Як крадуть наші паролі

Всім доброго часу доби. Закінчилися передноворічні аврали і зимові канікули і пора вже щось написати в блог. Перший запис в цьому році я хочу присвятити лікнепу по методам крадіжки паролів на противагу одній з попередніх публікацій: Коли вас «зламали» не обов'язково бігти міняти всі паролі. Відразу варто уточнити, що матеріал спрямований на неспеціалістів із захисту інформації та носить ознайомлювальний характер. Хоча, можливо, фахівці теж зачерпнути для себе щось нове.

Як би все не ненавиділи паролі, це донині залишається найбільш популярним засобом ідентифікації, але, на жаль, іноді у нас їх крадуть. Частково проблему допомагає вирішити двухфакторная аутентифікація, але лише частково і лише для найбільш критичних сервісів.

Тут тільки побіжно згадаю про такі очевидні речі, як про паролі на стікерах, які приклеєні до монітора або на папірцях під клавіатурою. Під підгляданням тут можна розуміти і підглядання процесу набору пароля. Тобто пароль краще вводити, коли за процесом ніхто не спостерігає. Є люди з цікавими здібностями. Наприклад, один мій знайомий посперечався зі мною, що подивиться, як я вводжу пароль на ноутбуці, а потім повторить введення цього пароля сам. І дійсно повторив. Я дуже здивувався, тому що володію сліпим десятипальцевим набором і можу ввести свій пароль дуже швидко. Виявилося, що у знайомого якась особлива фотографічна пам'ять. Небезпечна людина =)

Протидія методу: не вводьте пароль, коли хтось стоїть поруч і дивиться на ваші руки. Не вводьте пароль на недовірених пристроях. Якщо все ж довелося, подбайте про очищення інформації про паролі і cookies. До того ж на недовірених пристроях можуть бути встановлені кейлоггери.

Ми плавно перейшли від інтуїтивних і шахрайських технік викрадення паролів до технічних. Перша з них це підбір паролів за словниками. Мабуть, навіть неспеціалісти в області інформаційної безпеки чули з новин про великих витоках паролів до поштових скриньок на різних поштових сервісах. Як потім з'ясувалося більшість з цих витоків було пов'язано не з зломами серверів постачальника послуг, а з банальним підбором паролів до поштових скриньок за словниками. Більшість паролів «зламаних» поштових скриньок являли собою комбінації типу «123456», «qwerty» і тому подібні. У розділі «Матеріали» я виклав парочку словників з паролями (їх можна поповнювати самостійно), які можна використовувати як в різних інструментах типу John the Ripper або Hydra. або для перевірки банальним пошуком чи є в словнику ваш пароль. Якщо є, то терміново міняємо!

Протидія методу: використання складних, які не словникових паролів.

Назва методу походить від двох англійських слів: brute - груба і force - сила. З назви інтуїтивно зрозуміло, чим цей метод відрізняється від попереднього - тут просто перебираються всі можливі комбінації пароля. Метод витратний за часом і по ресурсах, адже для підбору таким методом потрібні чималі обчислювальні ресурси. Тому до такого методу зловмисники вдаються тільки в крайніх випадках. Зменшити час підбору може дозволити, наприклад, знання точної довжини пароля або знання того, що в паролі точно немає спеціальних символів і цифр. Таким чином, скорочується кількість можливих комбінацій.

Протидія методу: використання довгих хаотичних паролів і періодична зміна паролів.

Райдужні таблиці, якщо дуже грубо говорити дозволяють відновити пароль по хешу. Повний процес звичайно набагато складніше, ніж здається. Тому, кому цікаво ознайомитися з технологією докладніше, можна почати зі сторінки в вікіпедії. Здавалося б, що за допомогою райдужних таблиць можна було б зламати майже будь-який пароль, але і тут є свої складності для зловмисника. Якщо при Брутфорс потрібні тимчасові та ресурсні витрати на сам перебір, то в разі райдужних таблиць те ж саме потрібно для генерації цих самих таблиць. При цьому будь-який набір райдужних таблиць буде мати безліч обмежень, до них відносяться: обмеження на довжину пароля, обмеження на набір символів, обмеження на конкретний алгоритм хешування. В мережі в загальному доступі можна знайти райдужні таблиці для підбору паролів не довше 6 символів, які містять тільки букви англійського алфавіту обох регістрів, але без спецсимволов і цифр. Але ось уже за щось серйозніше просять грошей.

Протидія методу: засолювання хешів. На жаль, даний вид протидії доступний тільки на рівні адміністраторів сервісів і ніяк не залежить від дій кінцевого користувача.

Під гібридними методами розуміється поєднання різних методів, наведених вище, в сукупності. Насправді, приклад використання методів «брутфорс» + «підглядання» вже був наведений вище. Наприклад, зловмисник може підглянути НЕ пароль цілком, а лише символи, з яких складається пароль. Це дозволить йому в параметрах при Брутфорс вказати тільки потрібні символи, а всі інші виключити з перебору, тим самим істотно скоротивши кількість можливих комбінацій.

Ще один приклад гібридного методу: береться словникове слово і в ньому робляться заміни букв на спецсимволи. Наприклад, береться словниковий пароль «password» і пробуються комбінації «password123», «p @ ssword», «pa $$ w0rd» і т. Д.

Протидія гібридним методам полягає в використанні всіх методик протидії, наведених вище.