Старший брат следит за тобой. Как защитить себя в цифровом мире - страница 11

Распространенных слабых паролей очень много, нет смысла перечислять их все. Важно понять принципы составления сложных паролей, которые окажутся не по зубам злоумышленникам. Для этого нужно руководствоваться несколькими рекомендациями, но сначала о том, как пароли взламывают.

Сложно составить надежный пароль, не понимая, как работают хакеры, мошенники, специалисты по информационной безопасности, следственные органы и спецслужбы. Зная об их приемах, можно проанализировать слабые места собственных кодовых фраз и сменить их, пока не стало слишком поздно. Итак, как злоумышленник может узнать/угадать/подобрать ваш пароль?

■ Силовой метод. Как правило, этот метод применяется к людям, которым действительно есть, что скрывать. Злоумышленник может требованиями, угрозами или с помощью физического воздействия заставить выдать пароль. Спецслужбы и органы правопорядка при этом могут ссылаться на закон, согласно которому они могут досмотреть содержимое устройства, но следует знать: в России закон не обязывает владельца разблокировать его для досмотра[24].

■ Перебор. Злоумышленник использует специальную программу, позволяющую в автоматическом режиме очень быстро перебирать пароли. Существует несколько видов перебора паролей[25]:

○ По базе данных. Этот вид атаки еще называется credential stuffing: киберпреступник перебирает регистрационные данные пользователей из ранее украденной или купленной базы данных. Поскольку взламываемый сервис может блокировать попытки многократного доступа с одного IP-адреса, как правило, запускается автоматизированный процесс перебора, в том числе и с применением бот-сетей. Тогда сервис считает обращения к серверу попытками авторизации реальных пользователей[26].

○ По словарю. Программа для взлома подключает специальные внешние файлы – словари, списки слов, которые могли применяться владельцами в виде паролей, например имена, фамилии, 10 000 самых популярных паролей, клички животных и т. д. (используются отдельные файлы для латиницы и других языков, включая кириллицу).

○ По маске. Атака по маске производится, когда известна часть пароля. Скажем, если злоумышленнику известно, что пароль начинается с буквы «а», то он может ее указать вместо первого символа вопроса в маске, и поиск будет произведен быстрее.

○ Брутфорс. Этот вид атаки, называемый также методом «грубой силы», подразумевает перебор всех допустимых комбинаций символов, вплоть до нахождения той, которая подходит в качестве пароля. Это самый надежный метод перебора пароля, при котором вычисление правильного пароля лишь вопрос времени. Но в случае особенно длинных несловарных паролей оно может занять миллионы лет.

○ Персональный взлом[27]. В этом случае атака (которая может сочетать разные способы подбора паролей) направлена на конкретного пользователя: взлом аккаунтов в социальных сетях, электронной почты, мессенджеров и т. п. Через интернет или иными путями злоумышленник старается узнать логин, личные данные и другую информацию, которая понадобится ему для подбора пароля. Злоумышленник вписывает в программу взлома адрес ресурса, к которому нужен доступ, и логин; подключает словарь и подбирает пароль. Составляя словарь, нарушитель пытается понять, какой логикой вы руководствовались при составлении пароля (использовали логин + 2 символа; логин, написанный задом наперед; самые распространенные пароли и т. п.), и применяет ее при подборе пароля. Также учитываются такие особенности, как название сайта (может использоваться в составе пароля), открытые данные пользователя (например, часто в виде паролей применяются даты рождения) и шаблонность комбинаций. Если злоумышленник охотится за определенным устройством, ему известна вся открытая информация о владельце (или даже закрытая, если нарушителем является родственник либо злоумышленник владеет приемами социальной инженерии). Еще играет роль психология людей, точнее, их склонность к шаблонному мышлению. Чтобы понять, что это такое, пройдите следующий тест: посмотрите на категории ниже и, не задумываясь, быстро назовите по одному слову из каждой категории: