нравится
Личная панель  
Наши услуги  
 
Хочешь
- сайт без рекламы?
- прямые ссылки?
- общение и конкурсы?
Хочешь
- качать без проблем с летитбит?
 
Категории программ  
Софт хиты  
Наш опрос  
 
Чего вам хотелось бы видеть на сайте?

Софт для iOS
Софт для Android
Софт для Windows
Игры для iOS
Игры для Android
Игры для Windows
Новости IT
Фильмы
Музыку

 


Ответить
 Почему хакеры так легко и просто взламывают наши пароли?
#1 AMik Меня надо слушаться :) | 10 октября 2013 16:44

Пятизвездочный дример
  • 85

Репутация: 1558
Группа: Администраторы
Сообщений: 1334
C нами с: 28.12.2007
Очки: 75593
Взлом пользовательских паролей — одно из самых распространённых преступлений в Сети, оставляющее далеко позади DoS-атаки и создание бот-сетей. Почему же хакерам так легко удаётся вскрывать пароли? А всё дело в пресловутом человеческом факторе.

Самая главная причина — мы подсознательно выбираем такие пароли, которые очень сложно угадать и запомнить посторонним людям, но с которыми «на раз» справляется обычный персональный компьютер. Поговорим о том, как на самом деле хакеры вскрывают пароли, и как с этим бороться.

В марте 2013 года известный американский интернет-журнал Ars Technica провёл любопытный эксперимент: его редактор Нэйт Андерсон, никогда раньше не занимавшийся взломом паролей, вооружился свободно доступным в интернете софтом, крупнейшей за последние годы базой хэшей паролей сайта RockYou, также за секунды найденной в Сети, и за какие-то несколько часов взломал чуть меньше половины из загруженного на специализированном форуме списка с 16449 MD5-хэшей, получив порядка восьми тысяч пользовательских паролей в обычной текстовой форме.



Повторим, Андерсон до этого вообще никогда в жизни не занимался вломом паролей. Поэтому, впечатлившись его успехами, в мае 2013 года редакция Ars Technica решила повторить эксперимент с тем же самым списком MD5-хэшей, но уже с участием трёх профессиональных взломщиков. На сей раз результаты оказались ещё более сокрушительными.



Больше всего паролей удалось раскрыть эксперту Stricture Consulting Group Джереми Госни. Используя обычный серийный компьютер на процессоре AMD с видеокартой Radeon 7970, он за двадцать часов взломал 14734 паролей, то есть 90% списка. Второе место занял Йенс Штойбе, ведущий разработчик бесплатного ПО oclHashcat-plus, предназначенного, конечно же, для взлома паролей: используя чуть более мощную машину с двумя видеокартами Radeon 6990, он всего лишь за час с небольшим расшифровал 13486 хэшей, то есть 82% из списка. Ещё один хакер, скрывшийся за псевдонимом radiх, за тот же час вскрыл 62% паролей, но при этом он ещё и подробно комментировал свои действия.

Как же действуют специалисты по взлому, и почему пользовательские пароли так легко расшифровать?

Прежде всего, взламываются «простые» пароли, на что уходит меньше всего времени, а затем, как в любой компьютерной игре, хакер переходит на более высокие уровни, требующие значительно большего времени и особых навыков.



Для начала, запускается подбор по принципу «грубой силы», позволяющий расшифровать более половины паролей длиной от одного до шести символов включительно, в число которых входят по 26 латинских букв нижнего и верхнего регистров, 10 цифр и 33 прочих символов, в сумме — 95. В результате мы имеем весьма скромное число комбинаций, которое среднестатистический десктоп способен рассчитать за считанные минуты.



Удлинение пароля всего на один-два символа радикально увеличивает число вариантов, и полный перебор всех комбинаций будет занимать уже несколько дней. Поэтому специалисты обычно выбирают, к примеру, пароли, состоящие только из букв нижнего регистра, длиной до 8 символов, а также пароли из чисел длиной до 12 символов. Метод «грубой силы» с такими параметрами позволяет расшифровать значительный процент длинных паролей.



Использование метода подбора для более сложных паролей нерационально, поскольку оно может затянуться на годы, и здесь взломщик уже переходит к использованию специальным образом составленных словарных списков, которые подготовлены на основе реальных пользовательских паролей, «засветившихся» при различных утечках. К примеру, самую большую базу англоязычных паролей за последние годы «предоставил» в распоряжение хакеров сайт RockYou в декабре 2009 года. В результате банальной SQL-инъекции хакерам удалось завладеть базой данных более 32 миллионов пользователей, включая логины, пароли и прочую информацию в простой текстовой форме. База RockYou немедленно была включена во все хакерские «словари», которые с тех пор неоднократно пополнялись в результате всё новых утечек, в том числе после взлома социальной сети LinkedIn в 2012 году, когда «утекло» ещё 6,5 миллиона парольных кэшей.

Базы, подобные RockYou или LinkedIn, представляют особую ценность, поскольку содержат реальные пользовательские пароли, а не просто произвольные комбинации. Для расчёта вариантов существуют специальные правила замены и подбора, что даёт ещё больше потенциальных паролей. А если проанализировать тематику сайта, интересы и профессии его пользователей, то можно добавить ещё более тонкие алгоритмы расчёта со специфическими шаблонами и масками.


Самые популярные пользовательские пароли из базы RockYou


Любопытно, что пользователи крупных общедоступных сайтов, прежде всего, всевозможных социальных сетей, редко утруждают себя придумыванием сложных паролей, наивно полагая, что размещаемая там информация не представляет особого интереса для злоумышленников. Более того, из 32 миллионов паролей RockYou 290 тысяч представляли собой до боли знакомую комбинацию «123456», а ещё несколько десятков тысяч — похожие сочетания с разным количеством цифр. Наконец, многие пользовали используют одинаковые пароли на разных сервисах, а при взломе паролей на одном сайте, далеко не каждый станет менять его и на всех остальных сайтах. Поэтому словарный подбор остаётся одной из самых мощных и эффективных технологий взлома, позволяющий, по разным оценкам, расшифровать до 60-70% пользовательских паролей на любом общедоступном сайте.

Для взлома оставшегося массива паролей используются гибридные атаки, сочетающие элементы «грубой силы» со словарным подбором. Например, при задании паролей некоторые предпочитают добавлять к одному из своих старых паролей длиной 7-8 символов по одной-две цифре в начало или в конец. Понятно, что с точки зрения безопасности, такие пароли уже не выдерживают никакой критики. Подобные «привычные» способы «улучшения» старых паролей отлично известны специалистам, поэтому такие шаблоны нисколько не повышают их устойчивость.



Ещё один тип гибридных атак сочетает «грубую силу» со статистическим методом на основе цепей Маркова, что позволяет использовать уже полученные данные о характерных особенностях расшифрованных паролей для конкретного сайта, чтобы предсказать возможные пароли других пользователей.

Гибридные атаки в разных вариантах, а также «индивидуальные» настройки масок и шаблонов могут занимать существенное время, но в результате они способны раскрыть до всех 100% паролей для отдельно взятого сайта (среднестатистиски — от 60 до 90%). А если учесть, что более двух третей пользовательских паролей взламывается простыми средствами за считанные часы, предоставляя полезную информацию для анализа, то талантливый профессионал может сократить общее время взлома до разумного минимума.

Почему же хакеры так просто и быстро взламывают пользовательские пароли? Прежде всего, из-за того, что их придумывают люди. Обычные шаблоны и привычки хорошо известны профессионалам, а современная техника, в частности, обычные «бытовые» графические ускорители позволяют быстро просчитать все возможные комбинации: к примеру, Radeon HD7970 способен перебрать более 8 миллиардов вариантов в секунду.

Именно поэтому для промышленного использования рекомендуются специализированные генераторы паролей, использующие алгоритмы, не позволяющие выявить стабильные шаблоны и предотвращающие возможность взлома «грубой силой» за разумный отрезок времени, в течение которого расшифровываемые пароли будут уже заменены другими.

Наконец, ещё одна причина заключается в том, что далеко не все общедоступные сайты реально озабочены безопасностью пользовательских паролей, и используют для создания хэшей достаточно простые алгоритмы, которые обеспечивали бы взамен низкую нагрузку на серверы. Даже некоторые крупные сайты до сих пор применяют печально зарекомендовавший себя алгоритм SHA1 — его устойчивость не укрепило даже добавление «соли», то есть уникального набора битов к каждому паролю перед зашифровкой.

После всех этих подробностей специализированный сайт корпорации Intel, «проверяющий» стойкость паролей, вызывает приступы хохота, когда выдаёт 6 лет на взлом пароля BandGeek2014, подбираемого профессионалом, в худшем случае, за час.



Как же всё-таки максимально защититься от взлома пароля? Гарантированно — никак. Самые общие рекомендации предполагают использование паролей длиной не менее 11-12 символов, включающих в себя буквенные символы в разных регистрах, цифры и прочие символы. При этом в пароле не должен просматриваться никакой явный шаблон, что уже делает эту задачу маловыполнимой для человека. Можно использовать автоматические генераторы паролей, однако уже то, что они написаны незнакомыми людьми, вызывает некоторые сомнения. И, наконец, не используйте на разных сайтах одинаковые пароли, и как можно чаще меняйте их, чтобы взлом одного малозначительного для вас аккаунта не привёл к хищению важных данных с другого. В общем, жить становится всё сложнее и сложнее.

Источник: www.computerra.ru
  Перейти в начало страницы  
#2 Команданте | 10 октября 2013 17:15

Только зашел
  • 0

Репутация: --
Группа: Гости
Сообщений: 0
C нами с: --
Очки:
Цитата: AMik
После всех этих подробностей специализированный сайт корпорации Intel, «проверяющий» стойкость паролей, вызывает приступы хохота, когда выдаёт 6 лет на взлом пароля BandGeek2014, подбираемого профессионалом, в худшем случае, за час.


на пасс отсёдова уйдет 7.9 минут :smile-03:
  Перейти в начало страницы  
#3 Vulkankor ЖИТЬ ХОРОШО , А ХОРОШО ЖИТЬ ЕЩЁ ЛУЧШЕ | 10 октября 2013 18:38

Пятизвездочный дример
  • 85

Репутация: 12764
Группа: Посетители
Сообщений: 1528
C нами с: 27.02.2011
Очки: 22642
Почему хакеры так легко и просто взламывают наши пароли?
На то они и хакеры ! Мы можем лишь озадачить их потерей времени - день-два -5мин :smile-16:

--------------------
Я НЕ ЗЛОПАМЯТНЫЙ , Я ПРОСТО ЗЛОЙ И У МЕНЯ ПАМЯТЬ ХОРОШАЯ
  Перейти в начало страницы  
#4 SatanА | 10 октября 2013 18:44

Активный дример
  • 68

Репутация: 2045
Группа: BANNED
Сообщений: 558
C нами с: 16.10.2011
Очки: 99
:smile-15: 30 секунд на пасс от этого акка

Сообщение отредактировал SatanА - 10 октября 2013 18:44
  Перейти в начало страницы  
#5 Alex3479 | 10 октября 2013 19:29

Общительный дример
  • 51

Репутация: 2310
Группа: Посетители
Сообщений: 381
C нами с: 7.01.2009
Очки: 6629
Цитата: SatanА
30 секунд на пасс от этого акка

Кстати, я с этим уже столкнулся - был взломан мой аккаунт в майле или в контакте, не помню уже, и причем последний выход был с Украины.. :smile-09: Кому интересны мои контакты непонятно, но понятно что это был кто то из "дримеров" привет тому хто это провернул.. :smile-13:
  Перейти в начало страницы  
#6 _RED_ | 11 октября 2013 07:24

Активный дример
  • 68

Репутация: 1512
Группа: Посетители
Сообщений: 896
C нами с: 14.10.2011
Очки: 5244
Насколько мне известно, взлом акков делают для рассылки спама (рекламы порно сайтов и прочего). Обычно ПК зараженный вирусом, который может быть даже в простом кейлоге который генерирует якобы ключ для программы, вирус подменяет страницу для ввода пароля или просто тихо шпионит и отправляет ваши действия на клаве. как то был взломан акк в одноклассниках, восстановив его заметил много удалённых сообщений расцененных как спам. Если опытные взломщики сильно захотят взломать, то думаю взломают, а так, читал надёжный пароль должен составлять 32-64 символа букв верхний регистр нижний, запятые, и различные знаки вперемешку. Я побывал взламывать пароль офиисного документа который состоял из 4 символов, прога взломала за 1 сек, а когда этот пароль сделал из латинских и русских букв в перемешку с символами и цыфрами увеличив до 6 знаков, то прога взломать быстро не смогла, сидеть и ждать я не стал просто.
  Перейти в начало страницы  
#7 Nowhereman | 11 октября 2013 13:29

Пятизвездочный дример
  • 85

Репутация: 6498
Группа: Посетители
Сообщений: 1383
C нами с: 27.01.2009
Очки: 12787
AMik,
В паролях на первом и втором скринах нет ни одного спецсимвола, таких как "~()*&^%#@!/;'{}[]№?_-. Вследствие этого расшифровка или подбор паролей очень сильно упрощается. Для того, чтобы не морочить себе голову придумыванием пароля, необходимо пользоваться менеджерами паролей, которые генерируют случайные пароли с полным набором букв и символов. Один из представителей таких менеджеров - Kaspersky Password Manager.

Да, ещё ко всему прочему там есть пароли с повторяющими символами, а это ещё более упрощает их подбор.

--------------------
Ребята, давайте жить дружно!
  Перейти в начало страницы  
#8 apaxuc | 11 октября 2013 13:35

Общительный дример
  • 51

Репутация: 353
Группа: Посетители
Сообщений: 130
C нами с: 27.06.2008
Очки: 1400
Цитата: Nowhereman
Один из представителей таких менеджеров - Kaspersky Password Manager.


Sticky Password

--------------------
Бесконечный космос, а нам тесно, как в желудках рыб,
Но мы сидим ровно и смирно
Смеркается от улыбок
Спасибо, за этот дружелюбный мир
  Перейти в начало страницы  
#9 Nowhereman | 11 октября 2013 13:38

Пятизвездочный дример
  • 85

Репутация: 6498
Группа: Посетители
Сообщений: 1383
C нами с: 27.01.2009
Очки: 12787
Цитата: apaxuc
Sticky Password

Да их очень много, я просто привёл его для примера.

--------------------
Ребята, давайте жить дружно!
  Перейти в начало страницы  
#10 оклонов | 11 января 2014 15:31

Дример до мозга костей
  • 102

Репутация: 23441
Группа: Посетители
Сообщений: 3479
C нами с: 18.04.2010
Очки: 262779
Опубликован каталог "жучков" АНБ США для техники Cisco, Huawei и Juniper

  Перейти в начало страницы  
#11 lurikk | 20 августа 2014 10:09

Активный дример
  • 68

Репутация: 4858
Группа: Посетители
Сообщений: 677
C нами с: 30.05.2009
Очки: 11250
Найден способ взлома компьютера во время просмотра видео


Сервисы потокового видео, такие как YouTube и Microsoft Live, могут использоваться хакерами для взлома компьютеров, пишет Gizmodo со ссылкой на доклад специалиста в области информационной безопасности Моргана Марки-Буа.

Исследуя возможности видеоресурсов, специалист пришел к выводу, что во время трансляции видео с сервера на компьютер можно скрыто изменять видеопоток и осуществлять заражение пользовательского устройства. Обладатель компьютера при этом ничего не сможет заметить.

Таким образом, теоретически взломщики, которые будут использовать подобные схемы заражения компьютеров, смогут получить доступ практически к любому компьютеру, который подключен к интернету. По словам Моргана Марки-Буа, встраивать вредоносный код можно в трафик, который не подвергается шифрованию, поскольку далеко не все данные, которые передают популярные сайты, шифруют информацию.

Эксперт также выразил уверенность в том, что передача информации в Сети в скором времени станет полностью зашифрованной. При этом, по его словам, уязвимости, которыми будут пользоваться хакеры для взлома компьютеров и информационных систем, все равно останутся.

Напомним, что за шифрование всего интернет-трафика активно выступает корпорация Google, которая призывает всех владельцев сайтов переходить на использование зашифрованного протокола HTTPS. Шифрованное соединение используют и другие онлайн-сервисы, как зарубежные, так и российские - "Яндекс.Почта", Mail.ru, Twitter, Facebook. Таким образом, перехват вводимых пользователем данных и поисковой выдачи злоумышленниками становится максимально затрудненным.

Морган Марки-Буа также рассказал о том, что ряд компаний, такие как Hacking Team и FinFisher, предлагают свои инструменты для взлома пользовательских компьютеров спецслужбам многих стран, включая Агентство национальной безопасности США. Их услуги стоят миллионы долларов.
  Перейти в начало страницы  
#12 Nowhereman | 20 августа 2014 22:45

Пятизвездочный дример
  • 85

Репутация: 6498
Группа: Посетители
Сообщений: 1383
C нами с: 27.01.2009
Очки: 12787
Цитата: lurikk
айден способ взлома компьютера во время просмотра видео

Что-то не сильно верится. А вот пароль из 20-ти разных символов тяжело взломать.

--------------------
Ребята, давайте жить дружно!
  Перейти в начало страницы  
#13 Arom | 21 августа 2014 08:18

Общительный дример
  • 51

Репутация: 9188
Группа: Посетители
Сообщений: 234
C нами с: 5.07.2013
Очки: 14766
Цитата: Nowhereman
пароль из 20-ти разных символов тяжело взломать.

Если бы это делал человек. Для робота нет ничего невозможного. И потом, админы серверов почтовиков наверняка все видят.
  Перейти в начало страницы  
#14 yuriram | 28 октября 2014 23:54

Только зашел
  • 0

Репутация: --
Группа: Гости
Сообщений: 0
C нами с: --
Очки:
Совершенно верно! На 100% защитить пароль невозможно. Возможно на 100% измотать взломщика подбором длинного пароля. А пароль менять раз в месяц. Хотя бы одну букву, что требует перебора с самого начала. Тогда даже А и Н вместе с Б отстанет.
По поводу человеческого фактора составления пароля. Контрольную фразу, для восстановления пароля, придумываем сами, например "Розовый Кролик фазотронит голубую Дюймовочку" (на англ. раскладе, естссствнн). Подобные фразы хорошо врезаются в мозг.
Далее переводим текст с помощью простенького декодера (например Base64) в абракадабру по алгоритму UUE. Получаем что то вроде L2&IP:F1S<2!R:&IK8G(@869P:FYH:GEB:R!U:FME+&4N($PN<79J9&IX<F4`
`.
И если завтра не освоят чипы с чтеньем/записью на атомном уровне со скоростью света, то до конца жизни будут ломать, пока не узнают пароль входа на форум любителей рыбной ловли на мормышку.

Можно захешить еще монолог Чацкого или парочку финских фамилий на корейской раскладке. Но там одни цифры, а их элементарно уговаривают.
  Перейти в начало страницы  
#15 Matvealeksandr | 29 октября 2014 21:16

Дример
  • 34

Репутация: 11
Группа: Посетители
Сообщений: 53
C нами с: 11.05.2008
Очки: 523
Nowhereman
...А вот пароль из 20-ти разных символов тяжело взломать.

Нередко на сайтах не принимают при регистрации пароли длиннее 12 символов.
  Перейти в начало страницы  
#16 Вадюха | 30 октября 2014 10:09

Дример
  • 34

Репутация: 85
Группа: Посетители
Сообщений: 66
C нами с: 7.01.2010
Очки: 816


Matvealeksandr,
согласен у меня на гугле пароль стоит уже года 4 и менял один раз и то потому что под подозрение попал файлик из общего проекта думали троян, длинна 12 символов буквы и символы заглавные и строчные

Сообщение отредактировал Вадюха - 30 октября 2014 10:10
  Перейти в начало страницы  
 
 
 
Ответить Быстрый ответ
 
 

  Сейчас: 20 мая 2022 11:08


Новое на форуме  
Топ в разделе за месяц  

.
Новости магазинов  
   
© DREAMPROGS 2004 - 2018.
Связь с администрацией. По вем вопросам. Не забудьте указать свой e-mail.
Сервер предоставлен компанией Host-UA: Украинский хостинг провайдер
    uaRating  
    MyCounter - Ваш счётчик