Взлом в 2010 году серверов Gawker Media для пользователей, поскольку открыл им глаза на проблему простоты паролей и их многократного повторного использования на других сайтах. А вот был переломным моментом для хакеров. Получив доступ к огромному количеству паролей, хакеры смогли изучить «логику» пользователей и способы создания паролей.
Новые горизонты взлома
Большинство сайтов, даже весьма известных и часто посещаемых, используют очень легкие для последующей расшифровки алгоритмы. Специалист по безопасности Джереми Госни (Jeremi Gosney) говорит, что для взлома 90% из 6,5 миллиона паролей с известного сайта LinkedIn (для шифрования данных пользователей там используется алгоритм SHA1) ему понадобилось шесть дней, оставшиеся 10% удалось практически в полном объеме взломать за следующие сутки. При этом существуют и достаточно эффективные способы шифрования данных. Использование, например, алгоритма SHA-2 уже значительно усложнило бы хакерам получение паролей.
Таким образом, еще одна причина уязвимости паролей, в том числе и в интернете — использование слишком простых (сиречь «хорошо известных»)алгоритмов шифрования
Как же хакерам удается узнать пароль, если нет возможности «расшифровать» уже один раз зашифрованный пароль? Очень просто. Вместо того чтобы возвращать хеш-значению его первоначальный вид, можно наоборот, зашифровать предполагаемый пароль и сравнить полученный хеш с имеющимся в наличии. Поскольку алгоритмы шифрования известны — это не представляет никакой трудности.
Безусловно, пароли не хранятся на серверах в открытом доступе. Каждый отдельный пароль шифруется с использованием особого алгоритма и сохраняется в уже измененном виде как хеш-значение (например «aad3b435b51404eeaad3b435b51404ee»). Что важно — даже небольшое изменение в пароле, например добавление цифры либо изменение одной строчной буквы на заглавную, полностью изменяет хеш-значение. Способа вернуть хеш в его первоначальное, привычное для пользовательского глаза значение, не существует.
Такой список используемых паролей позволяет, к примеру, написать алгоритм, который учитывает наиболее часто встречающиеся правила по созданию пароля (например, комбинация имени и года рождения либо замена в словах буквы «E» на цифру «3», а буквы «Ч» на «4»), что сделает процесс взлома еще более быстрым.
Для самих хакеров все эти утечки информации о паролях и логинах пользователей, а также все увеличивающийся список «собранных» реальных паролей означает возможность еще более тщательно изучить привычки пользователей — например, в далеком 2009 году благодаря удалось получить доступ к 32 миллионам паролей.
В наши дни можно применять до нескольких миллиардов различных комбинаций в секунду и производить взлом тысяч паролей в день. А чтобы еще более ускорить процесс расшифровки паролей, к мощному аппаратному обеспечению (быстрому процессору и хорошей графической карте) можно добавить современные и доступные каждому бесплатные программы для взлома паролей. Для еще большей эффективности можно взламывать пароли сообща, группой хакеров, используя для координации действий онлайн-форумы или социальные сети. Вот уже который год в хакерском конкурсе участвуют и побеждают именно группы хакеров.
Значительная их часть оказалась самыми обычными словами, которые можно найти в словаре или в списке адресов, либо группами цифр!
Таким образом, как только злоумышленник получает доступ к одному аккаунту, это ставит под угрозу и прочие многочисленные профили пользователя, где был использован этот же пароль. Во-вторых — удивительная простота подавляющего большинства паролей.
Ситуация с украденными паролями раскрыла две очень большие проблемы. Во-первых, многие пользователи пользовались одним и тем же паролем для входа на несколько сайтов. По компании «Майкрософт» за 2007 год пользователь использует в среднем 6,5 паролей для своих 25 аккаунтов.
Типичные и нетипичные проблемы
Данная обзорная статья кратко рассказывает как о старых трендах по взлому паролей, так и новых — статанализу, позволяющему исследовать особенности составления паролей на базе больших баз уже украденных паролей, чтобы применять эти особенности при «избирательно-оптимизированном брутфорсе» в будущих т.н. .
В 2010 году группа хакеров смогла проникнуть на серверы холдинга и получить доступ к более чем полутора миллионов пользовательских аккаунтов. Данные были зашифрованы , который оказался слишком легким для взлома. Часть данных позднее появилась в свободном доступе в интернете, что только усугубило ситуацию. Это привело к тому, что многие компании, такие как Twitter, Google и Yahoo, попросили своих пользователей изменить существующие пароли к аккаунтам.
Не так давно на известном западном сайте появилась на тему информационной безопасности, которая может послужить нелишним предостережением не только для чайников. В двух словах, о чем в ней идет речь?
Просмотров: 1540Слабые пароли или сильные хакеры?
Эксклюзивные ИТ-новости, обзоры и интервью
Слабые пароли или сильные хакеры?
Комментариев нет:
Отправить комментарий