«192.168.1.1, логин: login, пароль: password…и вот я в админке соседского tp-link'а. Что бы сделать?», - типичные мысли юного кулхацкера, по счастливой случайности нарвавшегося на практически «халявный» вай-фай. Порой из таких вырастают серьёзные гуру, порой вырастает чудо в перьях, гораздое кричать «форточки масдай». О последних о хочу сегодня повести беседу. А точнее об их паролях.
Не так давно широко известный в узких кругах ресурс Antichat.ru был взломан и в сеть «утекли» логины и пароли пользователей. Надо отдать должное администрации форума. После взлома была включена привязка к IP-адресу при авторизации для всех пользователей. Но вот сама база, выложенная в открытый доступ, позволила всем желающим попробовать свои силы в брутфорсе.
Известный эксперт Брайан Кребс получил файл с профилями, личными сообщениями и хэшами паролей от 41 037 аккаунтов форума, взял видеокарту EVGA GTX 295, программу для брутфорса Hashcat под CUDA и за 18 дней подобрал аж 44% паролей. Небольшой статистикой, кстати, тоже поделился:
Сам эксперт с некоторой долей иронии пишет, что российские «хакеры» не очень-то сильны в выборе паролей. Около 4500 паролей использовались пятью или большим количеством пользователей.
Но можете ли вы сами похвастаться сложным паролем к своим аккаунтам? Вы никогда не использовали в пароле дату своего рождения? Или русское слово, набранное в другой раскладке? Например rjkj,jr (который от бабушки ушёл) – с виду вполне надёжный пароль. Но только с виду. В нём один регстр, нет цифр, нет спецсимволов. С точки зрения брутфорса такой пароль весьма лего взломать.
Недаром любой грамотный безопасник вам скажет «хороший пароль – тот, который вы не в состоянии запомнить». Да и в интернете хватает советов и методик по придумыванию более-менее устойчивых к взлому паролей.
Как же быть? Лет 5 назад мой хороший друг-разработчик из северной столице просвещал меня в таких вещах с помощью программы, которую разрабатывал. Этот менеджер паролей на данный момент был загружен более 28 млн. раз. Принцип работы, грубо говоря, сводился к тому, что пользователь хранит все свои сложные пароли внутри этого менеджера. Вход в программу также осуществляется через ввод пароля. Таким образом, человеку достаточно выучить лишь один действительно сложный пароль, а все остальные в зашифрованном виде за него будет хранить программа.
Такой способ кажется мне весьма удобным. Но что думаете вы? Действительно ли нужно использовать сложные пароли везде и как их хранить? Может вы знаете лёгкий способ придумать себе сложный пароль? Насколько безопасно использовать один и тот же пароль на различных ресурсах?
Алексей Дрозд,
аналитик компании SearchInform