Как се хакват пароли – част първа: Отгатване
August 9th, 2008 от singu
Тъй като “хакване на парола” е почти най-популярното търсене, с което хора пристигат тук, сядам да пиша как всъщност се прави. За съжаление на повечето тинейджъри – не става като във филмите с четири цъкания с мишката и умен поглед на небръснатия главен герой.
С “хакване на парола” всъщност означава узнаването на паролата на даден човек, с която той удостоверява самоличността си в било то компютър, банкова карта или каквото там иска парола ( усещате ли се вече за колко незаконни действия става въпрос ? ).
Може би тук е мястото да кажа: тази статия е информативна и цели да даде достатъчно информация на потребителите, за да могат да измислят сигурни пароли и да се защитят ефективно. Авторът/ите не носят никаква отговорност за действията на хората, прочели статията, още по-малко за тяхното арестуване, осъждане, понасяне на телесни повреди и т.н. Dixi !
И да се върнем на темата – начините по които можем да узнаем дадена парола са няколко:
- Подслушване – можем с помоща на keylogger например, камера ( както се подслушват пиновете при доста скимери ) или просто с гледане в ръцете на пишещия си паролата, можем да я узнаем. Защитата срещу това са динамично генерирани пароли ( например с токени или списък с еднократни пароли) и разбира се елементарната предпазна мярка: уверете се, че никой не ви в клавиатурата, докато си въвеждате паролата
- Bruteforce атака – най-общо казано представлява последователно пробване на всички възможни пароли ( ААА, ААБ, ААВ и т.н. ). Най-често това се прави със софтуер, поради огромният обем на работа. Защитата срещу брутфорс атака са сигурните пароли ( с използване на малки и големи букви, символи и т.н. ), избягването на думи в паролата ( защото повечето атаки започват с пробване на думи от речник ) и т.н.
- Отгатване на паролата, което всъщност цели ускоряване на брутфорс атаката, като се ограничат пробваните комбинации. Основно това се постига с анализ на данните за потребителя и начина по който си е измислил паролата.
И така ключовата стъпка днес – как хората измислят пароли ?
Съгласно статистиката 20% от хората използват:
- Името на партньора ( съпруг/а, приятел/ка и т.н. ), име на домашен любимец, понякога последвано от 0 или 1 ( защото винаги ти казват да използваш и цифри, нали ? )
- Последните 4 цифри от ЕГН-то ( защото никой никога няма как да го разбере )
- 123, 1234, 123456, qwe, qwerty, qwe123
- “password” или “parola” – в зависимост от познанието на език
- Града, училището или футболният отбор – това последното работи основно при мъже
- Дата на раждане – на човека, на партньора ( виж 1 ) или най-вече на детето
- “god”
- “letmein” или “vlizane”, “pusnime” с малко вариации тук-там
За останалите 80% просто трябва малко повече зор – най-често с използването на модифицирана брутфорс атака ( ето списък с най-популярните инструменти за хакване на пароли ), която пробва различни комбинации от личната информация на човек. В повечето случаи тази информация е повече или по-малко лесно достъпна, много често само с няколко въпроса към Google.
Друга характерна черта е, която допринася за сигурността е, че повечето хора използват една парола за всичко – достъп до он-лайн банкиране, достъп до любими форуми и т.н. Само идиот би пробвал брутфорс срещу атака на банка, но пък повечето форуми са много слабо защитени и администратцията им е под всякаква критика. Веднъж отгатната комбинацията потребителско име+парола ще бъде пробвана на много места. В най-лошият случай атакуващия ще прегледа какви кукита има в кеша на браузъра ви и по този начин ще разполага с приличен списък на посещаваните от вас сайтове, където да се пробва. Друг популярна атака е компрометирането на електронната поща, която обикновенно е със слаба парола и/или глупав таен въпрос, защото хората считат, че в пощата си нямат нищо тайно. В тази връзка – най-фрапиращият случай, който съм виждал за таен въпрос е “кой номер обувки нося?” – отгатва се максимум с 10 проби. След компрометирането на пощата ( и то ако е web-базирана поща е почти невъзможно да си я върнете обратно ) следва разходка по сайтовете, които посещавате и щракане на линкове “забравих си паролата, изпратете ми нова по пощата”, в резултат на което ефективно си губите достъпа до тези всички сайтове, ICQ или Skype акаунти и т.н…. доста неприятно, нали ?
И всичко това се случва, защото от мързел сте избрали лесна парола.
Очаквайте следващата статия на тема как да изберем сигурна парола.
Подобни статии:
August 10th, 2008 at 14:19
Добра статия, дано не се използва за лошо, а напротив – хората да разберат как да пазят личните си данни по-добре.
August 10th, 2008 at 17:01
Ето и една интересна статистика от хакването на myspace преди едно известно време. Топ 20 на паролите там е следният ( в тази последнователност):
password1, abc123, myspace1, password, blink182, qwerty1, fuckyou, 123abc, baseball1, football1, 123456, soccer, monkey1, liverpool1, princess1, jordan23, slipknot1, superman1, iloveyou1 и monkey.
August 11th, 2008 at 12:17
Това са глупости. Всяка себе си уважаваща организация взема предпазни мерки срещу такива атаки. Например: Сложна парола – букви+цифри+символи, Криптиране на пакетите между сървър и потребител, Специални мерки за съхранение на пароли и т.н. Така, че моите уважения, но това в много случай не работи.
August 11th, 2008 at 13:40
Значи тази статия където си я писал/превел съм я чел сигурно преди 3 години
August 11th, 2008 at 16:22
Хакни ме бе Много важно И каквоще прочеш.Глупости
August 11th, 2008 at 17:07
Михаил Петров: Тези изисквания са именно заради мързела на хората, и навиците им да използват една и съща глупава парола. Проблемът е, че няма кой да те накара да го направиш това на личната си поща например.
zaheto: сигурно – за съжаление от преди 3 години няма почти никаква промяна в манталитета на потребителите.
mmmmmm: Като няма какво да се прочете и не ти пука, защо направо не си публикуваш паролата, м ? Пък и за ефективно отгатване на парола трябва по-сериозно познаване или проучване на “жертвата”.