Добрый день, уважаемые читатели wmbn.ru! В сегодняшнем посте хотелось бы затронуть тему безопасности личной информации. У всех нас есть секреты: кто-то хранит их в голове, а кто-то заводит дневники и записывает в них свои мысли, которые потом прячет от других глаз — в общем не важно, так как все мы храним свои тайны, которые должны знать только мы сами и никто другой. Естественно секреты защищаются либо физически (как в случае с дневником), так и на уровне мышления (психика человека). Но в современном мире все больше информации храним мы на своем компьютере, телефоне, смартфоне и так далее. И чтобы защитить важную информацию в них мы используем пароли (во всяком случае на учетную запись).

Пароли

Как давно принято, на пароли ставят чаще всего дату своего рождения — это очень распространенное явление. Причина данного метода в том, что дату рождения как пароль запомнить проще всего…да и взломать тоже. Выбор пароля вообще зависит от фантазии человека и его лени — хочет он запоминать свой пароль, который имеет два регистра, пять цифр и восемь букв с различными символами, или же ему проще вбить 12345 и зайти в свой учетную запись.

Пароль (Password) — что такое, его использование

Пароль — слово, какой-либо набор символов, цифр, букв, знаков, предназначенное для скрытия и защиты данных (файлов) пользователей от других людей. Так же пароли используются для входа в учетную запись, причем это в большинстве случаев, так как для защиты своих файлов данным подходом чаще всего пренебрегают, а почем зря.

Пароли впервые стали использовать еще с момента создания первых компьютеров, которые имели довольно большие габариты. Суть их использования так же была как вход в систему и последующая работа, но само создание пароля для компьютеров тех времен не должно удивлять. По сути какой администратор, да и простой человек захочет, чтобы его данными управляли и те полномочия, которые ему выдали, могли с легкостью перейти к другому без каких-либо заверений. Вот для того, чтобы как минимум сберечь права придумали использование пароля и логина для входа в учетную запись.

Форма входа в WordPress

Такая тенденция сохранилась до сих пор, для входа в какую-либо защищенную систему всегда требуется пароль. Далее, вспомните те же фильмы Голливуда, где все так охотятся за чемоданчиками с кодами запуска Русских ракет (Миссия Невыполнима:Операция Фантом) — вот еще одна важная функция паролей — хранение государственной тайны.

Еще тогда, когда я начинал программировать на PHP и MySQL, то уже сталкивался с паролями, а точнее с их использованием для подключения к базе данных. Однако для такого подключения приходилось использовать такие циклы, которые сейчас вспоминать страшновато — уж очень много кода для обеспечения безопасности было использовано, но для прямого подключения все же нашелся способ.

Кроме простого программирования, на сайтах любая база данных закрыта паролем — представьте себе она никак не защищена (как будто просто установили Denwer или его альтернативу) и хакеру или посетителю достаточно в адресной строке ввести запрос, который откроет ему всю базу, что уже для безопасности уже огромная дыра.

Вход в операционную систему Windows XP без пароля

Помимо интернета использование пароля можно встретить и на клиентских компьютерах (очень редко но все же). Частый пример — пароль для входа в учетную запись в Windows. Впервые разграничивать на учетные записи и использовать пароли для входа еще хотели в Windows 95, реализовано в Windows 98, доработано в Windows 7. Почему я решил поставить Windows 7, не Windows XP, — причина в том, что можно спокойно войти в систему Windows XP без пароля в качестве администратора, а это уж очень большой огрех.

Установка пароля на архив

Если нет пароля в учетной записи, то тогда использование пароля можно наблюдать на файлах. Делается это через архивирование папок или через использование программ, которые накладывают пароль на файл или папку. Если говорить про архивирование файлов, где можно задать пароль для будущего архива, то данный метод является надежным (по моему мнению), так как обрыскав весь интернет в поисках взлома пароля, ничего кроме перебора не нашлось.

Использовать сторонние программы не рекомендую, пусть они и каким-то образом накладывают пароль на файл, но его можно спокойно открыть через DOS или Unix. Я не помню название данной программы, но извините меня, какая может быть здесь безопасность, если даже при открытии его через DOS он доступен для просмотра и редактирования. Тоже самое в Windows — зачем нужно использование паролей для учетных записей, если без труда можно открыть все пользовательские файлы. Тут можно поспорить, но я останусь при своем мнении.

Есть защита на аппаратном уровне — сталкивался только с использованием такой защиты на жестких дисках. Принцип действия мне объяснил один программист — на жесткий диск, при его нулевом форматировании (используется для восстановления флешек и полного удаления информации с носителя без его дальнейшего восстановления) накладываются специальные дорожки, которые накладывают защиту для всех данных на диске. При таком подходе простое форматирование ничего стоящего не принесет.

Методы использования пароля для защиты данных

Давайте рассмотрим некоторые методы, которые используются для того, чтобы в большей степени обезопасить как аккаунт, так и всю систему в целом. Начну с использованием одноразовых паролей — пожалуй самый распространенный метод, который используется в организациях. Причина в том, что многие сотрудники записывают свои пароли на бумажку, которую лепят на мониторы или куда-либо еще, некоторые вообще оставляют заметки в социальных сетях. А такие пароли достать несложно, так как они находятся в доступном месте.

Суть метода использования одноразовых паролей в том, что при успешном входе один раз, другого раза не получится, ибо пароль для данной сессии уже использован. В таких случаях пароли обычно генерируются случайно, исключая повтор предыдущего, но так же есть и алгоритмы создания.

Вход в систему Webmoney

Кроме того используется еще один интересный метод — вход под паролем можно осуществить только, указав номер сессии, который будет прислан либо на номер мобильного телефона, либо на электронную почту. Данный подход используется в Веб Мани — чтобы там войти под своим логином и паролем, нужно вводить номер сессии. Пусть это и неудобно, но риски с финансами нужно минимизировать.

Так же замечал использование одноразовых ссылок для входа в учетную запись. В данном методе на почтовый ящик отправляется одноразовая ссылка, по которой можно выполнить вход, причем не важно был ли вход удачный, или оборвалось соединение — больше ссылка действовать не будет.

Вход в учетную запись через социальные сети

Так же есть возможность входа в систему с помощью учетной записи в социальной сети (Facebook, Twitter, Vkontakte), а так же с использованием OpenID. Но это не касается безопасности — один способ входа, да и еще тот, который постоянно подвержен взлому, подойдет только для удобства, и не более того.

Немаловажным фактором защиты является метод шифрования пароля и его отправки по каналу. Бывает так, что пароль отправляется не в защищенном виде, то есть в том, который он был изначально. Такой пакет с паролем легко переловить и прочитать.

Методы взлома паролей учетных записей системы

Как бы мы не пытались защитить свои данные, обезопасить систему от несанкционированного доступа, она всегда будет подвержена риску взлома, пусть и маловероятному. Причин взлома может быть множество, но цель одна — завладеть данными для входа и управлением учетной записью.

Самый простой, но в тоже время самый монотонный — перебор всех возможных комбинаций пароля. Вот именно такие методы предлагал Google для получения пароля архива. Скорость взлома пароля зависит от многих факторов:

  • Длина пароля архива;
  • Использование символов, букв, цифр и регистров;
  • Это простое слово или же случайная генерация букв и цифр;
  • Мощность компьютера, на котором производится взлом пароля;

И если пароль не имеет в себе много символов, комбинаций и прочих ухищрений, то взлом пройдет довольно быстро. Второй метод взлома пароля — использование социальной инженерии. О данном методе я уже писал ранее, поэтому опишу ее суть вкратце — кто-то оправляет вам письмо, смс, звонит и так далее, сообщая о том, что ваша, допустим банковская карта, заблокирована системой и ее нужно немедленно активировать. А для этого от вас нужно отправить пароль и еще некоторые данные. Ну а вы естественно соглашаетесь и шлете ему свои идентификационные данные, или же посылаете куда подальше. Метод довольно легкий, но только при знании психологии человека и его слабостей.

Следующий способ как взломать пароль, использование готовых программ для взлома системы — эксплоитов. Такие программы пишутся обычно для того, чтобы вызвать в системе ошибку, которая допущена программистом, и войти в нее без каких-либо затруднений с паролями. Данный метод может использовать даже школьник, так как его использование не составит труда. Такие программы часто используются для взлома аккаунта социальной сети ВКонтакте. Обычно при выходе нового эксплоита, приложение с наличием ошибки моментально обновляется, чтобы не дать возможность ее взломать.

Форма входа в социальную сет ВКонтакте

Еще замечал очень интересный способ взлома, как подмена УРЛ адреса. То есть за место того же адреса vkontakte.ru могут подкинуть vkoniakte.ru, причем страницы будут идентичны. От вас же потребуется ввести данные для входа и отправить логин и пароль взломщикам. Социальная сеть это еще малая часть того, где могут применять данный метод.

Какие пароли лучше использовать и где их хранить

А теперь немного рекомендации о том, какие лучше использовать пароли:

  • Используйте длинные пароли для учетных записей, которые очень ценны для вас. То есть если это аккаунт от кошелька Веб мани, то куда лучше присвоить ему пароль, скажем, из двадцати символов, с использованием регистров, букв и цифр, а так же всех возможных знаков;
  • Для социальных сетей придумывать такие пароли, как для Веб мани не стоит. Достаточно использовать ту комбинацию, которая вам знакома, а для других же она является загадкой;
  • Хоть иногда, но использовать генераторы паролей — программы, которые автоматически создают пароль и случайных символов указанной длины;
  • Естественно не используйте в качестве пароля комбинации типа 1234, 1111, qwerty, дату рождения, имя или фамилию, а так же те слова, которые по вашему мнению кажутся легко угадываемыми;

Как использовать и где хранить пароли:

  • Хранить пароли можно в специальных программах портфелях, где можно заполнить данные об учетной записи, указав для нее соответствующий пароль. Такие программы затем шифруются и их можно открыть либо с пароля, либо только с одной операционной системы;
  • Если нет необходимости использования портфелей, то пароли можно хранить на бумаге, сделав пару копий и спрятав их в личный бумажник (думаю доступ к ним кроме вас никто иметь не должен);
  • Использовать пароли, точнее вводить их для входа нужно, сначала проверив адрес сайта — возможно была осуществлена подмена адреса, которую можно даже не заметить;
  • Иногда использовать одноразовые пароли, где это доступно. Особенно для входа в банковские системы, где речь идет о финансах и их сбережениях;
  • Не доверять письмам, где просят отправить пароль — это уже в 99% случаях мошеннический ход . В таких письмах могут и не просить пароль, а лишь перейти по ссылке, и только там в форму ввести данные. Но вот что интересно — сайт, который выдает себя за того, кого надо может быть таким же, как и в пункте три;
  • Использовать одноразовые ссылки для входа — это уже в большей степени касается администраторов сайта, а не их пользователей;

Думаю можно закончить данный пост, который я решил посвятить паролям, а также методам их взлома и защиты. Способов приведено не так много, но хотя бы из-за этих нужно следовать советам и хранить все пароли и данные так, чтобы они доступны были только вам. Помните, что нет устойчивых систем, а следовательно и паролей — одни можно забрать с использованием программ, которые заточены под определенную ошибку, другие перебирать пароль. В некоторых случаях вероятность взлома пароля может быть очень маленькой, почти невозможной, в других почти равной единице — в любом случае взлом может быть осуществим.

Комментариев: 4

  1. Константин

    Вадим, ну вы выдали стране угля! Я бы такую статью по любому разбил на несколько. Тема в принципе интересная, но уж слишком обширная. Здесь ведь не только о защите можно поговорить, но и о нагрузке, что создают те, кто пытается взломать. О способах защиты вообще молчу.

    Я собственно потому и заинтересовался вашей статьей, что недавно пришлось бороться за выживаемость хостинг аккаунта от нагрузок создаваемых таким образом. По крайней мере, применив некоторые не сложные способы, вроде как попустило, но полной защиты по любому не существует имхо. Основная же уязвимость таки да — человеческий фактор.

    1. writer

      Тема действительно очень обширная, однако то, что представил я, является по сути лишь верхушкой айсберга, а если разбирать все подвохи, то тут можно отдельный блог создавать, дополняя выдержками из журнала Хакер плюс свои эксперименты и наблюдения

      1. Константин

        Согласен Вадим. Я потому и сказал, что лучше имхо рассматривать фрагменты этого вопроса, а то так получается очень обобщённо. А ведь детали действительно интересны. Правда интерес обычно возникает уже после проблемы :)

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Можно использовать следующие HTML-теги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>