Често задавани въпроси

Глупави въпроси няма, има само глупави отговори…

абонаменти

За ЧЗВ.нет

Хранилище на отговори на Често Задавани Въпроси. Като начало - основно в сферата на IT ( ИТ, Информационни Технологии... абе компютрите ). Ако не можете да намерите отговора на това, което живо ви интересува - питайте на vupros@chzv.net (опашката от чакащи отговори въпроси се намира на тук ) И за да не се заяждате за транслитерацията можете да изпращате и на vapros@chzv.net, vaprosi@chzv.net, question@chzv.net, faq@chzv.net...

Категории

Блогове

Как се хакват пароли - част първа: Отгатване

August 9th, 2008 от singu

Till_Logon_Access_239125_l.jpgТъй като “хакване на парола” е почти най-популярното търсене, с което хора пристигат тук, сядам да пиша как всъщност се прави. За съжаление на повечето тинейджъри - не става като във филмите с четири цъкания с мишката и умен поглед на небръснатия главен герой.

С “хакване на парола” всъщност означава узнаването на паролата на даден човек, с която той удостоверява самоличността си в било то компютър, банкова карта или каквото там иска парола ( усещате ли се вече за колко незаконни действия става въпрос ? ).

Може би тук е мястото да кажа: тази статия е информативна и цели да даде достатъчно информация на потребителите, за да могат да измислят сигурни пароли и да се защитят ефективно. Авторът/ите не носят никаква отговорност за действията на хората, прочели статията, още по-малко за тяхното арестуване, осъждане, понасяне на телесни повреди и т.н. Dixi !

И да се върнем на темата - начините по които можем да узнаем дадена парола са няколко:

  1. Подслушване - можем с помоща на keylogger например, камера ( както се подслушват пиновете при доста скимери ) или просто с гледане в ръцете на пишещия си паролата, можем да я узнаем. Защитата срещу това са динамично генерирани пароли ( например с токени или списък с еднократни пароли) и разбира се елементарната предпазна мярка: уверете се, че никой не ви в клавиатурата, докато си въвеждате паролата
  2. Bruteforce атака - най-общо казано представлява последователно пробване на всички възможни пароли ( ААА, ААБ, ААВ и т.н. ). Най-често това се прави със софтуер, поради огромният обем на работа. Защитата срещу брутфорс атака са сигурните пароли ( с използване на малки и големи букви, символи и т.н. ), избягването на думи в паролата ( защото повечето атаки започват с пробване на думи от речник ) и т.н.
  3. Отгатване на паролата, което всъщност цели ускоряване на брутфорс атаката, като се ограничат пробваните комбинации. Основно това се постига с анализ на данните за потребителя и начина по който си е измислил паролата.

И така ключовата стъпка днес - как хората измислят пароли ?

Съгласно статистиката 20% от хората използват:

  1. Името на партньора ( съпруг/а, приятел/ка и т.н. ), име на домашен любимец, понякога последвано от 0 или 1 ( защото винаги ти казват да използваш и цифри, нали ? )
  2. Последните 4 цифри от ЕГН-то ( защото никой никога няма как да го разбере )
  3. 123, 1234, 123456, qwe, qwerty, qwe123
  4. “password” или “parola” - в зависимост от познанието на език
  5. Града, училището или футболният отбор - това последното работи основно при мъже
  6. Дата на раждане - на човека, на партньора ( виж 1 ) или най-вече на детето
  7. “god”
  8. “letmein” или “vlizane”, “pusnime” с малко вариации тук-там

За останалите 80% просто трябва малко повече зор - най-често с използването на модифицирана брутфорс атака ( ето списък с най-популярните инструменти за хакване на пароли ), която пробва различни комбинации от личната информация на човек. В повечето случаи тази информация е повече или по-малко лесно достъпна, много често само с няколко въпроса към Google.

Друга характерна черта е, която допринася за сигурността е, че повечето хора използват една парола за всичко - достъп до он-лайн банкиране, достъп до любими форуми и т.н. Само идиот би пробвал брутфорс срещу атака на банка, но пък повечето форуми са много слабо защитени и администратцията им е под всякаква критика. Веднъж отгатната комбинацията потребителско име+парола ще бъде пробвана на много места. В най-лошият случай атакуващия ще прегледа какви кукита има в кеша на браузъра ви и по този начин ще разполага с приличен списък на посещаваните от вас сайтове, където да се пробва. Друг популярна атака е компрометирането на електронната поща, която обикновенно е със слаба парола и/или глупав таен въпрос, защото хората считат, че в пощата си нямат нищо тайно. В тази връзка - най-фрапиращият случай, който съм виждал за таен въпрос е “кой номер обувки нося?” - отгатва се максимум с 10 проби. След компрометирането на пощата ( и то ако е web-базирана поща е почти невъзможно да си я върнете обратно ) следва разходка по сайтовете, които посещавате и щракане на линкове “забравих си паролата, изпратете ми нова по пощата”, в резултат на което ефективно си губите достъпа до тези всички сайтове, ICQ или Skype акаунти и т.н…. доста неприятно, нали ?

И всичко това се случва, защото от мързел сте избрали лесна парола.


Очаквайте следващата статия на тема как да изберем сигурна парола.

Technorati : , , ,

Подобни статии:

  1. Статистики за пароли
  2. Хакване на пароли 2 - Заобикаляне на паролата
  3. Разбиване на пароли с видеокарта

Публикувано в Мрежи, Сигурност |

9 коментара

  1. Свилен Иванов пише:
    August 10th, 2008 at 2:19 pm

    Добра статия, дано не се използва за лошо, а напротив - хората да разберат как да пазят личните си данни по-добре.

  2. admin пише:
    August 10th, 2008 at 5:01 pm

    Ето и една интересна статистика от хакването на myspace преди едно известно време. Топ 20 на паролите там е следният ( в тази последнователност):
    password1, abc123, myspace1, password, blink182, qwerty1, fuckyou, 123abc, baseball1, football1, 123456, soccer, monkey1, liverpool1, princess1, jordan23, slipknot1, superman1, iloveyou1 и monkey.

  3. Михаил Петров пише:
    August 11th, 2008 at 12:17 pm

    Това са глупости. Всяка себе си уважаваща организация взема предпазни мерки срещу такива атаки. Например: Сложна парола - букви+цифри+символи, Криптиране на пакетите между сървър и потребител, Специални мерки за съхранение на пароли и т.н. Така, че моите уважения, но това в много случай не работи.

  4. zaheto пише:
    August 11th, 2008 at 1:40 pm

    Значи тази статия където си я писал/превел съм я чел сигурно преди 3 години :)

  5. mmmmmm пише:
    August 11th, 2008 at 4:22 pm

    Хакни ме бе Много важно И каквоще прочеш.Глупости

  6. singu пише:
    August 11th, 2008 at 5:07 pm

    Михаил Петров: Тези изисквания са именно заради мързела на хората, и навиците им да използват една и съща глупава парола. Проблемът е, че няма кой да те накара да го направиш това на личната си поща например.
    zaheto: сигурно - за съжаление от преди 3 години няма почти никаква промяна в манталитета на потребителите.
    mmmmmm: Като няма какво да се прочете и не ти пука, защо направо не си публикуваш паролата, м ? Пък и за ефективно отгатване на парола трябва по-сериозно познаване или проучване на “жертвата”.

  7. Често задавани въпроси » Blog Archive » 12 правила да изберете сигурна парола пише:
    August 15th, 2008 at 2:56 am

    [...] засегнахме темата за хакването на пароли и споменах, че най-добрата защита е измислянето на [...]

  8. Често задавани въпроси » Blog Archive » Интересна история за хакване на парола за онлайн банкиране пише:
    August 20th, 2008 at 11:31 pm

    [...] темата ви е интересна - прочетете Как се хакват пароли - част 1 и Как да изберем сигурна [...]

  9. Често задавани въпроси » Blog Archive » Хакване на пароли 2 - Заобикаляне на паролата пише:
    September 16th, 2008 at 11:32 am

    [...] се хаква парола”. Не забравяйте да погледнете част 1 и част 1.5 на [...]

Коментирайте

Внимание: Модерирането на коментари е включено и може да доведе до забавяне на публикуването на вашият коментар. Моля за търпение.