под любой алгоритм хэширования. Время, которое потратит хакер, будет зависеть от скорости поиска нужной комбинации в списке. Дополнительно понадобятся серьезные вычислительные мощности. Заметим, что радужная таблица может стать бездейственной, если до начала старта алгоритма к паролю были приписаны случайные символы.

Как взломоустойчивость пароля зависит от его длины

Еще есть фишинг – просто спрашиваете у пользователя его логин и пароль (этот способ чаще всего используют мошенники по взлому банковских карт, электронных счетов и платежных систем онлайн). Похожий способ взлома – социальная инженерия. Здесь хакер под видом сотрудника IТ-безопасности может просто попросить у пользователя указать логин и пароль. Иногда злоумышленники даже прибегают к наружному перевоплощению, чтобы добыть сведения. 

Конечно же, куда хакерам без вредоносного ПО? Специальное программное обеспечение может перехватывать вводимую информацию прямо с клавиатуры или делать незаметный скриншот и отправлять копию хакеру. Вредоносное ПО также может «выуживать» искомую информацию из истории браузера.

Для проникновения со взломом в корпоративные базы данных, часто используется, так называемый метод «пауков». Хакер первоначально изучает специализированную литературу, а затем составляет некий индивидуальный для конкретного случая словарь. Чаще всего в компаниях используются пароли с характерными отраслевыми особенностями, и часто не отличается особо высоким уровнем безопасности. Есть еще несколько методов хакерских атак, например, догадки, хакинг оффлайн или подглядывание, но мы на них не будем останавливаться. 

Профессиональные взломщики электронных систем безопасности не останавливаются ни перед чем, дабы использовать наиболее эффективные методы проникновения. Поэтому следует помнить, что логин и пароль – персональные данные повышенной секретности. Самому же паролю требуется дополнительная безопасность, которой можно достигнуть, в зависимости от сложности комбинации. 

Возврат к списку


Текст сообщения*
Защита от автоматических сообщений

Читайте также