Как могут взломать ваш пароль


Защита вашего аккаунта

Получив доступ к Яндекс ID, взломщик может притвориться вами на любом сервисе Яндекса, например рассылать спам с вашего адреса Яндекс Почты. А если в Почте остались адреса ваших знакомых, коллег или партнеров, мошенники могут разослать от вашего имени компьютерные вирусы или просьбы одолжить деньги. Защита вашего аккаунта нужна не только вам, но и тем, кто вам доверяет.

Если же вы активно используете сервисы Яндекса или привязываете к Почте ценные для вас аккаунты на других сайтах, взломщик может нанести еще больший ущерб — потратить ваши деньги или взломать аккаунт в любимой игре.

Обратите особое внимание на защиту аккаунта, если:

вы пользуетесь платными сервисами Яндекса ( Директ, Музыка, Такси и другие сервисы, на которых вы что-то оплачивали или вводили данные своей банковской карты);

ваш адрес на Яндексе привязан к платным сервисам других компаний, например AppStore или Steam;

на вашу Яндекс Почту приходят письма от банков, которые управляют вашими деньгами, или любые другие письма, которые вы хотели бы сохранить в секрете;

вы указали адрес на Яндексе при регистрации какого-либо игрового аккаунта (World of Tanks, World of Warcraft и т. д.);

ваш адрес на Яндексе привязан к профилю социальной сети — ВКонтакте, Mail.ru и тому подобных;

вы использовали свой адрес Яндекс Почты для регистрации электронного кошелька или других платежных сервисов.

Даже если вам кажется, что взламывать ваш аккаунт незачем, не стоит недооценивать проблемы, к которым это может привести.

Как могут взломать ваш аккаунт

Чтобы войти в ваш аккаунт, злоумышленник может попробовать:

  1. Угадать ваш пароль
  2. Узнать ваш пароль
  3. Взломать ваш аккаунт в социальной сети
  4. Взломать ваш дополнительный адрес почты
  5. Угадать или узнать ответ на ваш контрольный вопрос

Угадать ваш пароль

Простой пароль несложно угадать. Например, если вас зовут Валентина и вы родились в 1975 году, пароль valentina1975 точно проверят. А если ваш пароль — один из тех, которые часто используют (например, qwerty или password1 ), злоумышленнику не понадобится много времени, чтобы перебрать все простые пароли и найти ваш.

Чтобы ваш пароль трудно было угадать, сделайте его посложнее по нашим рекомендациям.

Узнать ваш пароль

Сразу после регистрации ваш пароль не знает никто, кроме вас. Но, вольно или невольно, вы можете его раскрыть:

Вы можете поделиться паролем с родственниками, друзьями или коллегами. Даже если вы им полностью доверяете, секрет, известный не только вам — это уже не секрет.

Вы можете отправить свой пароль в ответ на поддельное письмо или SMS. Злоумышленник может подделать сообщение от Яндекса, в котором потребует прислать ваш пароль, хотя Яндекс никогда не запрашивает ваш пароль таким образом. Подробнее о мошеннических письмах можно узнать в разделе Фишинг в Справке Яндекс Почты.

Вы можете ввести пароль на поддельном сайте. Злоумышленники могут подделать целый сайт и разместить его по похожему адресу, например yanclex.ru . Чтобы этого не произошло, не вводите пароль, пока не убедитесь, что сайт настоящий.

Вы можете использовать один и тот же пароль на разных сайтах. Если взломщик узнал ваш пароль на каком-то одном сайте, он точно попробует войти с ним на все популярные сервисы, в том числе в ваш аккаунт на Яндексе. Чтобы этого не произошло, придумывайте новый пароль при каждой регистрации. Если вы зарегистрированы на множестве сервисов, запомнить все пароли может быть сложно. В этом случае попробуйте воспользоваться менеджером паролей, но не забудьте изучить отзывы на выбранную программу или расширение, прежде чем доверять ей ваши данные.

Ваш компьютер может быть заражен вирусом, который следит за вашими действиями. С помощью такого вируса злоумышленник может увидеть все, что вы вводите с клавиатуры, в том числе ваш логин и пароль на Яндексе. Чтобы этого не произошло, установите антивирус и регулярно обновляйте его. Бесплатный антивирус можно выбрать из нашего списка.

Взломать ваш аккаунт в социальной сети

Для аккаунтов, перечисленных на вашей странице Социальные сети, может быть разрешен вход в Яндекс ID. Это значит, что если злоумышленник взломает ваш аккаунт в соцсети, он сразу сможет войти в ваш аккаунт на Яндексе.

Чтобы этого не произошло, постарайтесь защитить ваш аккаунт в социальной сети так же, как Яндекс ID: придумайте сложный пароль для входа, по возможности подтвердите номер телефона.

Взломать ваш дополнительный адрес почты

На вкладке Безопасность в разделе Способы восстановления перечислены все адреса, привязанные к вашему Яндекс ID. Все адреса, кроме вашей Яндекс Почты, можно использовать, чтобы восстановить доступ: Яндекс пришлет код для восстановления в письме. Если злоумышленник взломал ваш дополнительный адрес, он может «восстановить» доступ к вашему аккаунту на Яндексе, указав этот адрес.

Чтобы этого не произошло, защитите каждый из ваших дополнительных адресов так же, как Яндекс ID: придумайте сложный пароль для входа, по возможности подтвердите номер телефона .

Угадать или узнать ответ на ваш контрольный вопрос

Если вы не используете номер телефона или дополнительный адрес почты для восстановления доступа, взломщику нужно будет только угадать или узнать ответ на ваш контрольный вопрос.

Ответ, который трудно угадать, можно придумать с помощью наших рекомендаций. Но также нужно опасаться мошенников, которые могут попытаться узнать ответ на ваш контрольный вопрос обманом. Например, если контрольный вопрос — ваше любимое блюдо, вам могут написать под видом социологического опроса:

Пример мошеннического письма

Я являюсь представителем крупного сайта, посвященного гастрономии. Чтобы лучше понимать вкусы аудитории, мы проводим простой социологический опрос: какое Ваше любимое блюдо?

С уважением, автор проекта fake-food.ru

Как вы можете защитить свой аккаунт

Чтобы защитить свой аккаунт от взлома или кражи, по возможности привяжите к Яндекс ID номер телефона или включите двухфакторную аутентификацию. После этого безопасность вашего аккаунта перестанет зависеть исключительно от пароля и можно будет проще решить проблемы с доступом.

Если вы не хотите включать двухфакторную аутентификацию, постарайтесь защитить ваш пароль:

  1. Придумайте сложный пароль
  2. Никому не сообщайте свой пароль
  3. Не используйте ваш пароль на других сервисах
  4. Защитите свои средства восстановления доступа

Придумайте сложный пароль

Пароль, который будет сложно угадать или подобрать, можно придумать с помощью наших рекомендаций.

Никому не сообщайте свой пароль

Сразу после регистрации ваш пароль не знает никто, кроме вас. Чтобы случайно не раскрыть его злоумышленнику, никому не сообщайте свой пароль и не вводите его на подозрительных сайтах.

Для программ и приложений (например, почтовых клиентов) безопаснее создавать специальные пароли.

Не используйте ваш пароль на других сервисах

Взломщик, который узнал ваш пароль на одном сервисе, обязательно проверит, подходит ли этот пароль к другим популярным сайтам, социальным сетям и играм.

Если вы зарегистрированы на множестве сервисов, запомнить все пароли может быть сложно. В этом случае попробуйте воспользоваться менеджером паролей, но не забудьте изучить отзывы на выбранную программу или расширение, прежде чем доверять ей ваши данные.

Защитите свои средства восстановления доступа

Постарайтесь сделать так, чтобы взломщик не смог «восстановить» доступ к вашему аккаунту:

Если вы подтвердили номер телефона, следите за тем, чтобы он оставался актуальным. Когда вы меняете номер, сразу измените его на странице Телефонные номера.

Если вы используете дополнительные адреса почты для восстановления, защитите каждый из ваших дополнительных адресов так же, как Яндекс ID: придумайте сложный пароль для входа, по возможности подтвердите номер телефона .

Если вы используете для восстановления доступа только контрольный вопрос, ознакомьтесь с нашими рекомендациями о том, как сделать контрольный вопрос более надежным.

Что делать, если вас взломали

Если вы заметили что-то странное в работе с Яндексом (например, знакомые получают от вас письма, которые вы не отправляли, или в истории активности появились действия, которые вы не совершали), возможно, ваш аккаунт взломан.

Чтобы вернуть контроль над аккаунтом, следуйте нашим инструкциям.

Как придумать надежный пароль

Хороший пароль — такой, который сложно угадать или подобрать.

Внимание. Никогда и никому не сообщайте пароль, с помощью которого можно войти в ваш аккаунт. Чем больше людей знают ваш пароль, тем выше вероятность того, что его узнает злоумышленник.

Новые статьи:  Установка нового картриджа в принтеры Brother

Чтобы составить сложный пароль, используйте:

Как прописные, так и строчные латинские буквы.
Цифры.

Знаки пунктуации: ` ` ! @ # $ % ^ & * ( ) — _ = + [ ] < >; : " | , . < > / ? (кроме ~ и ' ).

Какие пароли ненадежные?

Что не стоит использовать в качестве пароля:

Пароли, которые вы уже используете на других сайтах или приложениях. Если кто-то узнал, например, ваш пароль к социальной сети, с этим паролем попробуют войти не только в Яндекс, но и в другие соцсети, почтовые сервисы, онлайн-банки.

Обычные слова ( margarita , begemot ), а также предсказуемые сочетания букв ( qwerty , 123456 ).

Персональные данные, которые вы могли указать где-нибудь в интернете: имя, день рождения, номер паспорта и т. п. Даже девичью фамилию матери, которую, казалось бы, никто не знает, использовать не стоит.

Способы восстановления доступа

Если при регистрации аккаунта вы отказались подтвердить номер телефона, ваш аккаунт защищен только контрольным вопросом. В сущности, ответ на контрольный вопрос — это еще один пароль, который можно узнать или угадать так же, как и обычный пароль. Поэтому мы рекомендуем по возможности настроить более надежный способ восстановления доступа.

Если вам приходится использовать контрольный вопрос, постарайтесь защитить его.

Двухфакторная аутентификация

Устройство на базе Android или iOS позволяет вам установить приложение Яндекс Ключ — с ним вам не придется запоминать и защищать пароль. Для каждого входа в Яндекс приложение генерирует одноразовый пароль, который перестанет работать сразу после того, как вы его введете.

Двухфакторная аутентификация – это самый надежный способ защиты Яндекс ID. Для взлома такой защиты необходимо, кроме прочего, украсть ваше устройство и разблокировать его.

Подробнее об этом способе защиты читайте в разделе Двухфакторная аутентификация.

Номер телефона

Защищенный номер телефона позволяет восстановить доступ к вашему аккаунту с помощью кода, который Яндекс отправит вам в SMS. Не забывайте изменить защищенный номер, если вы больше не можете читать сообщения, которые на него приходят.

Даже если злоумышленник сможет войти в ваш аккаунт, у вас будет как минимум 14 дней на то, чтобы вернуть себе контроль над аккаунтом и сменить пароль.

Подробнее об этом способе защиты читайте в разделе Привязка телефонных номеров.

Дополнительный адрес почты

Дополнительный адрес позволяет восстановить доступ к вашему аккаунту с помощью кода, который Яндекс отправляет на этот адрес в письме. Злоумышленник, который смог войти в ваш аккаунт, может сравнительно легко отвязать дополнительный адрес от Яндекс ID, чтобы помешать вам вернуть контроль над аккаунтом. Поэтому мы рекомендуем по возможности настроить более надежный способ восстановления доступа.

Если вы используете дополнительный адрес, злоумышленник, взломав его, сможет получить доступ к вашему Яндекс ID. Дополнительный адрес нужно хорошо защитить: придумать сильный пароль, по возможности включить двухфакторную аутентификацию или привязать номер телефона.

Подробнее об этом способе защиты читайте в разделе Дополнительные адреса почты.

Контрольный вопрос

Если вы не используете другой способ восстановления доступа, ваш аккаунт будет защищен от взлома только контрольным вопросом. Поэтому ответ на контрольный вопрос подобрать или угадать должно быть так же сложно, как и пароль.

Примечание. Чтобы не запоминать ответ на контрольный вопрос, включите двухфакторную аутентификацию, подтвердите номер телефона или добавьте дополнительный адрес почты.

На контрольный вопрос лучше указывать ответ, известный только вам. Девичья фамилия матери, любимое блюдо, кличка домашнего животного, номер телефона или квартиры — все эти сведения могут быть известны вашим знакомым или даже общедоступны (например, если вы указали их в социальной сети). Попробуйте указать собственный контрольный вопрос, ответ на который вам будет легче запомнить, а злоумышленнику — сложнее угадать.

Меня взломали! Как это могло произойти?

Меня взломали! Как это могло произойти?

Случилось страшное — вас взломали. Вы не можете зайти в свои социальные сети, а в папке входящих видите сообщения о сбросе паролей и списании денег с вашей банковской карты. Возникает стандартный вопрос — как это могло произойти? Вы пользуетесь сложным паролем и никому не давали пользоваться своим компьютером, а в вашу почту все равно проник кто-то чужой. Рассмотрим распространенные пути взлома и способы защиты от злоумышленников.

Как хакеры получают доступ к аккаунтам пользователей

Прежде всего следует для себя уяснить — вряд ли за вами кто-то ведет целенаправленную слежку, если вы не звезда шоу-бизнеса и не топ-менеджер крупной компании. Хакеров интересуют публичные люди, данные которых имеют особую ценность. К этой категории относятся известные спортсмены, актеры, исполнители и их продюсеры.

Часто злоумышленники пытаются взломать профили работников корпораций, занимающих солидную должность. Доступ к их учетным записям может принести взломщику неплохие деньги, особенно если в переписках содержатся секретные сведения, представляющие интерес для конкурентов компании. В остальных случаях взлом становится результатом действий автоматических программ, которые ежедневно мониторят миллионы интернет-ресурсов на предмет уязвимостей.

Как действуют роботы:

  • рассылают фишинговые письма со ссылками на копии сайтов;
  • рассылают письма со ссылками на троянские программы;
  • похищают базы пользователей с плохо защищенных сайтов;
  • присылают сообщения о якобы свершившемся факте взлома;
  • имитируют деловую переписку.

Цель рассылок — заставить пользователя перейти на фишинговый сайт или скачать приложенный файл, в котором окажется вирус или троян. Как только слабое место найдено, тогда уже подключается специалист, чья задача — получить максимум бонусов от взлома. Чаще всего взломщиков интересуют письма, которые хранятся в вашем почтовом ящике. С их помощью злоумышленник получает шанс попасть в любой ваш аккаунт — от профиля в социальных сетях до электронного кошелька, если вы поленились настроить к нему двухэтапную аутентификацию.

Взлом через письма: способы и последствия

После того, как вы поддались соблазну и щелкнули по зловредной ссылке, результат будет зависеть от цели злоумышленников. Самый неприятный исход событий — вам поставят троянскую программу, и весь ваш компьютер окажется в распоряжении взломщиков. Вам повезет, если устройство будут использовать всего лишь как инструмент DDoS-атак, но обычно последствия более тяжелые. Все ваши логины и пароли, сохраненные в браузере, могут быть похищены, в том числе данные доступа к финансовым системам. Хакер может извлечь из памяти конфиденциальную информацию или лишить вас возможности управлять системой и потребует деньги за восстановление работоспособности устройства.

Письмо с требованием заплатить деньги

Фальшивые письма от банков или государственных организаций делают как можно более похожими на настоящие. Вам могут предложить перейти по ссылке, чтобы узнать о задолженности, получить возврат налога либо уточнить важную информацию. В июле 2021 года пользователи портала госуслуг стали массово жаловаться на действия онлайн-мошенников, которые взламывают аккаунты через фишинговые email, меняют логин и пароль, а затем берут на имя зарегистрированных граждан микрозаймы. Доказать факт мошенничества в этом случае очень сложно, поэтому государство призывает пользователей к осторожности.

Фишинговое письмо от Госуслуг

В последнее время у злоумышленников популярен еще один вид рассылок, рассчитанный на человеческую психологию. На почту приходит письмо с сообщением, что якобы компьютер уже давно взломан, и за его владельцем ведется постоянное наблюдение. Программист сообщает, что зафиксировал частые посещения пользователем порносайтов, снял компрометирующую видеозапись через встроенную камеру устройства и предлагает заплатить за ее уничтожение. Сумма, как правило, указана в биткоинах. Хотя такой способ обмана уже хорошо известен, некоторые люди верят мошенникам и платят деньги за ликвидацию несуществующего компромата.

Письмо фишера с требованием оплаты

Фишинговые ресурсы

Сейчас мошенники стали намного изобретательнее в оформлении фишинговых писем. Сообщения маскируют под уведомления государственных, банковских и налоговых структур, деловые сообщения, просьбы активизировать некий аккаунт на сайте, где вы якобы давно не были. Распознать фейк по адресу сложно — профессионалы способны оформить письмо так, что у вас не возникнет ни малейших сомнений в его оригинальности. Существуют сайты, где бесплатно или за деньги можно поставить любой адрес отправителя. Изменить данные с помощью программного кода сможет любой человек, владеющий навыками работы с почтовыми серверами по протоколу SMTP.

Фишинговое письмо от Сбербанка

По сообщению РБК, пандемия и массовый уход на удаленку спровоцировала рост количества фейковых сайтов кредитных организаций. Только в первом квартале 2021 года в русскоязычном интернете появилось более 1,5 тысячи фальшивых банковских ресурсов, что на 20% выше, чем в предыдущем году. Распознать поддельный портал практически невозможно — он полностью идентичен оригиналу. Если ввести платежные данные на подобном сайте, реквизиты банковской карты сразу же попадут к мошенникам.

Новые статьи:  Лучшие бесплатные конвертеры видео на русском языке

Фишинговая копия сайта Сбербанка

Одинаковые пароли к разным ресурсам — прямая угроза безопасности

Согласно статистике производителя антивируса Avast, более 55% пользователей продолжает использовать одинаковые пароли на разных сайтах, ошибочно считая, что информация на их устройствах не может заинтересовать взломщиков. Утечка данных может произойти с самого безобидного ресурса — форума, где вы общались с единомышленниками или игрового сервера, на котором вы однажды зарегистрировались, чтобы попробовать интересный продукт.

Как только база аккаунтов попадает в руки злоумышленников, в дело вступает автоматическая система, которая пробует войти с вашими данными в популярные почтовые сервисы, социальные сети, электронные кошельки и банковские системы. Если робот попадет в ваш почтовый аккаунт, в распоряжении злоумышленников окажется вся ваша личная переписка, история регистрации на сайтах, ваши профили в онлайн-магазинах и многое другое.

Топ небезопасных паролей

Даже если информация в ваших письмах совершенно безобидная, а для входа в банк вы используете двухэтапную аутентификацию, злоумышленник может извлечь для себя немало пользы из доступа к вашей почте:

  • продать ваш ящик спамерам;
  • организовать фишинговую рассылку с вашего адреса;
  • предложить вам выкупить доступ к email или аккаунту в социальной сети.

В любом случае будьте уверены, что все письма будут внимательно просмотрены в поисках информации, представляющей интерес для взломщиков. Даже если в содержании не будет информации о паролях к соцсетям, ваш аккаунт легко обнаружат и могут запросить смену комбинации на электронную почту. Когда доступ получен, ваши имя, фамилию и телефон обязательно попытаются использовать, чтобы проникнуть в банковские системы. Либо опубликуют от имени вашего профиля рекламу или разошлют письма с просьбой о денежной помощи всем вашим друзьям и знакомым.

Как проверить свои аккаунты

Удостовериться в том, что ваши логины и пароли не утекли в интернет, поможет портал LeakCheck, Сервис аккумулирует данные доступов к аккаунтам пользователей на сайтах, которые были взломаны. Сотрудники сайта регулярно мониторят форумы, где выкладываются расшифровки похищенных массивов и пополняют информацию, чтобы пользователи LeakCheck смогли оперативно проверить свой email или телефон на предмет утечки.

Проверка пароля на слив

Последние новости об обновлениях размещены на отдельной странице, поэтому вы сможете увидеть, был ли взломан сайт, на котором когда-то регистрировались. К примеру, последнее пополнение базы — расшифровка украденных данных с портала ZeusGame.me, поэтому если ваш аккаунт есть на этом ресурсе и вы использовали для входа свой типовой пароль, все остальные ваши профили под большой угрозой.

Информация об актуальных сливах баз данных сайтов

Сервис предоставляет пользователем бесплатный тестовый доступ и расширенный пакет услуг по выбранному тарифу. Функционал площадки позволяет вести поиск не только по email, но и по ключевому слову, логину и номеру телефона.

Варианты поискового запроса

После регистрации в вашем распоряжении будет пятнадцать бесплатных проверок. Вы сможете проверить свои адреса и телефоны, чтобы выяснить, есть ли они в базах портала. Результат мониторинга будет представлен в несколько усеченном виде, но данных достаточно, чтобы определиться с дальнейшими действиями.

Результаты проверки

Платная подписка дает расширенные возможности. Вы сможете отследить источник утечки, увидеть скомпрометированные пароли полностью и обратиться с просьбой к администрации, чтобы вашу личную информацию удалили с сервиса. Базовый тариф стоит $2.99 в сутки — небольшая цена за уверенность в безопасности ваших данных.

Защита от утечек

Пока механизм защиты пользователей от действий кибермошенников не проработан на законодательном уровне, поэтому забота о безопасности — личное дело каждого. Необходимо соблюдать особую осторожность с сообщениями от государственных и финансовых организаций и использовать прямые адреса для захода на порталы официальных структур.

Правила обращения с сомнительными письмами:

  • используйте разные и сложные пароли для доступа к различным сервисам и сайтам;
  • не переходите по ссылкам в сообщениях, где вам обещают призы, подарки или социальные выплаты;
  • установите антивирусное программное обеспечение для браузера;
  • внимательно проверяйте адреса сайтов и email отправителей — у двойников бывают едва заметные расхождения;
  • опасайтесь перенаправлений на другие ресурсы;
  • проверяйте подозрительные порталы через сервис Whois IP.

Пандемия стала причиной активного развития дистанционных сервисов, что способствует росту киберпреступности. Хакеры постоянно совершенствуют инструменты взлома и защититься можно только постоянной бдительностью. Используйте двухэтапную аутентификацию на всех сайтах, которые предоставляют такую возможность и проверяйте свои данные на предмет утечки через сервис LeakCheck. Практические навыки безопасного поведения в онлайн-среде должны войти в привычку — только так вы сможете надежно защитить свои данные и предотвратить финансовые и репутационные потери.

Искусство подбирать чужие пароли

В культовом фильме начала двухтысячных «Пароль «Рыба-меч» талантливому хакеру необходимо подобрать пароль в течение одной минуты. В этом ему помогает приятель, который заботливо держит пистолет у виска и темпераментная блондинка, прячущаяся под столом. Что делать, если таких друзей поблизости нет, а пароль подобрать необходимо? Например, в ходе тестирования на проникновение…

Небольшое, но важное предупреждение: если предлагаемым в статье подходом пользоваться не в рамках проектов по тестированию защищенности, то ваши действия легко могут подпасть под статью 272 УК РФ (Неправомерный доступ к компьютерной информации).

Чтобы придумать эффективную стратегию подбора паролей, этичному хакеру надо постараться залезть в головы пользователей и администраторов.

Какие же факторы влияют на наш выбор паролей?

Можно назвать, как минимум, следующие три:

  • легкость запоминания;
  • ограничения на выбор пароля, накладываемые системой;
  • количество людей, использующих данный пароль в своей деятельности.

Что пользователи легко могут запомнить?

Рассмотрим те вещи, которые нам легче всего запомнить:

1) То, что перед глазами.

Перед нашим взором чаще всего предстают торговые марки мониторов, ноутбуков, компьютерных мышей и клавиатур, надписи «password:». Говорят, что выбор руководителем предвыборной кампании Хилари Клинтон такого тривиального пароля, как «password», гибельно отразился на результатах американских выборов.

Для человека важны:

  • приятные воспоминания и связанные с ними даты: например, дата свадьбы;
  • отношения: имя любимой. Наполеон выбрал бы милую josephine;
  • собственность: марка автомобиля. Джеймс Бонд не изменил бы себе и выбрал aston, а если бы изменил, то bmw;
  • привязанность: кличка домашнего животного. Эмиль из Леннеберги увековечил бы кличку своего маленького друга: svinushok;
  • мечта: отпуск в каком-то определенном месте. Темпераментная девушка из фильма наверняка выбрала бы чудесное bali;
  • работа: название организации или ее тип. Братья Леманы сделали бы однозначный выбор — bank.
  • увлечения: спорт, коллекционирование, музыка. Ну кто не любит beatles?

3) То, что помнят пальцы:

  • геометрическая фигура на клавиатуре: qwerty;
  • последовательность символов: 12345678.

4) Что за система/сайт:

  • название системы;
  • слова, ассоциированные с бизнес-процессом, который она автоматизирует. Например, летом 2015 года произошла утечка паролей пользователей любителей сходить налево, ищущих горячих спутников и спутниц через сайт Ashley Madison. Среди паролей нередко попадаются варианты, наподобие: 67lolita, 68cougar, love69pussies, lovesex.

В 2014-м году произошла большая утечка паролей Gmail, Yandex и Mail.ru. Списки паролей были проанализированы varagian в статье «Анализ утёкших паролей Gmail, Yandex и Mail.Ru» и можно увидеть, что пользователи выбирают пароли именно по рассмотренной схеме.

Как ограничения парольной защиты влияют на выбор паролей пользователями?

Чтобы обезопасить пользователей во многих системах разработчиками предусмотрен механизм парольной политики, который, к сожалению (для этичных хакеров – к счастью), не всегда используется. Рассмотрим ограничения и то, как они выполняются/обходятся креативными пользователями.
Типовые ограничения парольной политики:

  • длина пароля (обычно не менее 8);
  • использование символов в различных регистрах;
  • использование комбинаций букв и цифр;
  • использование спецсимволов;
  • запрет на использование предыдущего пароля.

Придумать пароль длиной более 8 символов не представляет сложности, а вот использовать символы в различных регистрах – уже сложно, так как нужно помнить, для какого символа в своем пароле был выбран верхний регистр. Самое очевидное и вероятное решение: выбрать первый или последний символ.

Если система заставляет добавить цифры, то здесь пользователи чуть более изобретательные:

Новые статьи:  Исправление неполадки с отсутствующим файлом dwmapi.dll в Windows XP

  • Добавляют цифры в начало или конец. Как правило, от одной до 4-х. Соответственно, это может быть просто одна цифра, как в распространенном пароле «Password1», если две, то пользователь скорее всего выберет год или возраст, как в пароле «68cougar» из нашего эротического примера. Если три цифры, то они могут быть просто последовательностью «123». В случае, если пользователь захочет добавить 4 цифры, то это будет уже год в полном написании: «Alexander2018».
  • Заменяют буквы на похожие цифры: A = 4, E = 3, I = 1, O = 0. Особо креативные пользователи могут полноценно использовать l33t
    В случае необходимости применения спецсимволов, пользователи, как правило, используют один из наиболее известных спецсимволов, как это видно на следующей иллюстрации:

Ничто так не раздражает как запрет на использование старого пароля, и пользователи научились обходить это ограничение, внося минимальные изменения, например, увеличивая цифру в конце своего пароля на 1: было «Alexander2018», стало «Alexander2019».

Понимая эти маленькие хитрости пользователей, этичному хакеру довольно просто сузить список слов-кандидатов на пароль.

Количество пользователей пароля

В случае если пароль будет использоваться многими пользователями, например, системными администраторами или слушателями в учебном классе, то его, как правило, специально делают не очень сложным (например, совпадающим с именем учетной записи), а зачастую оставляют таким, каким он был установлен вендором по умолчанию.

Стратегия подбора пароля

Разобравшись с нюансами выбора пароля пользователями, мы можем разработать и стратегию подбора пароля в ходе тестирования на проникновение.
Зафиксируем исходные условия:

  • проводим тестирование на проникновение (исключительно этичный хакинг);
  • имеются системы с механизмом авторизации по паре логин-пароль;
  • хотим скомпрометировать максимальное количество учетных записей пользователей в максимальном количестве систем;
  • рассматриваем только онлайн-подбор паролей (взлом хешей не рассматриваем).
Шаг 1. Определение имен учетных записей пользователей

Для успешной авторизации одного пароля, как правило, недостаточно, нужно еще знать и имя учетной записи. Разберемся, как ее получить.

Вариант 1. Получение списка учетных записей, используя уязвимость в системе.
Например, контроллер домена Windows может быть сконфигурирован таким образом, что позволяет анонимному пользователю получать список учетных записей пользователей.
Любой может проверить свой контроллер домена на эту возможность, например, воспользовавшись утилитой командной строки rpcclient из состава «Сканер-ВС»:

  1. Подключаемся к контроллеру домена и на запрос ввести пароль просто нажимаем Enter:
    rpcclient -U «» IP-адрес_контроллера_домена
  2. Запускаем встроенную команду enumdomusers
    rpcclient $> enumdomusers

Вариант 2. Формирование списка на основе «разведданных» и анализа.

Имена пользователей даже в небольших организациях задаются администраторами на основе некоторого стандарта. Самые распространенные варианты: первая буква имени + фамилии: adorofeev, тоже самое, но через точку a.dorofeev, полное имя + фамилия: alexander.dorofeev. Также часто имена внутренних учетных записей совпадают с учетной записью электронной почты, соответственно правило формирования имени пользователя можно определить просто «погуглив» адреса сотрудников, засветившихся в интернете, а полный перечень сформировать на основе списка сотрудников, который можно получить из внутреннего телефонного справочника, а также социальных сетей. В крайнем случае можно формировать комбинации наиболее часто встречающихся имен и фамилий по наиболее распространенным правилам формирования имен учетных записей.

Вариант 3. Наиболее распространенные учетные записи и записи по умолчанию.

Во многих системах есть учетные записи по умолчанию. Как минимум, это admin или administrator. В некоторых системах их довольно много, так в СУБД Oracle можно встретить SYSTEM, SYS, ANONYMOUS, CTXSYS, DBSNMP, LBACSYS, MDSYS, OLAPSYS, ORDPLUGINS, ORDSYS, OUTLN, SCOTT, WKSYS, WMSYS, XDB. Соответственно, имеет смысл заглянуть в руководства администраторов систем, которые вы хотите тестировать.

Зачастую, в системах появляются учетные записи, которые очень легко вычислить, например, если в компании есть учебный класс, то вероятность наличия учетных записей teacher и student довольно высока. А много ли систем в которых, кто-нибудь да не создал учетную запись test?

Шаг 2. Первичный подбор паролей

Понимая какие учетные записи в каких системах в тестируемой ИТ-инфраструктуре мы планируем скомпрометировать, можем определить последовательность систем для атаки:

Класс системУчетные записиПароли
1Контроллер доменаУчетные записи сотрудников, административные, типовые.Самые распространенные.
2Бизнес-приложенияУчетные записи сотрудников, административные, типовые.Самые распространенные.
3СУБДУчетные записи сотрудников, административные, типовые, по умолчанию.Самые распространенные, по умолчанию
4Специальные системы и сервисы: backup, ftp и т.п.Административные, по умолчанию.Самые распространенные, по умолчанию.
5Активное сетевое оборудованиеАдминистративные, по умолчанию.Самые распространенные, по умолчанию.

В случае если в системах включена блокировка учетных записей после нескольких неудачных попыток (как правило, выбирают число 5), а время на тестирование ограничено, и мы не можем выставлять таймаут между попытками для сброса счетчика, то имеет смысл «пробежаться» по всем пользователям, проверяя следующие вероятные пароли:

  • qwerty;
  • совпадающий с именем учетной записи;
  • пустой.
Шаг 3. Расширение зоны влияния

Подобрав пароли к учетным записям, первое что должен сделать этичный хакер, так это авторизоваться и посмотреть, к чему он получил доступ.
В случае, если доступ получен к файловой системе, то необходимо провести поиск следующих файлов:

  • файлы конфигурации, которые могут содержать информацию об IP-адресах и учетных записях;
  • резервные копии систем, образы ОС для «накатывания» на новые машины. Из них часто можно извлечь хеши паролей;
  • SQL-скрипты, которые также часто содержат полезную информацию.
    Подобранные пароли и учетные записи для одной системы необходимо проверить и для других, так как пользователи, в том числе администраторы, любят использовать одни те же пароли в разных системах.

Этичному хакеру на заметку: в крупных организациях часто встречаются среды для тестирования, в которых используются данные, восстановленные из не очень старой резервной копии БД боевой системы. При этом тестовые среды, как правило, плохо защищены, например, может быть несколько административных учетных записей администраторов и простые пароли. Компрометация подобной системы ведет к тому, что специалисты по тестированию получают доступ к хешам паролей пользователей, которые зачастую актуальны для боевой системы.

Инструменты и словари для онлайн-подбора паролей

Классическим инструментом для онлайн-подбора паролей является утилита командной строки thc-hydra, а для этичных хакеров и администраторов, любящих комфорт, данный функционал с интуитивно понятным интерфейсом имеется в нашем комплексе «Сканер-ВС»:

Также ключевым фактором успешного подбора пароля является доступность хорошо составленных словарей, а вот с этим бывают проблемы. Словари, поставляемые вместе с современными отечественными средствами анализа защищенности не всегда содержат действительно полезные наборы слов. Например, включают стандартный словарь, распространяемый с одной бесплатной утилитой. Решение, конечно, простое, но не очень эффективное. Разве можно представить себе российского пользователя, выбравшего такие пароли, как: soccer, cutiepie, maganda или mustang. Как много в среднем российском городе счастливых обладателей Ford Mustang? Иногда включают замечательный словарь, основанный в основном на паролях, оставляемых по умолчанию, но совершенно забывают про обычных пользователей и их любимые пароли.

Мы решили исправить эту досадную ситуацию и составили свои списки паролей, которые теперь доступны не только пользователям нашего комплекса тестирования защищенности «Сканер-ВС», но и всем желающим на сайте нашего решения в разделе «Пароли»:

  1. TOP-157
  2. TOP-25
  3. Числовые последовательности
  4. Даты
  5. Клавиатурные последовательности
  6. Распространенные мужские имена
  7. Распространенные женские имена

Списки учетных записей:

  1. Пользовательские мужские: первая буква имени + фамилия
  2. Пользовательские мужские: первая буква имени + точка +фамилия
  3. Пользовательские мужские: имя + точка +фамилия
  4. Пользовательские женские: первая буква имени + фамилия
  5. Пользовательские женские: первая буква имени + точка +фамилия
  6. Пользовательские женские: имя + точка +фамилия

Заключение

Хакеру из фильма «Пароль «Рыба-меч» повезло и, несмотря на отвлекающие факторы и хаотичный стиль работы, он смог подобрать пароль и остаться в живых. Пользуясь структурированным подходом, этичные хакеры увеличивают свои шансы на успех в тестировании на проникновение и в меньшей степени полагаются на удачу. Данный подход будет работать, пока пароли будут выбираться людьми.

  • тестирование на проникновение
  • этичный хакинг
  • подбор паролей
  • сканер-вс
  • Блог компании Эшелон
  • Информационная безопасность

Оставьте комментарий