Перейти к содержанию

10 главных ошибок в паролях (по следам взлома Adobe)


Рекомендуемые сообщения

Если вы регистрировались как клиент Adobe, смените свои пароли прямо сейчас. Их уже публикуют в Интернете и даже делают на их основе кроссворды. Ну а для всех остальных это прекрасный повод посмотреть, какие пароли не надо использовать.

Недавний  взлом Adobe с кражей пользовательских данных имеет долгосрочные последствия. Сначала выяснилось, что украдено не 3 млн, а около 150 млн записей, потом — что пароли в них плохо защищены и частично восстановимы. В результате Facebook потребовал сменить пароли у тех пользователей, которые «засветились» в этой базе с тем же паролем, что у Facebook. Использовать одинаковые пароли на разных сервисах —  серьезная угроза безопасности. Но еще хуже, что миллионы пользователей допускают одни и те же детские ошибки, придумывая себе пароль. Изучим эти ошибки на примере самых популярных паролей из базы Adobe.

10 самых худших паролей

1.  «Password», «qwerty» и «123456»

Удивительно, но эти самые очевидные пароли продолжают удерживать первые места в хит-парадах уже многие годы. В базе Adobe пароль 123456 занимает абсолютное первое место, его выбрали почти 2 млн пользователей из 130 млн. Второе место занимает более сложный пароль 123456789, а password находится на третьем с «жалкими» 345 тыс. пользователей. У qwerty — шестое место.

2. Имя сервиса, компании и его вариации

Логин «Иван», пароль «ВКонтакте», как оригинально! Конечно, такого пароля нет в типовых словарях, но опытный хакер обязательно добавит подобные пароли в свою базу подбора при атаке (что мы и увидели в случае Adobe). По этому принципу составлены пароли 4, 9, 15 и 16 в хит-параде: adobe123, photoshop, adobe1 и macromedia.

3. Имя=Пароль и другие подсказки

Хотя пароли в базе могут быть закодированы лучше, чем у Adobe, скорее всего, хакеру будут доступны видимые без лишних ухищрений сопроводительные поля. Это имя пользователя, e-mail-адрес, поле «Подсказка для пароля» и так далее. Очень часто по ним можно восстановить пароль. Несомненным хитом является пароль, повторяющий имя пользователя, но есть и другие «умные» трюки, например написать пароль в поле «Подсказка для пароля» или указать «от 1 до 6».

4. Очевидные факты

Одним из любимых инструментов взломщиков давно стал Facebook. Зная e-mail и имя пользователя, можно при помощи Facebook за считанные минуты разгадать пароли, ненадежно припрятанные за такими подсказками к паролю: «имя собаки», «имя сына (дочери)», «дата рождения», «работа», «девичья фамилия матери»,  «любимая группа» и так далее. Около трети всех подсказок посвящены именам членов семьи и домашних животных, а 15% повторяют пароль или на него намекают.

5. Простые последовательности и повторяющиеся символы

Это только кажется, что сочетаний букв и цифр много, на самом деле люди используют их очень немногими способами. «Подсказкой» им служат алфавит и клавиатура перед носом. Так появляются  пароли abc123, 000000, 123321, asdfgh, 1q2w3e4r. Если вам попалась на глаза или пришла  в голову удобная для запоминания последовательность букв или цифр, знайте: она удобна для взлома и наверняка есть в базах (словарях) хакеров.

6. Простые слова

По разным исследованиям, от трети до половины паролей являются простыми словарными словами, входящими в top-10000. Перебрать 10 тыс. паролей для современного компьютера — дело нескольких секунд, поэтому такие пароли ненадежны. В топ базы Adobe прорвались sunshine, monkey, shadow, princess, dragon, welcome и другие. Канонические sex, god, jesus тоже никуда не делись.

7. Очевидные модификации

Чтобы усложнить работу хакерам, многие сервисы требуют от пользователя задать пароль по определенным правилам. Например, не меньше 6 символов, обязательно присутствие заглавных и строчных букв, а также цифр или символов. Как я уже писал ранее, эти меры пришли из XX века и сегодня их стоит пересмотреть, но в реальном использовании выясняется, что пользователи ужасно предсказуемы, делая требуемые ухищрения. Наиболее вероятно, что заглавной буквой сделают первую, а самая популярная численная модификация (с гигантским отрывом от прочих) — добавление цифры 1 в конце. В базе Adobe это видно по паролям 15 и 28, сочетающим очевидное слово с самой очевидной цифрой (adobe1 и password1). Самые популярные символы для модификаций — восклицательный знак и подчеркивание.

8. Очевидные модификации – 2 (1337)leetspeek

Благодаря фильму «Хакеры» и другим памятникам массовой культуры широкая общественность узнала о «хакерском языке» LEET (1337), в котором часть букв заменяется на внешне похожие цифры и символы, а также делаются другие простые модификации. Так в пароли попадают на первый взгляд неплохие кандидаты H4X0R, $1NGL3 и так далее. К сожалению, на самом деле злоумышленнику подбирать их не намного сложнее очевидных HACKER и SINGLE, поскольку специализированные приложения для взлома содержат «механизм мутации», прекрасно знакомый с подобными подстановками.

9. Энергичные предложения

Вообще считается, что в современных условиях, когда пароль должен быть длинным, кодовые фразы лучше, чем пароли из одного слова. Но самые популярные фразы слишком коротки и очень, очень предсказуемы. Letmein, fuckyou и Iloveyou («впустите меня», «иди к черту» и «я тебя люблю»). Добавить нечего.

10. Транслитерация

В России и других странах с кириллическим алфавитом традиционно считается надежным парольным трюком набрать русское слово в английской раскладке. «Gfhjkm», без сомнения, выглядит очень надежно, но является простым в запоминании словом «Пароль». Хакерам тоже очень нравится этот трюк, потому что с ним легко справиться. Русские словари, «перекодированные» в английскую раскладку, давно существуют и используются при взломах. 

ВНЕ КОНКУРСА — одинаковые пароли

Если у вас везде один пароль, после подобного взлома можно лишиться всей своей онлайновой жизни!

В базе Adobe этого, конечно, не видно, но данная ошибка распространена не меньше, чем применение пароля «123456». Одинаковые пароли для разных сервисов. Чем это плохо, понятно на примере взлома Adobe. Если пароль пользователя стал известен хакерам, они могут попробовать сочетание e-mail/пароль на нескольких популярных веб-сайтах от Facebook до Gmail, компрометируя не один, а целую группу ваших аккаунтов. По данным опроса, проведенного B2B International по заказу «Лаборатории Касперского», 6% пользователей использует один пароль для всех сайтов, и еще 33% использует всего несколько паролей. Если в числе «всех сайтов» был сайт Adobe, сегодня они рискуют всей своей цифровой жизнью.

 

Разумеется, все перечисленные ошибки делаются по одной простой причине — сегодня нам приходится пользоваться 5–10 онлайн-сервисами, и помнить сложный, надежный пароль к каждому из них весьма проблематично. К счастью, у проблемы есть простое техническое решение. Вот наш рецепт



Читать далее >>
Ссылка на комментарий
Поделиться на другие сайты

@Pomka., есть такое правило - стоимость защиты информации не должна превышать стоимость информации. Так что если твои данные ничего не стоят, то и защищать их не нужно. Если стоимость взлома больше стоимости самой информации, что и взлома не будет.

  • Спасибо (+1) 2
  • Согласен 8
Ссылка на комментарий
Поделиться на другие сайты

Интересно, есть национальные особенности при использовании паролей? Кроме транслитерации.

Как в анекдоте:

 

Из отчета служб безопасности "... по поводу взлома китайцами сервера
Пентагона":
.......
1) Каждый китаец попробовал один пароль.
2) Каждый второй пароль был "maodzedun"
3) Hа 657983241-й попытке сервер согласился что y него пароль "maodzedun"

  • Улыбнуло 3
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • lex-xel
      От lex-xel
      Добрый день!
      Аналогичная ситуация  сервер подвергся взлому, база данных заархивирована с шифрованием.
      Антивирус снесли, хоть он был под паролем.
      Подскажите есть способ как то исправить ситуацию, расшифровать базу данных?
       
      Do you really want to restore your files?
      Write to email: a38261062@gmail.com
       
      Сообщение от модератора Mark D. Pearlstone перемещено из темы.
         
    • adminuniscan
      От adminuniscan
      Не пускает в вебморду 
       
      Как сбросить пароль через консоль сервера?
    • KL FC Bot
      От KL FC Bot
      Требования, которые онлайн-сервисы предъявляют при проверке своих пользователей, — будь то длина пароля, обязательное указание номера телефона или необходимость биометрической проверки с подмигиванием, зачастую регулируются индустриальными стандартами. Одним из важнейших документов в этой сфере является NIST SP 800-63, Digital Identity Guidelines, разработанный Национальным институтом стандартов и технологий США. Требования этого стандарта обязательны для выполнения всеми государственными органами страны и всеми их подрядчиками, но на практике это означает, что их выполняют все крупнейшие IT-компании и действие требований ощущается далеко за пределами США.
      Даже организациям, которые не обязаны выполнять требования NIST SP 800-63, стоит глубоко ознакомиться с его обновленными требованиями, поскольку они зачастую берутся за основу регуляторами в других странах и индустриях. Более того, свежий документ, прошедший четыре раунда публичных правок с индустриальными экспертами, отражает современный взгляд на процессы идентификации и аутентификации, включая требования к безопасности и конфиденциальности, и с учетом возможного распределенного (федеративного) подхода к этим процессам. Стандарт практичен и учитывает человеческий фактор — то, как пользователи реагируют на те или иные требования к аутентификации.
      В новой редакции стандарта формализованы понятия и описаны требования к:
      passkeys (в стандарте названы syncable authenticators); аутентификации, устойчивой к фишингу; пользовательским хранилищам паролей и доступов — кошелькам (attribute bundles); регулярной реаутентификации; сессионным токенам. Итак, как нужно аутентифицировать пользователей в 2024 году?
      Аутентификация по паролю
      Стандарт описывает три уровня гарантий (Authentication Assurance Level, AAL), где AAL1 соответствует самым слабым ограничениям и минимальной уверенности в том, что входящий в систему пользователь — тот, за кого себя выдает. Уровень AAL3 дает самые сильные гарантии и требует более строгой аутентификации. Только на уровне AAL1 допустим единственный фактор аутентификации, например просто пароль.
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Группа исследователей безопасности обнаружила серьезную уязвимость в веб-портале, принадлежащем южнокорейскому автопроизводителю Kia, которая позволяла удаленно взламывать автомобили и следить за их владельцами. При этом, по сути, для взлома достаточно было всего лишь знать автомобильный номер потенциальной жертвы. Рассказываем подробнее об этой уязвимости.
      Слишком подключенные автомобили
      Не все об этом задумываются, но автомобили за последние пару десятилетий превратили в очень большие компьютеры на колесах. Даже не самые «умные» из них под завязку напичканы всевозможной электроникой и оборудованы целой кучей датчиков — от сонаров и видеокамер до датчиков движения и GPS.
      В последние же годы автомобили — это чаще всего не просто компьютеры, но компьютеры, постоянно подключенные к Интернету, со всеми вытекающими последствиями. Не так давно мы уже писали о том, как современные автомобили собирают массу данных о своих владельцах и передают их автопроизводителям. А также о том, как автоконцерны продают собранные данные другим компаниям, в частности страховщикам.
      Но у этой проблемы есть также и другая сторона. Постоянное подключение автомобиля к Интернету означает, что при наличии уязвимостей — как в самом автомобиле, так и в облачной системе, с которой он коммуницирует — кто-нибудь может ими воспользоваться для взлома и слежки за владельцем авто без ведома автопроизводителя.
      Так называемое «головное устройство» автомобиля — это лишь верхушка айсберга, на самом деле электроники в современных авто гораздо больше
       
      View the full article
    • iLuminate
      От iLuminate
      Есть подозрение на взлом, так как при переходе C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Администрирование - Ярлык появляется ярлык которые указан на скриншоте.

      FRST.txt Addition.txt
×
×
  • Создать...