Слаби пароли или силни хакери

Ексклузивни IT новини, рецензии и интервюта

Слаби пароли или силни хакери?

слаби

Типични и нетипични проблеми

За самите хакери всички тези течове на информация за пароли и влизания на потребители, както и непрекъснато увеличаващ се списък от „събрани“ истински пароли, означават възможност за още по-задълбочено изучаване на навиците на потребителите - например през 2009 г., благодарение на хакването на услугата за онлайн игри RockYou.com, те успяха да получат достъп до 32 милиона пароли.

Разбира се, паролите не се съхраняват на сървъри в публичното пространство. Всяка отделна парола се криптира с помощта на специален алгоритъм и се съхранява във вече модифицирана форма като хеш стойност (напр. "aad3b435b51404eeaad3b435b51404ee"). Важното е, че дори малка промяна в паролата, като добавяне на число или промяна на една малка буква с главна, напълно променя хеш стойността. Няма начин хешът да се върне към първоначалната му стойност, която е позната на окото на потребителя.

силни

Как хакерите успяват да разберат паролата, ако няма начин да „дешифрират“ вече шифрованата парола веднъж? Много просто. Вместо да връщате хеш стойността в оригиналната й форма, можете, напротив, да шифровате желаната парола и да сравните получения хеш с наличния. Тъй като алгоритмите за криптиране са известни, това не представлява никаква трудност.

Така друга причина за уязвимостта на паролите, включително в интернет, е използването на твърде прости (т.е. „добре познати“) алгоритми за криптиране

Повечето сайтове, дори много известни и често посещавани, използват алгоритми, които са много лесни за последващо дешифриране. Специалистът по сигурносттаДжереми Госниказва, че заотне му шест дни, за да разбие 90% от 6,5 милиона пароли от добре познатия сайтLinkedIn(те използват алгоритъма SHA1 за криптиране на потребителски данни), останалите 10% бяха почти напълно разбити на следващия ден. В същото време има доста ефективни начини за криптиране на данни. Използването, например, на алгоритъма SHA-2 вече би направило много по-трудно за хакерите да получат пароли.

Нов хак Horizons

Хакването през 2010 г. на сървърите наGawker Mediaбеше момент на истината за потребителите, тъй като им отвори очите за проблема с опростяването на паролата и повторната употреба на други сайтове. Но хакването на RockYou през 2009 г. беше повратна точка за хакерите. Имайки достъп до огромен брой пароли, хакерите успяха да проучат "логиката" на потребителите и как да създават пароли. Благодарение на това стана възможно да се премине от много дълга атака чрез просто изброяване към по-сложни, но качествено различни методи.

Известно е, че при създаване на парола, вместо неразбираема и изключително трудна за запомняне комбинация от цифри и букви, потребителите са много по-склонни да използват познати думи, а често и имена или фамилии като цяло. Начините за усложняване на простата ви парола също са често срещани

Някои потребители в края на паролата, след името или думата, добавят няколко числа - напримерkatia1977. Други започват думата (първата или всяка, ако паролата е съставна) с главна буква, като например "NewPass". Като заместители на букви най-често се използват специални символи и цифри - например буквата E се заменя с цифрата 3, а буквата S се заменя със символа $. Понякога думата "огледала" еpassworddrowssap.

Пример за този вид атака е методът на атака с хибриден речник.

атом,член на екипаHashcat, който спечели тазгодишното състезание за хакерство „Разбийте ме, ако можете“, казва, че това е любимият му вид атака. Той казва:

Тя е най-ефективната. Ако получа нов хеш списък, да речем 500 000 хеш реда, тогава мога да разбия 50 процента само като използвам "хибрид". Този тип атака ви позволява да създавате свои собствени начини за промяна на думите и проверка на получената парола според определените правила за съответствие.

хакери

Например, можете да зададете правило, при което първата буква на паролата ще бъде главна, след пет знака ще има две цифри и след това друга дума с първата главна буква. Думите за заместване обикновено се вземат от списъка с думи във всеки речник. Специална програма за хибридна атака генерира голям списък от комбинации, създадени с помощта на този конкретен установен набор от правила. Ако не успее, се създава нов набор от правила и се генерира нов списък с комбинации.

Колкото по-добре хакерът познава навиците на потребителя, толкова по-бързо ще бъде позната паролата. А познаването на навиците неизменно идва с нов опит и нови списъци с разбити пароли

Друг "подобрен" начин за разбиване на парола е използването на дъгови (предварително изчислени) таблици. Концепцията е доста проста и ясна: вместо да сортирате всички възможни комбинации от букви и цифри, да създавате хеш код въз основа на тях и да го сравнявате с дефинираната „парола“, се предлага да се създадат вериги от възможни пароли.

Изграждането на веригата започва с произволна предположена парола, която преминава през алгоритъм за криптиране, за да се получи хеш стойност. След това тази стойност се обработва от функцията за намаляване, за да се получи нова хеш стойност. Процесът продължава до достигане на края на веригата (междинни стойностисе изтриват, записват се само първата и последната стойност). Важно е да се отбележи, че таблиците работят само за алгоритмите, за които са създадени (например MD5 таблици за пароли, които използват MD5 хеширане).

3 прости правила

През последните години подобрената мощност на персоналните компютри, съчетана с разпространението на мощни графични карти, направи този метод по-малко търсен (компютърната мощност ви позволява да „вземете“ парола със средна сложност с ускорени темпове, по-бързо от формирането и разработването на дъгова таблица). Броят на вече съществуващите таблици на специални хакерски сайтове обаче се увеличава всяка секунда и следователно този метод все още не е загубил своята релевантност.

пароли

За съжаление, въпреки очевидните ползи от използването на „сол“, уебсайтовете не използват този метод за криптиране на информация и личните данни на милиони потребители са изложени на опасност всеки ден. Остава само да се надяваме, че ситуацията ще бъде решена по удобен за потребителя начин - твърде много лично сега се съхранява във виртуалното пространство на световната мрежа.