Як користувачі полегшують роботу хакерів
В інтернеті найпопулярніший колір - блакитний. Принаймні, саме такий відтінок найчастіше зустрічається в паролі користувачів.
Експерти пояснюють це тим, що багато популярних веб-сайтів на кшталт Facebook, Twitter і Google використовують цей колір в своїх логотипах.
Користувачі підсвідомо запам'ятовують це і роблять вибір на користь блакитного відтінку при створенні пароля.
Це не єдина особливість людської психології: дослідження показують, що руді жінки вибирають найважчі паролі, а чоловіки з пишними бородами - найслабші.
Слабка стать також прагне вибрати пароль достовірніше, а сильний схильний використовувати різні паролі.
Завдяки знанню призначених для користувача слабкостей складне завдання по підбору паролів стає для хакерів практично дитячим розвагою.
Якщо у вас є домашній вихованець, не використовуйте його ім'я в паролі
Основним джерелом подібних даних про психологію користувачів для кіберзлоумишленніков є величезні бази паролів, які вдавалося скопіювати з популярних веб-сайтів і онлайнових сервісів.
Відомі ресурси, такі як Adobe, LinkedIn або ігровий сайт RockYou, часто перебувають під комп'ютерними атаками. Останні іноді закінчуються витоком логінів і паролів споживачів. Число подібних випадків, коли великий сервіс ставав жертвою злому, а користувачі змушені міняти свої облікові дані, обчислюється вже десятками. Завдяки цьому кіберзлочинцям вдалося пролити світло на переваги людей при виборі паролів.
Основний висновок з накопиченої інформації радісний для хакерів: користувачі вибирають собі погані паролі. Правда, фахівці радять про це не сильно переживати: всі ми люди. «Ви повинні пам'ятати, що ми всі люди і всі ми робимо помилки», - говорить фахівець з комп'ютерної безпеки Пер Торсхайм.
За його словами, хорошим паролем буде фраза або комбінація символів, яка мало стосується особистості людини. Але люди часто вибирають слова або числа, які відносяться до їх персональних даних. Вони використовують в якості пароля дні народження, весілля, імена дітей, домашніх улюбленців або улюблених поп-зірок.
Особливо помітно, що користувачі вибирають слабкі паролі, коли їх просять встановити чотиризначний цифровий пін-код. Статистика показує, що з усіх 10 тисяч можливих варіантів люди користуються лише невеликою кількістю. До 80% всіх чотиризначних пін-кодів - це всього лише 100 чисел.
Раніше основним інструментом для злому облікових записів був «брутфорс» - перебір всіх можливих комбінацій, що вимагало багато часу і потужного комп'ютера. Однак знання того, що вибирають користувачі, змінило способи отримання паролів. Тепер «брутфорс» - це самий останній спосіб. «Сьогодні тактика брутфорса - це найостанніша, яку будуть використовувати», - зазначає Торсхайм.
Метод «брутфорса» є універсальним засобом для злому, але займає багато часу. Все через те, що зловмисник послідовно перебирає кожну можливу комбінацію, число яких зростає в геометричній прогресії з кожним додатковим символом в паролі. Наприклад, для пін-коду з 4 цифр максимальне число варіантів становить 10 тисяч. А для 5 цифр це вже 30,2 тис можливих комбінацій.
При цьому зломщик повинен пройти весь шлях з самого початку до тих пір, поки не знайде успішний пароль, який може виявитися останнім в списку. Наприклад, якщо користувач вибрав «zzzzzzz», то зловмисник повинен почати з фрази «ааааааа» і, послідовно змінюючи літери, відправляти пару логін / пароль на перевірку. Щоб дійти таким способом до «zzzzzzz», знадобиться багато часу.
Зловмисники знайшли оригінальний вихід для використання «брутфорса» в реальному житті: вони замість одного надпотужного комп'ютера використовують безліч малопотужних. Останні їм надають самі користувачі, які заражаються вірусами і стають частиною ботнетів. Маючи кілька мільйонів комп'ютерів в підпорядкуванні, перебрати варіанти від «ааааааа» до «zzzzzzz» стає завданням на кілька хвилин.
Вломать паролі, щоб зробити їх безпечніше
Зломом паролів займаються не тільки зловмисники, а й фірми з комп'ютерної безпеки. Для цього вони використовують ті ж бази «викрадених» облікових записів, що і кіберзлочинці. Однак замість отримання доступу до чужих даними експерти таким чином отримують інформацію про те, які паролі вибирають користувачі. Це дозволяє їм давати поради щодо вибору максимально надійних паролів.
Ця функція працює таким чином, що для одного і того ж набору символів завжди буде давати випадковий на вигляд набір чисел і букв. Наприклад, якщо обробити популярної хеш-функцією MD5 число 123456, тоді на виході вийде рядок «e10adc3949ba59abbe56e057f20f883e».
Сьогодні хеш-функції хоч і затримують зловмисників, але вже не здатні їх зупинити. Все завдяки роботі комп'ютерного експерта Яніса Крісансо з компанії KPMG. Під час навчання в університеті він розробив базові правила по злому паролів.
Завдяки його підходу пароль виду «Ph'nglui mglw'nafh Cthulhu R'lyeh wgah'nagl fhtagn» вже не є достатньо надійним. На перший погляд може здатися, що це випадковий набір букв і знаків, однак освічена людина побачить тут фразу з твору відомого письменника жахів Говарда Лавкрафта.
Все, що ви повідомляєте в соцмережах, може стати ключем до вашого паролю
«Погані хлопці намагаються зламати паролі через те, що вони знають правду про людей, - каже комп'ютерний експерт Брюс Маршал. - Люди ледачі ». Дослідження показують шанс в 70% того, що пов'язаний з електронною поштою пароль буде використовуватися для реєстрації на інших сайтах. Саме з цієї причини багато кіберзлоумишленнікі «ламають» маленькі ресурси, які не мають складної системи безпеки.
Отримані у них паролі вони потім відчувають на інших більших веб-сайтах. «Якщо зловмисник зламує пароль, тоді є велика ймовірність, що вони отримали їх на якомусь сайті і потім пробують їх на додаткових облікових записах», - зазначає Маршал.
Користувачі можуть протистояти кіберзлоумишленнікам. Для цього потрібно використовувати складні комбінації фраз для пароля, уникати персональних даних в паролі і регулярно їх міняти. Також не варто використовувати паролі від важливих сервісів на зразок онлайн-банкінгу на різних сумнівних сайтах. Найкраще для подібних служб мати свої унікальні облікові дані, які більше ніде не використовуються.