Методы взлома компьютерных паролей
Считаем необходимым затронуть эту тему, чтобы читатель понял, как могут быть скомпрометированы коды, которые он использует для входа в различные аккаунты.
Именно взлом кода является одной из самых распространенных атак на информационные системы, использующие аутентификацию по паролю или пару «логин-пароль».
Суть атаки заключается в завладении паролем пользователя, имеющего право входа в систему.
Популярность атаки обусловлена тем, что злоумышленник получает все права, скомпрометированная учетная запись и системы мониторинга идентифицируют его как текущего владельца учетной записи.
Техническую сторону вопроса можно организовать 2 способами: многократные попытки прохождения прямой аутентификации в системе или анализ хеш-сумм паролей, которые можно получить при перехвате трафика.
В этом случае используются следующие подходы:
Приямой подбор – перебор всех выходно-постустимых захватов.
Например, первые комбинации, с которых начинается реализация перебора, это: admin, 0, 1, 1111, 12345678, qwerty, qwerty123456, qazwsxedc123 их комментарии.
Подбор по словарю — суть метода основана на предположении, что в коде есть слова из любого языка или их сочетания.
Социальная инженерия — метод, который основан на предположении, что пользователь использует в качестве пароля некоторые персональные данные, например, такие как имя, фамилия, дата рождения, номер мобильного телефона.
Критерии к стойкости пароля
На основе описанных выше подходов к проведению атак приведем критерии устойчивости, которые помогут защитить ваш код от компрометации:
- Пароль не должен быть слишком коротким. На сегодняшний день минимальная длина кодовой фразы составляет 8 символов. Мы рекомендуем использовать буквы и цифры. Хорошим считается длинный пароль из 16-20 символов.
- Пароль не должен быть словарным словом или простой комбинацией слов и цифр, что упрощает выбор словаря. Например, intel123, computer777 и т д.
- Пароль не должен состоять только из общей информации о пользователе.
Резюмируя все вышесказанное, отметим, что пароль должен быть полностью уникальным, т.е в идеале абсолютно никаких связанных букво-цифровых комбинаций длинной около 16 символов.
Внимание! Лучше использовать 16-значный пароль, содержащий буквы и цифры, чем 8-значный пароль, который помимо этого также содержит заглавные буквы и специальные символы.
Взлом такого пароля может занять несколько лет при условии использования закрытых доверенных каналов связи, протоколов безопасности (SSH, HTTPS, IPSEC, SMTPS) и криптоустойчивых алгоритмов шифрования (WPA2).
Правила создания паролей
Практически на всех сайтах при регистрации есть пристанище к пашарам. Однако обычно требования минимальны: не менее 8 символов, не только цифры или буквы и т д.
- Логин и пароль не должны совпадать.
- Не рекомендуется использовать какую-либо личную информацию, особенно если ее можно узнать из социальных сетей или других источников.
- Не рекомендуется использовать слова.
Чтобы понять логику этих ограничений, достаточно посмотреть, как взламываются пароли. Например, ключ из 5 цифр — это всего 100 тысяч комбинаций. Программа для взлома простым перебором всех вариантов найдет подходящую комбинацию минут за 2, если не меньше. Не подходит для кода доступа и редкого слова. Хакер может анализировать разные словари на разных языках и находить соответствия. Вопрос только в том, сколько времени это займет – несколько минут или пару часов.
Программа Advanced PDF Password Recovery для взломанных паролей, устанавливаемых на PDF-документ. Использует брутфорс, позволяет тонко настроить подбор, отметив используемые в пароле симобилы.
Сочетание редкого слова и числа тоже не подойдет. Технология брутфорса позволяет искать комбинации цифр и слов, так что при необходимости ключ попадется. Прослужит, конечно, чуть дольше 123456789, но если вы понесете убытки из-за взлома, то вряд ли эта разница во времени будет существенной. Чтобы понять, какой пароль надежный, а какой нет, рассмотрим конкретные примеры. Примерное время похищено как расположение с серивысов прокеры паролей, о хорошем рассказано ниже.
- Дата рождения (05041992) – будет взломан за 3 миллисекунды.
- Имя с маленькой или чебальной буквой (Сергей, сергей) – длится 300-500 миллисекунд, то есть меньше полсекунды.
- Комбинации цифр и строчных букв (1k2k3d4a9v) – примерно 1 день.
- На взлом пароля HDA5-MHJDa ушло около 6 лет.
- Комбинация AhRn&Mkbl363NYp будет разблокирована через 16 миллионов лет.
Никакие 16 миллионов лет и даже 6 лет у хакера не проработают — это значение лишь демонстрирует, что взломать пароль за приемлемое время невозможно.
Читайте также: MP3Gain скачать бесплатно для Windows (Виндовс) 7, 8, 10
Генерация паролей
Одно дело – знать правила, другое дело – им следовать. Большинство пользователей в курсе, что для регистрации нельзя использовать код доступа, состоящий из даты рождения или имени, но мало кто останавливается на этом. Проблемы две:
- Сложный пароль
- Даже если вы придумаете пароль, содержащий случайный набор символов, его сложно (иногда просто невозможно) запомнить.
С первой проблемой поможет онлайн-генератор паролей. В Интернете можно найти большое количество сервисов, предлагающих быстрый способ создания сложного пароля из букв, цифр и специальных символов.
- RandStuff
- Пасв
- PassGen
Онлайн-генераторы работают по тому же принципу: вы указываете, какие символы вам нужно использовать, выбираете необходимое количество символов и нажимаете «Сгенерировать». Отличаются сервисы только в приватных моментах.
Например, на Pasw.ru можно сгенерировать несколько десятков паролей (до 99 комбинаций). PassGen позволяет установить опцию автоматического исключения повторяющихся символов из ключа безопасности, поэтому все символы в нем будут в одном номере.
Список паролей
- сбросить настройки
Инструкции для генератора паролей
Генератор паролей создает пароли в режиме реального времени. Созданные пароли нигде не хранятся и отображаются только на вашем устройстве (ПК, планшет или смартфон).
Каждый раз, когда вы меняете настройки, нажимаете кнопку «Сгенерировать» или перезагружаете страницу, создаются новые пароли.
По умолчанию для генерации пароля используются английские строчные и прописные буквы, цифры и некоторые служебные символы. Для изменения списка символов используйте «Настройки генератора паролей»
Настройки генератора паролей
Длина пароля
Генератор паролей создает пароли длиной от 5 до 30 символов развитие генериутся пороли новый 10 символов. Как правило, не рекомендуется использовать пароли длиннее 7 символов. Использование более длинных паролей рекомендуется для более стойкой защиты от взлома, но, скорее всего, это будет неудобно для сохранения или запоминания.
Английские и русские буквы
Традиционно для паролей используются английские (латинские) буквы, однако могут использоваться и русские буквы. Русские буквы значительно увеличивают сложность паролей при попытке их взлома путем взлома, но будьте осторожны, возможно, некоторые системы не поддерживают пароли, содержащие символы кириллицы. Рекомендуется проверить заранее.
Цифры
Цифры в пароле должны быть обязательными. Наличие цифр в пароле повышает качество пароля, а пароли с цифрами легче запомнить.
Специальные символы
Пароли, включающие специальные символы, наиболее устойчивы к взлому. Многие системы требуют включения служебных символов в пароль при регистрации. Рекомендуем не пренебрегать использованием подобных символов и включать их в генерируемый пароль.
Другие настройки
Список используемых символов
В окне списка символов, используемых в генераторе паролей, отображаются все символы, из которых составляются пароли, с учетом текущих настроек. Список можно редактировать — удаляйте ненужные и добавляйте нужные символы. При удалении или добавлении символов в окне редактирования списка автоматически генерируются новые пароли с учетом внесенных изменений.
Сбросить настройки
Все настройки, сделанные при использовании генератора паролей, автоматически сохраняются в памяти вашего браузера (файлы cookie). Сохраняются именно настройки, а не пароли! Как уже было сказано выше — пароли генерируются каждый раз. Для сброса настроек в исходное состояние воспользуйтесь ссылкой «Сбросить настройки». При выбросе автоматически генерируются новые пароли с автомобильными провочальными паролями.
Ссылка на генератор паролей
Если вы хотите отправить ссылку на «Генератор паролей» другу или опубликовать ее в социальных сетях, скопируйте адрес из специального окна, расположенного в нижней части корпуса генератора. Вместе со ссылкой будут переданы выбранные вами настройки.
Хранение ключей
Если есть возможность сгенерировать пароль онлайн, то ключи необходимо хранить на компьютере. Написание пароля на бумаге, в отдельном документе на компьютере, на наклейке, приклеенной к экрану — путь к несанкционированному доступу к данным. Итак, возникает вторая проблема: как запомнить созданный ключ.
Вы не можете полагаться на свою память, но вы можете положиться на менеджер паролей. Многие пользователи выбирают KeePass. Эта программа распространяется бесплатно и работает на Windows 7, Windows 10 и других современных версиях ОС от Microsoft. Кроме того, в KeePass есть встроенный генератор паролей, поэтому вам не придется каждый раз искать онлайн-сервисы.
Минус пароля менеджера только в том, что для него также требуется код доступа, называемый мастер-паролем. Но запомнить один мастер-пароль гораздо проще, чем держать в голове несколько десятков сложных комбинаций. Кроме того, при его создании можно использовать хитрость – взять за основу стихи, цифры или любые другие запоминающиеся строки и превратить их в комбинацию букв, цифр и знаков.
Например, можно взять четырехстрелки, выделить первые буквы и знаки препинания, а затем написать их на латинской раскладке. Некоторые буквы можно заменить цифрами – «з» на «3», «о» на «0», «ч» на «4». В результате такой манипуляции из четырех строчек детского стихотворения, которое никогда не вылетит из головы, получится пароль U0d?D3ep.Gzc3hek, на взлом которого уйдет 3 триллиона лет.
Проверка сложности
На многих сайтах при регистрации пользователь показывает, хороший пароль или нет. Убедитесь, что сгенерированный код сложный, и взломать его быстро, даже самостоятельно, с помощью сервиса не получится Насколько надежен мой пароль? В поле «Введите пароль» введите сгенерированный пароль. В ответ вы получите примерное время, которое будет потрачено на взлом ключа на обычном компьютере. Если ему несколько миллионов или хотя бы тысяча лет, то код оказался однозначно надежным.
Вы можете использовать другие сервисы для проверки надежности: например, Secure Password Check от «Лаборатории Касперского». Он также показывает время, необходимое для взлома пароля, заодно сообщая вам, что можно сделать в указанный интервал.
Еще одним интересным методом проверки является сервис «Стойкость пасора» на сайте 2ip.ru. Тут результат категоричен: ключ либо надежен, либо ненадежен.
Нужно понимать, что время взлома, показанное этими сервисами, очень условно и рассчитано на случай, если хакер использует обычный компьютер. Быстрее с задачей справляется суперкомпьютер с фантастической производительностью, а также специальные машины для взлома паролей, которые могут тестировать до 90 миллиардов ключей в секунду. Но вряд ли людям, знающим подобную технику, понадобится ваш пароль от электронной почты, Skype или Wi-Fi.