26 декабря 2018, 01:49

Парольная защита

Есть такая компания, «SplashData» называется. Парни специализируются на обеспечении безопасности и заодно вот уже 8 лет составляют списки самых распространенных пользовательских паролей. И знаете, какой самый популярный пароль пользователи выбирали в 2018 году? Вот ни за что не догадаетесь. Итак, самым распространённым паролем была комбинация …

Фанфары и барабанная дробь: «123456». Рейтинг составляется путем анализа нескольких миллионов скомпрометированных учётных записей, которые стали доступны после различных инцидентов информационной безопасности.

Особой пикантности ситуации добавляет то, что в 2017 году на первом месте среди используемых паролей была та же самая комбинация «123456». Вообще, если посмотреть в динамике ТОП-5 используемых паролей, то мы получим следующую картину (ссылки не привожу, вся эта информация выдается google-ом на раз-два):

Первые два места вот уже три года прочно удерживают одни и те же комбинации. С третьим местом все гораздо веселее – видно, что люди эволюционируют, развиваются и не стоят на месте! Те, кого «взломали» в 2016 году подумали: «Хм, наверное «12345», это слишком просто! А вот я сейчас усложню максимально! «12345678»! А? Как тебе такое, Илон Маск?». Естественно, в 2017 году их учетка опять утекла на черный рынок, и тогда ребята сделали ход конем. Ну, вы поняли.

Если оставить в стороне сарказм, проблема парольной защиты и стойкости используемой комбинации к подбору стоит весьма остро уже не первый год. Ведь что такое пароль? Это ваш «паспорт» в цифровом мире. Предъявляя его, вы идентифицируетесь компьютерной системой или сервисом как владелец учетной записи.

Но все мы люди, все мы ленивы от природы, всем нам не очень хочется запоминать или записывать какие-то сложные, ничего не значащие абракадабры для защиты от мифического «взлома». Тем более, что паролей даже далёкий от информационных технологий человек использует довольно-таки много: почтовый ящик, учётка в соцсети, пароли от форумов, пароль на блокировку экрана смартфона и так далее. По моему опыту, эти пароли либо очень простые, либо чуть-более стойкие, но одинаковые. Иногда бывает прям парольное бинго: на всех сервисах один и тот же простой пароль. А такого, в идеале, быть не должно.

Возвращаясь к приведенному выше исследованию, конечно же оно не совсем точно отражает ситуацию. Там учитываются все утекшие пароли, в том числе и из корпоративного сектора, и из сервисов, которые сами пользователи для себя записали в раздел не очень важных. Плюс, исследовались в основном утечки из западных компаний. А у России, как известно, свой, особый путь. Однако тренды это исследование показывает весьма точно – никто не любит забивать свою память какими-то сложными комбинациями.

Теперь давайте посмотрим, как злоумышленник может получить ваш пароль к учетным записям. Вот несколько самых распространенных способов:

1) Самый простой и топорный способ – способ подбора. То есть злоумышленник начинает перебирать по какому-то алгоритму все пароли, пока не случится успех. Способ хорош и эффективен, если у вас есть много времени и большой ресурс вычислительной мощности. Для взлома большинства интернет-сервисов способ не подходит поскольку (вы и сами, наверное, с этим сталкивались, «подзабыв пароль») эти сервисы устанавливают некоторое количество попыток на ввод пароля. Если вы так и не вспоминаете свой пароль, сервис берет таймаут и предлагает пройти процедуру восстановления пароля. А вот для подбора пароля к вашей учетной записи Windows вполне рабочий способ при определенных обстоятельствах. Также пароль можно подобрать по словарю. Существуют целые сборники «слов», которые подгружаются в специальное ПО и вместо перебора различных комбинаций по порядку (что долго), программа пытается подобрать пароль подставляя «слова» из словаря. Во многих типовых случаях хватает одного рабочего дня для подбора.

2) Еще пароль можно получить путём рассылки фишинговых писем. На почту к вам приходит письмо со ссылкой или вложенным документом. Вы переходите по ссылке или открываете документ, устанавливаете себе трояна и теперь все ваши пароли видны злоумышленнику.

3) Социальная инженерия, куда же без нее? В этом случае вы сами рассказываете всю необходимую злоумышленнику информацию. Как правило, по телефону.

4) Технологичный способ: если вы пользуетесь беспроводной клавиатурой, злоумышленник с использованием нехитрого набора компонентов с АлиЭкспресса может перехватить нажатие всех клавиш. В этом случае «хороший» у вас пароль или «плохой» не имеет никакого значения, просто знайте, что и такое тоже возможно. Ещё, если есть физический доступ к вашему оборудованию, возможно поставить «закладку» в клавиатуру и также перехватывать всю набираемую информацию. Способ не совсем законный, но разве это когда-то останавливало тех, кто и так занимается неправомерной деятельностью?

Так зачем же нужен хороший и стойкий пароль? Ну хотя бы для того, чтобы усложнить жизнь тем, кто захочет его подобрать. Более того, подобрав пароль к самому слабо защищенному из используемых вами сервисов, злоумышленник попытается использовать его и в других местах. И по моему опыту, во многих случаях у пользователей везде один и тот же пароль.

В корпоративной среде как правило есть огромная кипа бумажек от безопасников под общим названием «Политика парольной защиты ООО «Рога и Копыта» или что-то около того. Там описаны принципы формирования паролей, периодичность их замены и прочие чертовски интересные вещи написанные интереснейшим и живым языком. Настолько живым, что пользователи с удовольствием читают эти талмуды по три раза взахлеб, и только потом расписываются в бумажке об ознакомлении. И, естественно, все написанное гипотетической бухгалтершей Анной Ивановной 56-ти лет усвоено, понято и будет применяться в работе.

Ну а если серьезно, то любой внешний аудитор прекрасно понимает, что большинству пользователей вся эта канитель с паролями и безопасностью что зайцу стоп-сигнал: интересна с большой натяжкой. И при проверке рабочих мест первым делом ищутся маленькие клочки бумаги с бессмысленными на первый взгляд словами. И если такой клочёчек бумаги находится под клавиатурой или монитором, с огромной долей вероятности это будет билет в сеть предприятия со всеми вытекающими последствиями.

Так как же придумать нормальный, стойкий пароль? Вот несколько советов:

  1. Длина и разнообразие – вот основной кит, на котором держится стойкость пароля. Я рекомендую не менее 8 символов среди которых будут прописные и строчные буквы, цифры и специальные символы. Например, вот так – «FveH!6tG» будет вполне приемлемо. Перебором такая комбинация будет вскрываться ооочень долго. И по словарю её подобрать можно будет разве что по индивидуальному, но в этой истории есть много нюансов (хотя в моей практике был опыт подбора паролей к архивам путем составления индивидуального словаря пользователя).
  2. Разделите для себя сервисы на «важные» и «неважные». К каждому из «важных» (банкинг, электронная почта, учетная запись для смартфона, облачные хранилища, соцсети)сервисов должен быть уникальный и стойкий пароль. Для «неважных» сервисов придумайте один пароль и можете ставить его везде. Но это все на ваш страх и риск.
  3. Никогда не храните свои пароли в открытом виде где бы то ни было. Ни в заметках на телефоне, ни в электронной почте, ни в виде записи в блокноте, ни на листочке под клавиатурой. Очень велик риск потерять всё потеряв только один пароль или один лист.
  4. Пользуйтесь проверенными менеджерами паролей. Тот же «Касперский» предлагает решение по хранению в зашифрованном виде списка всех ваших паролей. В этом случае вам нужно будет помнить только один мастер-пароль который вы сможете сделать суперстойким.
  5. Придумывая пароль используйте английскую раскладку, но набирайте слова по русским буквам. Например, слово «спагетти» на английской раскладке будет трансформировано в «cgfutnnb». Для пущей красоты вносим несколько заглавных букв, цифр, символов и грамматических ошибок – «$погеТтт7и» - и получаем вполне приличный пароль «$gjutNnn7b». Смысла в нем нет, подбираться будет долго, наличие грамматических ошибок минимизирует риск подбора по словарю.

Просмотров за день: 0
Просмотров всего: 260

метки: пароли, защита, взлом, безопасность.


Поделиться:

Да, процентов 80 пользователей очень упрощают свои пароли, типа: год рождения... Из оставшихся 20% - 2% точно спокойно могут такие пароли взломать. Эволюция видов, как бы...

--
Главное, не унывать!

Очень понравился этот пункт по защите паролей, шутники:

"4.Пользуйтесь проверенными менеджерами паролей. Тот же «Касперский» предлагает решение по хранению в зашифрованном виде списка всех ваших паролей. В этом случае вам нужно будет помнить только один мастер-пароль который вы сможете сделать суперстойким".

--

А насколько надежен отпечаток пальца , вместо букво-цифрового пароля?

--
Товарищ майора

А насколько надежен отпечаток пальца , вместо букво-цифрового пароля?

нинасколько.

тема, затронутая автором на самом деле отталкивает своей дебильностью.

ну прям всё дело в паролях и привет.

у меня ни на одном из компов, что рабочий, что домашний нет паролей ..... и даже не понимаю для чего их ставят. серьёзного человека тупые звёздочки не остановят, а дебила проще поймать после входа в систему.

вот что я бы порекомендовал ТС .... научи господ-толпу что такое аккаунт google.com и всё там сопутствующее, покажи, как легко этих товарищей найти на их Андроид-системах и для чего ты вообще эту байду затеял.

а то вроде и тема, а вроде и дебильная ............

ой ... а мне чё...... апять менять ник-пароль-ip- ..... простите отдел "К", что пишу постоянно с одного адреса, я больше так не буду)))

--
Евгений Волков

Очень понравился этот пункт по защите паролей, шутники:

"4.Пользуйтесь проверенными менеджерами паролей. Тот же «Касперский» предлагает решение по хранению в зашифрованном виде списка всех ваших паролей. В этом случае вам нужно будет помнить только один мастер-пароль который вы сможете сделать суперстойким".

А что именно Вас смутило? Слово "проверенными"? Под ним я подразумевал необходимость использования ПО от известных производителей, а не просто скачанное откуда-то из Интернета.

--

у меня ни на одном из компов, что рабочий, что домашний нет паролей ..... и даже не понимаю для чего их ставят. серьёзного человека тупые звёздочки не остановят, а дебила проще поймать после входа в систему.

Дайте угадаю: а вместо ремней безопасности у Вас в авто иконостас?:) На самом деле Вы тоже правы. Хотя бы потому, что забота о собственной безопасности это личное дело каждого. И ваша стратегия тоже имеет место быть.

--
Цифровой криминалист (автор)

у меня ни на одном из компов, что рабочий, что домашний нет паролей ..... и даже не понимаю для чего их ставят. серьёзного человека тупые звёздочки не остановят, а дебила проще поймать после входа в систему.

Дайте угадаю: а вместо ремней безопасности у Вас в авто иконостас?:) На самом деле Вы тоже правы. Хотя бы потому, что забота о собственной безопасности это личное дело каждого. И ваша стратегия тоже имеет место быть.

а ваша статья болше похожа на "ставьте пароль типа" : G@u7t478n 9785t875N3 hO;J UP9U0 и да будет вам счастье.

Марь-Ивановне данная статья ну ничем не поможет от взлома, как бы она пальцы и память не терроризировала.

А умные люди, как я выше писал, ловят на противоходе.... есть халявный компуктер безпароля, почиму бы на нём и не поработать и не вбить своби парольки... какая крысота)

кстати...

МарьИвановна. можно одолжить ваш смартфончик позвонить, я свой дома зобыл (а в компе вход в банк с аунтефикацией по смарту))) ахахаха

вот про это надо людям рассказывать.

--
Товарищ майора

А насколько надежен отпечаток пальца , вместо букво-цифрового пароля?

Как средство аутентификации биометрия в целом и «отпечаток пальца» в частности весьма хороши. Папиллярный узор уникален и подделать его проблематично - сканеры сейчас достаточно хорошего качества. Но если мы говорим о смартфонах, то «палец» не используется там без пароля. Всегда есть цифро-буквенный код.

--

--
*** Блага не дыра, а кратер *** Всегда есть подвох. Иисус, не был христианином.


Цифровой Криминалист

10 лет работаю в сфере информационной безопасности.
Специализируюсь на поиске цифровых следов, их анализе и ликвидации последствий кибер атак.
Думаете, ваша цифровая жизнь и бизнес под надежным замком? Давайте проверим.

отправить личное сообщение блогеру
Топ авторов за 7 дней все блогеры
Игорь Павлов

Фотографъ. Хранитель старины. Член творческого союза художников России.

Просмотров: 1515

Олеся Портнягина

Travel блогер

Просмотров: 583

Наталья Калинина

политический хулиган

Просмотров: 440

Денис Куликов

Просмотров: 348

Петр Глазунов

директор мебельного ателье

Просмотров: 234

Авторы блогов все блогеры
Евгений Волков

юрист-идеалист

вчера, 19:38
Святослав Шевченко

cвященник и видеоблогер

20 марта, 20:46
Игорь Павлов

Фотографъ. Хранитель старины. Член творческого союза художников России.

20 марта, 14:19
Светослав Ильиных

журналист

20 марта, 10:08
Олеся Портнягина

Travel блогер

19 марта, 22:33
Виталий Злочевский

юрист, риелтор, медиатор

19 марта, 22:10
Петр Глазунов

директор мебельного ателье

19 марта, 14:30
Наталья Калинина

политический хулиган

19 марта, 00:43
Галина Одинцова

Оптимистка. Иногда...

18 марта, 13:03
Денис Куликов
17 марта, 16:13
Марина Синельникова

Амурское отделение "Общества "Россия-Япония"

17 марта, 11:10
Игорь Волобуев

юрист

12 марта, 14:28
Сергей  Труш

Депутат Законодательного собрания Амурской области (ЛДПР), заместитель председателя фракции.

7 марта, 10:41
Антон Черноок
19 февраля, 15:43
Андрей Ягелло

финансист

8 февраля, 10:08
Правила раздела «Блоги»
  1. Настоящие правила обязательны для соблюдения авторами блогов (далее по тексту – Автор), а также посетителями раздела «Блоги».

  2. Раздел «Блоги» на Амур.инфо, расположенный по адресу http://blogs.amur.info, является интернет-площадкой, предназначенной для размещения Авторами информации и сведений, открытых для дискуссий на освещаемые ими вопросы.

  3. Содержание блога Автора определяется им самостоятельно исходя из его убеждений, является выражением субъективного мнения и суждений Автора, при учёте ограничений, установленных настоящими Правилами. Содержимое блога является интеллектуальной собственностью Автора. Автор обязуется в своих блогах соблюдать законодательство Российской Федерации, положения настоящих Правил. Содержание раздела «Блоги» не является продукцией средства массовой информации информационного агентства «Амур.инфо» или иного другого средства массовой информации.

  4. Автору принадлежат права административного доступа к своей странице, позволяющие ему производить управление блогом самостоятельно без участия и премодерации администрации сайта www.amur.info. Право редактирования содержания блога, в том числе комментариев к постам блога, принадлежит Автору и администрации сайта www.amur.info.

  5. Автор гарантирует, что сведения, распространяемые им в блоге, не нарушают авторских, смежных, патентных прав третьих лиц, права на товарный знак и т. д., а также не наносят ущерба чьим-либо чести, достоинству или деловой репутации.

  6. Не подлежат распространению в блогах сведения, содержащие государственную или иную специально охраняемую законами тайну; способствующие разжиганию расовой, национальной, социальной, религиозной нетерпимости или розни; призывающие к захвату власти, насильственному изменению конституционного строя или разрушению целостности Российской Федерации; пропагандирующие культ насилия или жестокости; побуждающие граждан к агрессивным и иным опасным действиям, способным нанести вред здоровью физических лиц или угрожающим их безопасности; содержащие текстовую, зрительную, звуковую информацию, нарушающую общепринятые нормы гуманности и морали путем употребления оскорбительных слов, сравнений, образов или унижающую честь, достоинство и деловую репутацию физических и (или) юридических лиц, а также избирательных объединений; порочащую государственные или религиозные символы Российской Федерации и иных государств, а равно использующую заведомо ложные сведения и умышленно вводящую в заблуждение относительно существующих или не существующих событий, обстоятельств, решений, характеристик.

  7. Не допускается распространение в качестве сообщений/материалов блогов сведений, являющихся предвыборной агитацией, политической рекламой/антирекламой.

  8. В период проведения избирательной кампании по выборам (вне зависимости от территории проведения) не допускается распространение в качестве сообщений/материалов блогов сведений, содержащих любое указание на наименование, символику, действия (бездействия) избирательных объединений, выдвинувших кандидатов, содержащих любое указание на персональные данные, изображения, действия (бездействия) выдвинутых кандидатов, проведение/опубликование результатов опросов общественного мнения, связанных с проводимыми выборами.

  9. В случае однократного нарушения Автором положений настоящего пункта, Администрация сайта www.amur.info производит блокировку блога Автора до дня окончания соответствующей избирательной кампании.

  10. В случае предъявления к администрации сайта  www.amur.info претензий/требований относительно противоправного использования сведений или результатов интеллектуальной деятельности, средств индивидуализации, использованных в блоге Автора, и/или вынесении решений уполномоченными органами государственной власти о наличии в размещаемых сведениях нарушений законодательства Российской Федерации Автор обязуется удовлетворить упомянутые претензии/требования за счет своих сил и средств.

  11. Администрация сайта www.amur.info не берет на себя обязанности, но оставляет за собой право осуществления контроля за содержанием блогов и размещаемых к ним комментариев, в том числе в целях пресечения нарушений законодательства Российской Федерации, положений настоящих Правил.

  12. Осуществление контроля со стороны Администрации сайта www.amur.info предполагает возможность без направления какого-либо уведомления удаления сообщений/материалов блогов и комментариев к ним, редактирования сообщений/материалов блогов и комментариев к ним, блокировки блога в случае неоднократного нарушения Автором положений настоящих Правил.

  13. Автор имеет возможность осуществлять постмодерацию комментариев к блогу. Автор обязан осуществлять контроль за содержанием комментариев к постам его блога и пресекать распространение сведений, предусмотренных п. 5-7 настоящих Правил.

  14. Комментарии к постам блога, не совпадающие с мнением Автора, являющиеся отражением критической позиции оппонента, выражающие критику в отношении позиции Автора, оценочные суждения, удалению не подлежат.

  15. Для участия в дискуссиях в разделе «Блоги» посредством оставления комментариев к постам необходима регистрация на форуме www.amur.info. При комментировании постов обязательными к соблюдению являются настоящие Правила и Правила общения на форуме Амур.инфо.

  16. Предметами дискуссий в разделе «Блоги» являются темы, поднимаемые их авторами. Обсуждение личностей авторов в комментариях к их записям не приветствуется, а в случае явных злоупотреблений пресекается. Не допускается распространение участником дискуссии сведений, предусмотренных п. 5-7 настоящих Правил.

  17. Участникам дискуссии рекомендуется соблюдать правила уважительного общения и внимательно прислушиваться к рекомендациям (указаниям) модераторов.

  18. В случае несоблюдения участником дискуссии настоящих Правил, правил Форума модератором или Автором подлежит применению способ контроля над действиями пользователей. Это  бан, заключающийся в лишении прав пользователя на создание/отправление новых сообщений или создание новых тем на Форуме, на комментирование в блогах. В случае если способ контроля применяется Автором, срок бана составляет 72 часа. В случае если его применил модератор, срок бана определяется им на свое усмотрение. По истечении периода времени бана ограничение автоматически снимается. Повторное применение указанного способа контроля по инициативе Автора может быть осуществлено снова только по истечении суток с момента снятия предыдущего бана.