По данным менеджера паролей NordPass, более 70% паролей можно взломать всего за секунду. Каким образом хакеры получают доступ к чужим аккаунтам и как защитить персональные данные, рассказываем в статье.
Чем опасен взлом пароля
Взлом пароля — неприятная ситуация, которая может произойти с каждым. Чаще всего взламывают аккаунты, защищенные слишком простым паролем, например «qwerty» или «12345». Пользователю проще запомнить что-то очевидное, чем составлять сложную комбинацию из букв и цифр.
При взломе аккаунта посторонние люди могут получить:
- доступ к личным фото, перепискам и документам;
- прямой доступ к деньгам (платежным системам, банковским аккаунтам);
- возможность для шантажа.
А при взломе серверов и аккаунтов администратора — полный контроль над сайтом и размещенной информацией. Чтобы понять, как защититься от хакеров, необходимо разобраться, как им удается взломать любой пароль.
Способ 1. Атака со словарем
У хакеров есть собственный словарь — txt-файл, который содержит комбинации наиболее часто встречающихся паролей.
Он включает не только обычные слова вроде «password», но и популярные словосочетания: «симсимоткройся», «ясуперадмин», «пароль12345» и пр.
Во время хакерской атаки программа автоматически перебирает комбинации, пока не найдет нужную. Уберечься от взлома поможет только сложный и уникальный пароль, которого нет в словаре.
Список паролей, которые можно взломать меньше, чем за секунду:
Способ 2. Атака грубой силой
Метод грубой силы, или brute force, похож на атаку по словарю, но программа перебирает все возможные варианты, а не только те, что пользователи используют чаще всего. Например, если пароль состоит из 9 символов, то программа будет генерировать случайные последовательности до тех пор, пока не найдет нужную комбинацию. Чем длиннее пароль, тем сложнее взломать код. Защитить от подобных атак может администратор сайта, ограничив число попыток доступа.
Если взлом пройдет успешно, хакеры обязательно попробуют зайти с тем же паролем и в другие ваши аккаунты. Именно поэтому так важно придумывать уникальный пароль для каждого сервиса.
Способ 3. Радужные таблицы
Радужная таблица — список предварительно вычисленных хэшей (зашифрованных паролей). Когда мы регистрируемся на сайте, его владелец не хранит пароли на сервере в неизменном виде, а использует специальный алгоритм хеширования. Их существует несколько, например sha1, md5, md6, sha256, tiger и другие.
С помощью алгоритма MD5 обычный пароль «12345» превращается в сложную комбинацию «827ccb0eea8a706c4c34a16891f84e7b». И даже если мошенники получат доступ к серверу, то увидят только длинный код, с которым не смогут войти в ваш аккаунт.
Перевести хеш обратно в текстовый формат практически невозможно, так как хеширование — это односторонняя функция. А вот подобрать пароль к хешу можно. Для этого используются «радужные таблицы», которые содержат хеши самых популярных паролей. Всего пара секунд поиска по таблице — и мошенники получат доступ к вашим аккаунтам.
Способ 4. Фишинг
Не всегда мошенники используют подбор пароля, иногда пользователи сами сообщают все данные злоумышленникам. Для этого используются фишинговые сайты, которые копируют популярные веб-ресурсы, банки и собирают личную информацию.
Фишинговые рассылки часто используют и в корпоративной сфере. В пентесте (тестировании на проникновение и безопасность) компании зачастую отправляют фальш-рассылки с заманчивыми предложениями, например выгодным ДМС или бесплатными курсами английского для сотрудников. Это помогает понять, как ведут себя работники в подобных ситуациях, и вовремя провести профилактику.
Способ 5. Сохраненные пароли
Чтобы не запоминать пароли, большинство браузеров предлагает их сохранить. Такой способ отлично подходит тем, кто использует компьютер дома и редко водит гостей. А вот если любите поработать в кафе, устраиваете дома вечеринки или берете ноутбук с собой в офис, посторонние люди могут легко получить доступ к вашим паролям.
То же самое касается использования своих аккаунтов на чужих компьютерах. Если в гостях у друзей или в офисе вы случайно сохраните пароль, ваши данные могут попасть в руки недоброжелателей.
Способ 6. Шпионские программы
Узнать чужой пароль можно, если установить на компьютер или телефон пользователя шпионское ПО. Программы могут работать по-разному: одни перехватывают информацию с клавиатуры, другие делают скриншоты при авторизации, третьи ищут файл с паролями.
Один из самых известных спайверов (вредоносных кодов для слежки) — Pegasus. ПО способно встраиваться в телефон совершенно незаметно для владельца. По данным на 2021 год, им были заражены более 50 тысяч телефонов по всему миру. Программа получает полный доступ к системе, включая фотографии, изображения, разговоры, переписку.
Скачать подобные программы пользователи могут случайно вместе с другим ПО. Однако большинство key-логгеров успешно распознаются антивирусом. У мобильных систем Android и iOS есть собственные встроенные средства защиты.
Способ 7. Социальная инженерия
Этот вид мошенничества распространен в корпоративной сфере. Хакеры могут позвонить в компанию и представиться работником IT-службы. Или надеть фирменный бейдж и узнать конфиденциальную информацию при личной беседе. Некоторые проникают в офис под видом обслуживающего персонала и записывают пароли, которые работники оставляют на стикерах у себя на столе.
Способ 8. Подбор
Даже если вы не используете простые пароли, вас все еще можно взломать. Например, если в качестве пароля вы указали любимое хобби, имя питомца или дату свадьбы. Подобная предсказуемость делает аккаунт уязвимым, ведь большинство информации можно легко найти в сети. Мошенники могут загрузить нужные слова в подбиратель паролей и получить доступ.
Этот же метод используется и для взлома бизнес-аккаунтов. Изучив корпоративную литературу и сайт компании, можно составить список ключевых слов и загрузить их в программу. Продвинутые хакеры часто используют для этого специальные «паутинные» приложения, подобные тем, что составляют список ключевых слов для SEO.
Как защитить свой аккаунт
Чтобы ваш пароль не стал легкой добычей для хакеров, обязательно соблюдайте правила:
- Используйте длинные пароли от восьми символов.
- Используйте случайную комбинацию букв, чисел и знаков.
- Добавляйте цифры не только в начало или конец пароля, но и в середину.
- Используйте разные регистры, ставьте заглавные буквы не только в начале или конце пароля, но и в середину.
- Где возможно — подключите многофакторную аутентификацию, чтобы подтверждать вход с мобильного телефона или электронной почты.
- Придумайте уникальные пароли для каждого сервиса.
Не используйте для пароля:
- Реальные слова и словосочетания.
- Личную информацию (важные даты, имена, адреса, марку автомобиля и т.д.).
- Последовательность цифр или ее отдельные фрагменты (12345678).
- «Геометрические фигуры» на клавиатуре (qwerty и т.д.).
Для того чтобы надежно защитить хранящиеся пароли, можно использовать специальные менеджеры паролей или электронные сейфы.
Узнать о программах высшего образования в Skillfactory для кибербезопасников и подготовиться к поступлению можно, подписавшись на наш Telegram-канал.