Как ИИ изменит нашу жизнь — в специальном проекте Naked Science!
Перейти
  • Добавить в закладки
  • Facebook
  • Twitter
  • Telegram
  • VK
  • Печать
  • Email
  • Скопировать ссылку
07.10.2013
Редакция Naked Science
844

Мыслить как хакер, или почему наши пароли можно так легко взломать

В нашей жизни существует множество угроз и рисков: внезапная война, нападение террористов или банальный несчастный случай – кирпич на голову. К этому списку сегодня можно прибавить еще один пункт – взлом пользовательских паролей со стороны хакеров.   Несмотря на то, что интернет-преступления отслеживаются и преследуются властями, нет никаких гарантий, что ваш аккаунт, как и ваша...

5940611603_2ded21d45b_b
©Wikipedia

В нашей жизни существует множество угроз и рисков: внезапная война, нападение террористов или банальный несчастный случай – кирпич на голову. К этому списку сегодня можно прибавить еще один пункт – взлом пользовательских паролей со стороны хакеров.

 

Несмотря на то, что интернет-преступления отслеживаются и преследуются властями, нет никаких гарантий, что ваш аккаунт, как и ваша личная информация в нем, в безопасности. Взлом пользовательских паролей наиболее частое преступление в сети, которое даже популярнее, чем DoS-атаки и создание бот-сетей. Так почему мы ежедневно подвергаемся риску быть взломанными и как с этим бороться?

 

Если вы спросите «есть ли в этом наша вина?», то ответ очевидный – да. Люди подсознательно выбирают пароли, которые тяжело угадать посторонним людям. Но вся беда в том, что обычный ПК может справиться с вашей «охранной системой» за секунду.

 

В марте нынешнего года редактор журнала Ars Technica Нэйт Андерсон примерил на себя роль хакера для любопытного эксперимента. В частности, он, с помощью доступного в интернете софта и крупнейшей базы хэшей паролей сайта RockYou, за пару часов взломал чуть меньше половины из загруженного на специализированном форуме списка с 16449 MD5-хэшей, получив порядка восьми тысяч пользовательских паролей в обычной текстовой форме. И это с учетом того, что Адерсон никогда раньше этим не занимался.

 

Данный эксперимент настолько впечатлил редакцию журнала Ars Technica, что через пару месяцев они решили его возобновить, лишь изменив некоторые условия. На этот раз противостоять тому же списку  MD5-хэшей должны были трое профессиональных взломщиков. Полученные результаты оказались шокирующими. Эксперт из Stricture Consulting Group Джереми Госни, пользуясь самым обычным компьютером, взломал 14734 паролей, что составляет 90% всего списка. Вслед за ним на пьедестале почета расположился Йенс Штойбе, ведущий разработчик бесплатного ПО, предназначенного для взлома паролей. Вооружившись чуть более мощной машиной с двумя видеокартами Radeon 6990, Штойбе всего за час получил доступ к 82% из списка (13486 хэшей). Третье место досталось хакеру с никнеймом radiх, который за те же 60 минут успешно расшифровал 62% паролей.

 

Скриншот демонстрирует некоторые взломанные во время эксперимента пароли. ©Ars Technica

 

Так из-за чего же взломщики так быстро получили доступ к пользовательским паролям?

 

Для начала хакеры взламывают легкие пароли, на которые уходит меньше всего времени, следом идут пароли более сложные, требующие как большего времени, так и специальных навыков. В первую очередь применяется подбор по принципу «грубой силы», предназначенный для взлома паролей от одного до шести символов, в число которых входят по 26 латинских букв нижнего и верхнего регистров, 10 цифр и 33 прочих символов, в сумме – 95. Итог: довольно-таки скромное количество комбинаций, которые обычный компьютер способен рассчитать за несколько минут.

 

Пароли на 2-3 символа длиннее значительно осложняют хакерам задачу. К такому «сфинксу», оберегающему ваш аккаунт, система найдет «разгадку» за несколько дней.  В данном случае рационально выбирать пароли, состоящие только из букв нижнего регистра, длиной до 8 символов, а также пароли из чисел длиной до 12 символов. Метод «грубой силы» с такими параметрами позволяет расшифровать значительный процент длинных паролей. Но применять этот метод к более длинным паролям бессмысленно, так как подбор комбинаций здесь может длиться годы.

 

Но длинный пароль еще не гарант безопасности. У хакеров на этот случай есть иной прием: специальный словарный список, подготовленный на основе реальных пользовательских паролей, «засветившихся» при различных утечках. Сайт RockYou любезно предоставляет такие данные хакерам. Эта база представляет собой особую ценность для хакеров, так как содержит реальные пользовательские пароли, а не просто комбинации.

 

Самые популярные пользовательские пароли из базы RockYou. ©pcmag.com

 

Беда современных пользователей соцсетей в том, что они полагают, что их аккаунты никому не нужны и в связи с этим относятся к безопасности лояльно. Например, они ставят легкие пароли, состоящие только из цифр, или же используют один пароль для всех своих сайтов. Такая оплошность юзеров позволяет хакерам с помощью метода словарного подбора взламывать около 60-70% паролей на любом интернет-ресурсе.

 

Еще один туз в рукаве взломщиков – гибридные атаки. Они используются для взлома всех оставшихся паролей, не подходящих под описание вышеперечисленных.  В основном это пароли, которые помимо 7-8  символов также содержат цифры в начале и в конце. Здесь хакеры прибегают к следующему гибридному методу, а именно к сочетанию «грубой силы» со словарным подбором. Другой вид гибридной атаки – это сочетание «грубой силы» со статистическим методом на основе цепей Маркова, что позволяет использовать уже полученные данные о характерных особенностях расшифрованных паролей для конкретного сайта, чтобы предсказать возможные пароли других пользователей. 

 

Подбор паролей таким смешанным методом времязатратный, но способный раскрыть до 100% информации с отдельно взятого сайта.

 

Именно поэтому для промышленного использования рекомендуются специализированные генераторы паролей, использующие алгоритмы, не позволяющие выявить стабильные шаблоны и предотвращающие возможность взлома «грубой силой» за разумный отрезок времени, в течение которого расшифровываемые пароли будут уже заменены другими.

 

Но в опрометчивости можно обвинить не только юзеров, но и создателей некоторых сайтов, которые относятся к безопасности собственных пользователей безответственно. В частности, многие общедоступные сайты используют для создания хэшей простые алгоритмы, обеспечивающие взамен низкую нагрузку на серверы. Хакеры расправляются с такими порталами в одночасье, а не у дел остаются не только создатели ресурсов, но и тысячи пользователей по всему миру.

 

Бороться с хакерами трудно, но возможно. Просто относитесь к своей безопасности посерьезнее. Чаще меняйте комбинации, защищающие ваши аккаунты, и ни в коем случае не используйте один пароль для всех ваших страниц. Используйте пароли не менее 11-12 символов, включающих в себя буквенные символы в разных регистрах, цифры и прочие символы. Конечно, для человека эта задача трудновыполнимая, но в таком случае можно прибегнуть к услугам автоматического генератора паролей. Будьте бдительны.

 

Аркадий Елисеев

 

 

Далее: Художественная литература развивает чувство сопереживания 

 

Нашли опечатку? Выделите фрагмент и нажмите Ctrl + Enter.
Подписывайтесь на нас в Telegram, Яндекс.Новостях и VK
Вчера, 13:13
Алиса Гаджиева

Палеонтологи обнаружили останки никогда ранее не встречавшегося дасплетозавра, который, возможно, был прямым предком Tyrannosaurus rex. Эта находка может разрешить серьезные споры об эволюционной родословной самого знаменитого динозавра.

Вчера, 13:02
Александра Медведева

Новое исследование указало на мобильные элементы, которые могут перемещаться и размножаться в пределах генома, как на наиболее вероятный источник подавляющего большинства интронов, некодирующих участков ДНК эукариот. Открытие позволяет объяснить огромные различия в количестве интронов в геномах разных видов.

Вчера, 11:18
Анна Новиковская

Около пятой части атмосферы нашей планеты составляет кислород — важный газ, необходимый для существования сложных форм жизни. Ученые полагали, что основным и практически единственным его источником были живые организмы — фотосинтезирующие растения и бактерии. Но теперь, возможно, им придется пересмотреть свои взгляды.

25 ноября
Александр Березин

Также это повышает шансы на вовлечение волка в другие виды рискованной деятельности. Работа может иметь прикладное значение и для человеческих обществ, поскольку сходное влияние известно и для людей.

26 ноября
Александра Медведева

Окаменелость крошечного морского червя, жившего 525 миллионов лет назад, разрешила вековой спор об эволюции мозга членистоногих. Исследование показало, что мозг первых членистоногих не был сегментирован, а нервная система головы и туловища эволюционировала независимо.

26 ноября
Мария Азарова

Международный коллектив ученых спрогнозировал наши ежедневные потребности в воде в зависимости от антропометрических, экономических и экологических факторов.

19 ноября
Анна Новиковская

В последний раз черношейного фазанового голубя видели еще в 1882 году, и с тех пор ученые не знали, живет ли еще в лесах острова Фергуссон эта красивая птица. Теперь, наконец, им повезло: одна из камер запечатлела представителя редчайшего подвида фазановых голубей.

24 ноября
Редакция

Режиссер Илай Сасик (Eli Sasich), вдохновившись классическими научно-фантастическими фильмами «Чужой» и «Бегущий по лезвию», несколько лет назад снял короткометражный фильм «Атропа», который стоит посмотреть, если вы интересуетесь наукой и космическими технологиями.

24 ноября
Анна Новиковская

В то время как основные мировые языки со временем упрощают письменность, существует одно яркое исключение: китайский язык. За свою историю, насчитывающую три тысячелетия, его система письма становилась только сложнее и до сих пор остается крайне сложной для изучения.

[miniorange_social_login]

Комментарии

Написать комментарий

Подтвердить?
Подтвердить?
Не получилось опубликовать!

Вы попытались написать запрещенную фразу или вас забанили за частые нарушения.

Понятно
Жалоба отправлена

Мы обязательно проверим комментарий и
при необходимости примем меры.

Спасибо
Аккаунт заблокирован!

Из-за нарушений правил сайта на ваш аккаунт были наложены ограничения. Если это ошибка, напишите нам.

Понятно
Что-то пошло не так!

Наши фильтры обнаружили в ваших действиях признаки накрутки. Отдохните немного и вернитесь к нам позже.

Понятно
Лучшие материалы
Войти
Регистрируясь, вы соглашаетесь с правилами использования сайта и даете согласие на обработку персональных данных.
Ваша заявка получена

Мы скоро изучим заявку и свяжемся с Вами по указанной почте в случае положительного исхода. Спасибо за интерес к проекту.

Понятно
Ваше сообщение получено

Мы скоро прочитаем его и свяжемся с Вами по указанной почте. Спасибо за интерес к проекту.

Понятно

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: