Слабкі паролі або сильні хакери

Ексклюзивні ІТ-новини, огляди та інтерв'ю

Слабкі паролі чи сильні хакери?

сильні

Типові та нетипові проблеми

Для самих хакерів всі ці витоку інформації про паролі і логіни користувачів, а також список «зібраних» реальних паролів, що все збільшується, означає можливість ще ретельніше вивчити звички користувачів — наприклад, у далекому 2009 році завдяки злому сервісу онлайн-ігор RockYou.com вдалося отримати доступ до 32 мільйонів паролів.

Безумовно, паролі не зберігаються на серверах у відкритому доступі. Кожен окремий пароль шифрується з використанням особливого алгоритму і зберігається у вже зміненому вигляді як хеш-значення (наприклад "aad3b435b51404eeaad3b435b51404ee"). Що важливо - навіть невелика зміна в паролі, наприклад додавання цифри або зміна однієї малої літери на велику, повністю змінює хеш-значення. Способу повернути хеш в його первісне, звичне для ока користувача значення, не існує.

слабкі

Як хакерам вдається дізнатися пароль, якщо немає можливості «розшифрувати» вже один раз зашифрований пароль? Дуже просто. Замість того щоб повертати хеш-значенню його первісний вигляд, можна навпаки, зашифрувати гаданий пароль і порівняти отриманий хеш з наявним. Оскільки алгоритми шифрування відомі — це не становить жодних труднощів.

Таким чином, ще одна причина вразливості паролів, у тому числі й в інтернеті — використання надто простих (або «добре відомих») алгоритмів шифрування

Більшість сайтів, навіть відомих і часто відвідуваних, використовують дуже легкі для подальшої розшифровки алгоритми. Фахівець з безпекиДжеремі Госні(Jeremi Gosney) каже, що длязлому 90% з 6,5 мільйона паролів з відомого сайтуLinkedIn(для шифрування даних користувачів там використовується алгоритм SHA1) йому знадобилося шість днів, 10%, що залишилися, вдалося практично в повному обсязі зламати за наступну добу. При цьому існують досить ефективні способи шифрування даних. Використання, наприклад, алгоритму SHA-2 значно ускладнило б хакерам отримання паролів.

Нові горизонти злому

Злом у 2010 році серверівGawker Mediaстав моментом істини для користувачів, оскільки відкрив їм очі на проблему простоти паролів та їх багаторазового повторного використання на інших сайтах. А ось злом у 2009 році сайту RockYou був переломним моментом для хакерів. Отримавши доступ до величезної кількості паролів, хакери змогли вивчити «логіку» користувачів та способи створення паролів. Завдяки цьому з'явилася можливість перейти від досить тривалої атаки простим перебором до складніших, але якісно іншим методикам.

Відомо, що при створенні пароля замість незрозумілої і вкрай складної для запам'ятовування комбінації цифр і літер, користувачі набагато охочіше використовують звичні слова, а часто і взагалі імена або прізвища. Способи ускладнити свій простий пароль також досить банальні

Деякі користувачі в кінці пароля, після імені або слова, додають кілька цифр - скажімо,katia1977. Інші починають слово (перше або кожне, якщо пароль складеної) з великої літери - наприклад,NewPass. Спеціальні знаки та цифри найчастіше використовуються як заміна букв – наприклад буква E замінюється цифрою 3, а буква S – символом $. Іноді слово "дзеркається" -passworddrowssap.

Прикладом такого роду атаки є метод гібридної атаки за словником.

Атом,учасник командиHashcat, яка виграла цього року хакерський конкурс Crack Me If You Can, стверджує, що цей спосіб є його улюбленим типом атаки. Він говорить:

Вона найефективніша. Якщо я отримую новий хеш-список, наприклад, на 500 000 хеш-рядків, то я можу зламати 50 відсотків, просто використовуючи «гібрид». Цей тип атаки дозволяє створювати свої способи варіації слів та перевіряти пароль, отриманий за заданими правилами на відповідність.

хакери

Наприклад, можна встановити правило, у якому перша буква пароля буде великою, через п'ять символів будуть дві цифри, та був ще одне слово з першої великої буквы. Слова для встановлення зазвичай беруться зі списку слів будь-якого словника. Спеціальна програма для гібридної атаки генерує великий перелік комбінацій, створених з допомогою цього конкретного встановленого набору правил. У разі невдачі створюється новий набір правил та генерується новий список комбінацій.

Чим краще хакер знає звички користувачів, тим швидше підбереться пароль. А знання звичок незмінно приходить із новим досвідом та новими списками зламаних паролів

Іншим «покращеним» способом злому пароля є використання райдужних таблиць. Концепція досить проста і зрозуміла: замість того, щоб перебирати всі можливі поєднання літер і цифр, створювати на їх основі хеш-код і порівнювати його з «паролем», що визначається, пропонується створювати ланцюжки можливих паролів.

Побудова ланцюжка починається з випадкового гаданого пароля, який проходить через алгоритм шифрування для отримання хеш-значення. Це значення потім обробляється функцією редукції отримання нового хеш-значения. Процес триває, поки не буде досягнуто кінця ланцюжка (проміжні значеннявидаляються, записується лише перше та останнє значення). Таблиці працюють лише для тих алгоритмів, для яких вони були створені (наприклад, MD5-таблиці для паролів, що використовують MD5-хешування).

3 простих правила

Останніми роками покращені потужності персональних комп'ютерів разом із поширенням сильних графічних карт зробили цей спосіб менш затребуваним (потужності комп'ютерів дозволяють у прискореному темпі «підібрати» пароль середньої складності швидше, ніж буде сформована і опрацьована райдужна таблиця). Однак кількість вже існуючих таблиць на спеціальних сайтах хакерів збільшується з кожною секундою і, отже, цей спосіб ще не втратив свою актуальність.

слабкі

На жаль, незважаючи на явні переваги застосування «солі», веб-сайти не використовують цей спосіб шифрування інформації, і особисті дані мільйонів користувачів щодня наражаються на небезпеку. Варто лише сподіватись, що ситуація вирішиться сприятливим для користувачів способом – надто багато особистого зараз зберігається у віртуальному просторі всесвітньої Мережі.