По данным менеджера паролей NordPass, более 70% паролей можно взломать всего за секунду. Каким образом хакеры получают доступ к чужим аккаунтам и как защитить персональные данные, рассказываем в статье.
Чем опасен взлом пароля
Взлом пароля — неприятная ситуация, которая может произойти с каждым. Чаще всего взламывают аккаунты, защищенные слишком простым паролем, например «qwerty» или «12345». Пользователю проще запомнить что-то очевидное, чем составлять сложную комбинацию из букв и цифр.
При взломе аккаунта посторонние люди могут получить:
- доступ к личным фото, перепискам и документам;
- прямой доступ к деньгам (платежным системам, банковским аккаунтам);
- возможность для шантажа.
А при взломе серверов и аккаунтов администратора — полный контроль над сайтом и размещенной информацией. Чтобы понять, как защититься от хакеров, необходимо разобраться, как им удается взломать любой пароль.
Чаще всего людей взламывают, потому что они оставляют свои данные в ненадежных источниках. Регистрируются на маленьких сайтах, форумах, используют на сторонних сервисах авторизацию через Google-аккаунт. Когда человек набирает критическую массу подобных источников, в какой-то момент происходит утечка и его данные становятся публичными. Предотвратить это достаточно сложно, особенно если речь идет о небольшой компании. Недовольный сотрудник или инсайдер может скачать базу с сервера и продать ее за символическую сумму. Потом эти данные гуляют по даркнету, форумам и в итоге попадают в открытый доступ. С маленькими сайтами такое случается довольно часто, но подобные ситуации не исключены и в больших корпорациях.
Константин Зубченко,
старший аналитик по информационной безопасности в BI.Zone
Способ 1. Атака со словарем
У хакеров есть собственный словарь — txt-файл, который содержит комбинации наиболее часто встречающихся паролей.
Он включает не только обычные слова вроде «password», но и популярные словосочетания: «симсимоткройся», «ясуперадмин», «пароль12345» и пр.
Во время хакерской атаки программа автоматически перебирает комбинации, пока не найдет нужную. Уберечься от взлома поможет только сложный и уникальный пароль, которого нет в словаре.
Список паролей, которые можно взломать меньше, чем за секунду:
Способ 2. Атака грубой силой
Метод грубой силы, или brute force, похож на атаку по словарю, но программа перебирает все возможные варианты, а не только те, что пользователи используют чаще всего. Например, если пароль состоит из 9 символов, то программа будет генерировать случайные последовательности до тех пор, пока не найдет нужную комбинацию. Чем длиннее пароль, тем сложнее взломать код. Защитить от подобных атак может администратор сайта, ограничив число попыток доступа.
Если взлом пройдет успешно, хакеры обязательно попробуют зайти с тем же паролем и в другие ваши аккаунты. Именно поэтому так важно придумывать уникальный пароль для каждого сервиса.
Способ 3. Радужные таблицы
Радужная таблица — список предварительно вычисленных хэшей (зашифрованных паролей). Когда мы регистрируемся на сайте, его владелец не хранит пароли на сервере в неизменном виде, а использует специальный алгоритм хеширования. Их существует несколько, например sha1, md5, md6, sha256, tiger и другие.
С помощью алгоритма MD5 обычный пароль «12345» превращается в сложную комбинацию «827ccb0eea8a706c4c34a16891f84e7b». И даже если мошенники получат доступ к серверу, то увидят только длинный код, с которым не смогут войти в ваш аккаунт.
Перевести хеш обратно в текстовый формат практически невозможно, так как хеширование — это односторонняя функция. А вот подобрать пароль к хешу можно. Для этого используются «радужные таблицы», которые содержат хеши самых популярных паролей. Всего пара секунд поиска по таблице — и мошенники получат доступ к вашим аккаунтам.
Способ 4. Фишинг
Не всегда мошенники используют подбор пароля, иногда пользователи сами сообщают все данные злоумышленникам. Для этого используются фишинговые сайты, которые копируют популярные веб-ресурсы, банки и собирают личную информацию.
Многие вбивают адрес сайта не через поисковый запрос, а через адресную строку и автоматически переходят на фишинговый сайт. Фишинговые сайты не выглядят как мошеннические, чаще всего они мимикрируют под реальные сайты крупных компаний, платежных систем и банков. Мошенники могут поменять английскую «а» в домене на русскую или добавить лишнюю букву. И тот, кто промахнулся кнопкой, оказывается на фишинговом сайте, который визуально копирует оригинал. В Яндекс, Google вероятность попасть на фишинговый сайт довольно мала. Сайты, которые попадают в поисковую выдачу, тщательно проверяются. Кроме того, работу по выявлению таких сайтов ведут и сами компании, ведь они также заинтересованы в том, чтобы их клиенты не попадали в неприятные ситуации. Чаще всего попасть на фишинговый сайт можно через электронную рассылку или взломанные аккаунты близких людей, когда в соцсетях тебе приходит ссылка от доверенного человека. Поэтому всегда нужно перепроверять информацию и скептически относиться ко всему, что вы видите в интернете.
Константин Зубченко,
старший аналитик по информационной безопасности в BI.Zone
Фишинговые рассылки часто используют и в корпоративной сфере. В пентесте (тестировании на проникновение и безопасность) компании зачастую отправляют фальш-рассылки с заманчивыми предложениями, например выгодным ДМС или бесплатными курсами английского для сотрудников. Это помогает понять, как ведут себя работники в подобных ситуациях, и вовремя провести профилактику.
Способ 5. Сохраненные пароли
Чтобы не запоминать пароли, большинство браузеров предлагает их сохранить. Такой способ отлично подходит тем, кто использует компьютер дома и редко водит гостей. А вот если любите поработать в кафе, устраиваете дома вечеринки или берете ноутбук с собой в офис, посторонние люди могут легко получить доступ к вашим паролям.
То же самое касается использования своих аккаунтов на чужих компьютерах. Если в гостях у друзей или в офисе вы случайно сохраните пароль, ваши данные могут попасть в руки недоброжелателей.
Сохранение паролей в браузере собственного компьютера вполне безопасно, если мы не храним там важную информацию. Можно, например, сохранить данные для входа в Pinterest или Boosty. Но важные доступы, типа личного кабинета банка, лучше в браузере не сохранять. Не потому что Google или Яндекс могут слить информацию, а потому что мы не всегда можем гарантировать, что наш компьютер не окажется в чужих руках.
Константин Зубченко,
старший аналитик по информационной безопасности в BI.Zone
Способ 6. Шпионские программы
Узнать чужой пароль можно, если установить на компьютер или телефон пользователя шпионское ПО. Программы могут работать по-разному: одни перехватывают информацию с клавиатуры, другие делают скриншоты при авторизации, третьи ищут файл с паролями.
Один из самых известных спайверов (вредоносных кодов для слежки) — Pegasus. ПО способно встраиваться в телефон совершенно незаметно для владельца. По данным на 2021 год, им были заражены более 50 тысяч телефонов по всему миру. Программа получает полный доступ к системе, включая фотографии, изображения, разговоры, переписку.
Скачать подобные программы пользователи могут случайно вместе с другим ПО. Однако большинство key-логгеров успешно распознаются антивирусом. У мобильных систем Android и iOS есть собственные встроенные средства защиты.
Способ 7. Социальная инженерия
Этот вид мошенничества распространен в корпоративной сфере. Хакеры могут позвонить в компанию и представиться работником IT-службы. Или надеть фирменный бейдж и узнать конфиденциальную информацию при личной беседе. Некоторые проникают в офис под видом обслуживающего персонала и записывают пароли, которые работники оставляют на стикерах у себя на столе.
Способ 8. Подбор
Даже если вы не используете простые пароли, вас все еще можно взломать. Например, если в качестве пароля вы указали любимое хобби, имя питомца или дату свадьбы. Подобная предсказуемость делает аккаунт уязвимым, ведь большинство информации можно легко найти в сети. Мошенники могут загрузить нужные слова в подбиратель паролей и получить доступ.
Словарные пароли вроде 1111 или admin чаще используются не на личных аккаунтах, а на серверах. Если нужно подобрать пароль для конкретного человека, то навряд ли здесь сработает метод словаря. Скорее всего, в пароле будет что-то, связанное с датой рождения или любимой собакой. Эти данные загружаются в программу перебора паролей, и она сама генерирует последовательности.
Константин Зубченко,
старший аналитик по информационной безопасности в BI.Zone
Этот же метод используется и для взлома бизнес-аккаунтов. Изучив корпоративную литературу и сайт компании, можно составить список ключевых слов и загрузить их в программу. Продвинутые хакеры часто используют для этого специальные «паутинные» приложения, подобные тем, что составляют список ключевых слов для SEO.
Как защитить свой аккаунт
Чтобы ваш пароль не стал легкой добычей для хакеров, обязательно соблюдайте правила:
- Используйте длинные пароли от восьми символов.
- Используйте случайную комбинацию букв, чисел и знаков.
- Добавляйте цифры не только в начало или конец пароля, но и в середину.
- Используйте разные регистры, ставьте заглавные буквы не только в начале или конце пароля, но и в середину.
- Где возможно — подключите многофакторную аутентификацию, чтобы подтверждать вход с мобильного телефона или электронной почты.
- Придумайте уникальные пароли для каждого сервиса.
Не используйте для пароля:
- Реальные слова и словосочетания.
- Личную информацию (важные даты, имена, адреса, марку автомобиля и т.д.).
- Последовательность цифр или ее отдельные фрагменты (12345678).
- «Геометрические фигуры» на клавиатуре (qwerty и т.д.).
Для того чтобы надежно защитить хранящиеся пароли, можно использовать специальные менеджеры паролей или электронные сейфы.
Очень важно сохранять баланс между цифровой паранойей и наивностью. Потому что, с одной стороны, хочется получать удовольствие от интернета и его возможностей, а с другой — всегда есть риск утечки паролей. Главное правило безопасности для обычного пользователя — помнить о цифровой гигиене: использовать сложные пароли, не заходить на сомнительные сайты, не скачивать сомнительные приложения, делать разные пароли, не оставлять свои данные на чужих устройствах. Желательно пользоваться менеджерами паролей, хотя они также не дают стопроцентной гарантии безопасности. Поэтому не нужно хранить все пароли в одном месте. Данные от банковских аккаунтов или брокерских счетов лучше не хранить в электронном виде вообще. Как правило, они не нужны нам ежедневно. А чтобы зайти в банковское приложение, можно использовать обычный отпечаток пальца или faceID.
Константин Зубченко,
старший аналитик по информационной безопасности в BI.Zone
