Как снизить вероятность взлома аккаунта в интернете. 10 правил параноика

Проверь себя и свой пароль.

Требования к паролям иногда раздражают:

— Извините, ваш пароль используется уже более 30 дней, необходимо выбрать новый!
— Розы.
— Извините, в вашем новом пароле слишком мало символов!
— Розовые розы.
— Извините, пароль должен содержать хотя бы одну цифру!
— 1 розовая роза.
— Извините, не допускается использование пробелов в пароле!
— 1розоваяроза.
— Извините, необходимо использовать, как минимум, 10 различных символов в пароле!
— 1 гребанаярозоваяроза.
— Извините, необходимо использовать, как минимум, одну заглавную букву в пароле!
— 1ГРЕБАНАЯрозоваяроза.
— Извините, не допускается использовать несколько заглавных букв, следующих подряд!
— 1ГребанаяРозоваяРоза.
— Извините, пароль должен состоять более чем из 20 символов!
— 1ГребанаяРозоваяРозаБудетТорчатьИзТвоейЗадницыЕслиТыНеДашьМнеДоступПрямоСейчас!
— Извините, но этот пароль уже занят!

Эти заморочки нужны, чтобы сохранять приватность данных и защищать от спама, рассылаемого взломанными аккаунтами. Угон пароля — неприятная проблема, которая может случится с каждым. Но если принять все необходимые меры, то вероятность её возникновения будет низкой.

Эти рекомендации защитят от популярных методов массового угона паролей, с которыми может столкнутся каждый из вас и избавят от неудобных вопросов: «Друг, а почему ты решил заняться партнеркой Forex и так часто пишешь мне про это?».

Если кому-то сильно понадобится конкретно ваш пароль, то эти советы могут оказаться бессильными.

Как воруют пароли?

Есть три основных группы способов получения доступа к чужим аккаунтам:

  • Перехват — липовые страницы авторизации (фишинг), вирусные программы (отслеживание нажатий клавиш, снимки экрана, воровство данных), перехват трафика (например, передаваемого по незащищенным сетям Wi-Fi в кафе).
  • Взлом сайтов — получение доступа к базам данных, в которых хранятся пароли (вместе с логинами) и их расшифровка.
  • Подбор — тупо перебираются варианты возможных паролей при авторизации (брутфорс). В 2016 году у большинства сайтов и программ есть защита от автоматического повторного ввода, способ почти ушел в прошлое, но иногда случаются удивительные открытия. Например, пару месяцев назад исследователь из Бельгии обнаружил, что можно подбирать пароли на главной странице Instagram (в настоящий момент уязвимость закрыта).

Есть и другие способы: письма/звонки от «администрации сайта» с просьбой сменить пароль, наблюдение со скрытых камер в офисе, пытки… Но сегодня остановимся на защите от трех самых распространенных.

Хороший пароль это тот, который долго расшифровывать/подбирать и невозможно угадать. Но главное — защитить от перехвата при вводе.

1. Не ходите по левым ссылкам

Зарегистрировать сайт odnaklssniki.ru (схожий по написанию) и повесить на него страницу ввода логина/пароля — очень просто. Еще проще купить бота для отправки этой ссылки в личку/по почте всем подряд, сократив ссылку на bit.ly и приписав: «Ой, смотри как Вася мог такое в комментарии к твоей фотке написать». Этим промышляют очень много людей и это называется. Эпидемия фишинга началась более 15 лет назад, но люди еще ведутся и авторизируются на липовых страницах.

Еще бывают случаи, когда человек хочет подсоединиться к Wi-Fi в кафе, а его просят подтвердить свою личность, зайдя под свои логином и паролем в соцсеть. Те же яйца, только в профиль.

Более современный вариант — заражение компьютера вирусом, который будет перенаправлять человека на поддельный сайт в тот момент, когда он введет адрес настоящего сайта, а после кражи логина/пароля авторизировать человека там, где он хотел.

Лучший способ защиты — внимательность (тупо смотреть, где вводишь пароль) и не забывать проверять незнакомые сайты на virustotal.com. Даже если ссылка пришла от близкого человека (его могли взломать). Еще можно поставить антифишинговый плагин в браузер, антивирус для почты и настроить подтверждение ввода пароля по смс (пункт 4).

2. Вовремя обновляйте антивирус

top_antivirus

В первую очередь этот пункт касается тех, у кого Android и Windows. Поставьте себе хороший антивирус и не забывайте вовремя его обновлять. Это нужно для защиты от вредоносных программ, которые фиксируют ввод с клавиатуры, похищают данные с компьютера, перенаправляют на фишинговые сайты.

По результатам исследования портала TopTenReviews лучшие антивирусы в 2016 году это:

  • Bitdefender Antivirus Plus
  • Kaspersky Anti-Virus
  • McAfee AntiVirus Plus
  • Norton Security
  • F-Secure Anti-Virus

3. Шифруйте трафик

Следующая опасность, от которой внимательность и антивирус уже не помогут — перехват трафика. Если вы сидите в интернете с офисного и публичного Wi-Fi, то старайтесь использовать VPN.

Подробности о том, какую пользу вы можете извлечь из этой технологии, какого провайдера выбрать и что поставить на iPhone есть в статье VPN: зачем и как скрывать свой IP и шифровать трафик.

4. Подключите смс-подтверждение

Плюс к безопасности дает схема, когда для входа надо помимо пароля ввести код из смс. Посмотрите настройки сервисов, которыми часто пользуетесь на предмет фразы: «двухфакторная идентификация». Примеры сайтов, которые ее поддерживают:

  • Gmail
  • Mail.ru
  • VK
  • «Яндекс»
  • Twitter

Для Apple ID тоже можно подключить. В таком случае помимо пароля будут просить ввести проверочный код, который отображается на устройстве.

Когда это не сработает? Если у вас «открытая мобильная операционная система», то есть небольшая вероятность, что смску с кодом подтверждения может перехватить вирус. Она существенно понизиться, если не забывать о пунктах 1 и 2 из этой статьи на смартфоне. Подробности в статье Почему нельзя доверять деньги Android.

Владельцы блогов на WordPress могут подключить на нем двухфакторную авторизацию с помощью плагинов, чтобы сделать приятное пользователям и поставить дополнительный барьер для доступа в админку. Например Duo Two Factor Identification

5. Каждому сайту — свой пароль/логин/email

По разным данным одинаковые пароли для большинства аккаунтов используют от 15% до 25% пользователей.

Получить доступ ко всем аккаунтам такого человека можно, взломав базу какого-нибудь самописного блога васясрязани.ру, на котором человек засветил свой основной почтовый адрес и пароль от него ради скачивания книги «Советы от рыболова Васи».

Помимо уникального пароля, для регистраций на один раз лучше использовать временный адрес электронной почты, который можно создать на 10minutemail.com

Большинство людей не уделяют достаточно внимания безопасности своих сайтов и они имеют какие либо уязвимости, позволяющие хакеру (а чаще просто настойчивому человеку) получить доступ к файлам сайта и базе данных => логинам, паролям и почтовым адресам пользователях.

Вот пример таблицы MySQL c сайта на WordPress, в которой хранятся вышеназванные данные. Третий столбец это хеши паролей, полученные в результате их обработки популярным (особенно у PHP-разработчиков) алгоритмом шифрования md5:

wp_mysql_database

При авторизации пароль, введенный пользователь снова шифруется и сравнивается со значениями в базе. Когда хакеру нужно выяснить исходный текст пароля, он перебирает хеши разных паролей и сравнивает их с исходным значениям. Но сначала проверяет, не расшифровали ли уже этот пароль добрые люди.

Например, возьмем хеш 3e7fa8c51e2e498697a55104055aa1fd и забьем его в онлайн-расшифровщик MD5 (база уже расшифрованных хешей), вводим капчу и получаем результат:

md5_decryptor_online

Если у кого-то стоит простой пароль на всех ресурсах и он засветил его на сайте, который был взломан, вместе с основным адресом электронной почты, то все его аккаунты окажутся в руках хакеров после первого сравнения хеша с базой расшифрованного (в ней уже 125 миллионов строк). А проверить, где зарегистрирован человек можно на knowem.com.

Иногда к стандартной функции md5() добавляется криптографическая соль. Например, перед шифрование меняются местами буквы в пароле или добавляются какие-либо символы. Это несколько затрудняет расшифровку, но если получен доступ к базе, то скрипты, в которых прописан порядок обработки паролей тоже в руках мошенника и он может использовать их при переборе вариантов.

Вирусы и снифферы (анализаторы перехваченных пакетов трафика) тоже, чаще всего, собирают пароли в зашифрованном виде. Так как современные браузеры их в открытом виде не хранят и не передают.

Есть множество других алгоритмы шифрования кроме md5, но это тема отдельной большой статьи. Но почти для любого алгоритма правила составления надежного пароля одинаковы. О них и поговорим.

Как создать такой пароль, что если он в зашифрованном виде все же попадет к злоумышленникам, что бы они не смогли восстановить его методом подбора?

6. Чем длиннее, тем лучше

Зайдем на howsecureismypassword.net и посмотрим, сколько времени потребуется для подбора паролей разной длины:

  • iphones — 0,2 секунды;
  • iloveiphones — 4 недели;
  • iloveiphonesverymuch — 16 миллиардов лет.

Какая же оптимальная длина пароля? Джеф Атвуд, один из основателей Stack Overflow и владелец наикрутейшего блога CodingHorror утверждает, что 12 символов — минимум.

7. Разнообразие это +

Сложности для расшифровки и перебора добавляют Цифры, прописные и заглавные буквы, знаки пунктуации:

  • iph0nes — 2 секунды;
  • ! ph0nes — 22 секунды;
  • ! Ph0nes — 7 минут;
  • ilove! Ph0nes — 3400 лет.

8. Меньше смысла

Пароли из предыдущих пунктов — хреновые пароли. Ведь интернетом пользуется 3 с лишним миллиарда человек. И, наверняка, есть еще тысячи людей на этой земле, которые ставят себе пароли «айфоны», «Я люблю айфоны», «Я люблю айфоны очень сильно» заменяя «o» ноликом для большой «безопасности». По этой же причине некуда не годятся: [email protected],»! admin123», «motherrussia», «the_cool» и «thering7337».

Большинство подобных шаблонных фраз давно есть в хакерских словарях. Вот пример небольшого списка паролей для перебора. Можете скачать и посмотреть нет ли там вашего.

К тому же, при переборе хакеры используют не только словарные слова, но и закономерности, которым бессознательно руководствуются люди при составлении паролей.

Люди мыслят и действуют очень похоже. И придумывают пароли тоже. На картинках — результаты анализа информации об аккаунтах 10 миллионов пользователей. Прокомментируем каждую из них:

1. Четверть паролей в мире заканчиваются на единицу!
2. Часто при создании пароля люди просто тыкают в стоящие рядом клавиши.
3. Слова «Я люблю его» в пароле встречаются чаще чем «Я люблю ее», но отстают по распространенности от слов «Я люблю себя» и «Я люблю секс».
4. Еще люди любят пятницу, бэтмена и чтобы в чем-то логин совпадал с паролем.
5, 6, 7. Надежность пароля человека совершенно не зависит от его личных качеств. Вот примеры очень слабых комбинаций символов, которые используют руководящие работники известных компаний (на сайтах, которые принимали участие в исследовании).
8. Люди часто использует для своих паролей подряд идущие цифры и чьи-то имена, а также слова связанные с компьютерными играми и спортом.

Есть такая утилита для расшифровки паролей методом перебора, называется hashcat. Под нее можно создавать скрипты, которые учитывают подобные закономерности. Вот фрагмент таблицы с командами для их описания:
hashcat_table

К примеру, можно написать код, который будет брать логин человека, по разному переставлять в нем регистр символов, добавлять разные цифры перед ним и после него, удалять символы с разных позиций и проверять, совпадает ли зашифрованная строка с исходной или нет. Займет это дело меньше секунды. И для определенного процента пользователей это сработает! И не надо никаких миллиардов лет. Пароль в виде немного измененного логина — плохая идея.

Словарь, ссылка на который была чуть выше, перебирается схожим образом. Сначала берется текущее слово как есть, потом с измененным регистром и т.д. Чаще используется не просто список паролей, а ассоциативные цепочки заранее вычисленных хешей, так называемые «радужные таблицы». Есть хорошая статья на Хабре о том, как они составляются. Эта технология ускоряет время угадывания зашифрованной строки в тысячи раз. Так что сроки, вычисленные сервисом из пунктов 6 и 7 — условны.

Подбор и расшифровка паролей — это не то, о чем легко рассказать в двух словах (последнего мы не коснулись в статье вообще). Но независимо от платформы и способа перебора характеристики надежного пароля едины — длина, разнообразие и бессмысленность.

9. Да здравствуют коты и генераторы паролей!

password_generation
very_strong_password

Чтобы сгенерировать надежный пароль, можно попросить кошку походить по клавиатуре или зайти на passwordsgenerator.net. Для подбора примера на картинке понадобится 4 секстильона лет. И ассоциативный перебор не поможет.

Можно установить браузерный плагин для создания паролей или воспользоваться менеджером паролей (о них ниже).

10. Не забываем о контрольных вопросах

Баян из 2000-ых:

Alex: Слушай, мы чем-то похожи. Может мы родственники?
Kisa86: Думаешь?
Alex: Ну, может дальние. Какая девичья фамилия была у твоей матери?
Kisa86: Алексеенко
Alex: О, у тебя 8 новых писем)
Kisa86: в смысле???

Некоторые люди создали себе основную почту в лохматом году, сразу как вошли в сеть и по неопытности вводили ответ, о котором можно догадаться из их биографии. И с тех пор ничего не меняли. Рекомендую зайти сейчас в настройки своего почтового ящика и проверить этот момент.

Пример годного ответа на контрольный вопрос — s<)3:KH:*.9k6+a8W}R(. Можно сделать так, чтобы сброс пароля происходил с помощью мобильного телефона. Но если у вас почта на Яндексе или Mail.ru, то любой, кто знает ваш адрес электронной почты, сможет узнать в каком регионе вы покупали симку (первые 7 из 10 цифр телефона отображаются при сбросе пароля).

Где хранить пароли?

В голове. Или на бумажке, спрятанной в укромном месте. Но надо что-то придумать, чтобы в случае нахождения, ее кроме вас никто не мог использовать. В народе ходят разные «креативные» способы. Например:

  • Записать в адресной книге телефона виртуалов «Гуля», «Яша», «Мила», «Фоня» и поля для номеров заполнить паролями.
  • Составить список покупок в TO-DO листе и в комментарии к продуктам записать пароли. Допустим «Твикс» = «Twitter», «Патиссоны» = «iPhones». У кого какие ассоциации.

Но менеджеры паролей удобнее. Автоматическая генерация сложных комбинаций, автозаполнение, возможность передать данные на другое устройство. Главный минус — если кто-то узнает пароль от менеджера паролей, то он сразу будет знать все. Но для некоторых программ такая проблема уже в прошлом. Например, True Key поддерживает идентификацию по отпечатку пальца или другому устройству. А в Dashlane можно настроить подтверждение по смс.

Но если кому-то очень сильно понадобится расшифровать базу менеджера и узнать ваши пароли, то он это сделает. История знает много примеров таких ситуаций. Но если вас не разыскивает интерпол и характер у вас спокойный, то беспокоится не о чем.

Еще в менеджерах паролей иногда обнаруживаются уязвимости. Помните историю с LastPass? Попасть в число первых жертв шанс совсем невелик и как только подобная проблема обнаруживается, то разработчики сразу присылают пользователям рекомендации о том, как обезопасить себя. Читайте письма от них и следуйте советам.

Владельцам iPhone рекомендую статью Где хранить пароли: лучшие менеджеры паролей на iOS.

Итог

1. При вводе пароля внимательно смотрим, на каком именно сайте мы находимся.

2. Защищаемся от вирусов.

3. Используем VPN.

4. Для каждого сайта придумываем отдельный пароль. А для разовых регистраций используем временные адреса электронной почты.

5. Если есть возможность, подключаем подтверждение по смс.

6. Длина пароля должна быть не менее 12 символов.

7. В пароле должны быть цифры, знаки пунктуации, прописные и заглавные буквы.

8. Пароль должен быть максимально бессмысленным.

9. Для создания паролей удобно использовать онлайн-генераторы и менеджеры.

10. Ответы на контрольные вопросы должны быть непредсказуемыми.

Что будет, если их не соблюдать?

Среди читателей обязательно окажется человек с паролем dodik1, который ставит его везде уже 15 лет подряд и думает: «Да ну тебя нафиг женщина, со своими сказками про хакеров. Я на все это забил и ни разу еще не случилось ничего».

Да, есть шанс всю жизнь прожить с паролем «qwerty» и ни разу не вляпаться в историю. Особенно, если мало сидеть в инете и пользоваться только техникой Apple.

check_your_password
ic_crack

На leakedsource.com можно проверить, есть ли ваш email и пароль от него (в зашифрованном виде) в базах взломанных аккаунтов. Старая почта для спама с 4-значным паролем засветилась аж в трех местах, как и 38 аккаунтов моих тесок. Искать человека можно по имени, фамилии, логину, номеру телефона и IP-адресу.

Если вы нашли свой адрес и пароль от него легко расшифровать, то:

  • Ваш профиль в соцсети может начать неожиданно рассылать спам.
  • Если кто-то захочет почитать вашу переписку, то он сможет купить доступ к информации о вас

Обнаружили себя — смените пароль.

©  iphones.ru