Забавно Сигурност

Потребителите са си виновни за “слабите” пароли? Помислете пак.

1

 

Мнозинството от пребиваващи в Интернет хора, са уязвими за хакерски атаки основно заради “слабите” (лесните за налучкване или насилствено разбиване) пароли. Това е факт. Но дали крайните потребители са изцяло отговорни за това?

Да помислим.

Преди няколко месеца излезе ежегодната класация за най-слаби пароли през изминалите 12 месеца. С поклащане на глави видяхме, че потребителите все още защитават имейлите, компютрите и системите си за видеонаблюдение с паролите 123456, password и admin.

Ако крайният потребител може да бъде посочен с пръст за ползването на толкова лесни пароли, то решението би било да му бъде показано нагледно защо това не бива да се прави; да бъде обучен как да спазва добрите практики в сигурността.

Но дали това е възможно? На практика – не.

Дори и знаейки за опасностите, които ни дебнат, както и за мерките, които можем да предприемем, за да защитим данните си от посегателства, дали ползваме силни пароли за всеки сайт? За ВСЕКИ сайт? Запитайте се.

 Кой е виновен за това, че потребителите избират и използват несигурни пароли?

Това са уеб-сайтовете и техните разработчици, които не прилагат политики и изисквания за силни пароли на потребителите си, позволявайки им да ползват несигурни такива. Така че няма ли да е едно страхотно решение всеки регистриран потребител в уеб-сайт или някаква форма на услуга, да бъде задължаван да има силна парола?

Повечето от нас получават нервни тикове, когато, при избор на парола за някаква онлайн-услуга, попадат на съобщение от типа:

Вашата парола трябва:

  • да съдържа 8 или повече символа
  • да включва малка и главна буква
  • да включва поне един специален символ (!, @, #, $, * и т.н.)
  • да включва поне една цифра

Не се ядосвайте на тези сайтове. Най-малкото ще знаете, че те държат на сигурността на потребителите си и техните данни. Въпреки това не всички сайтове акцентират върху това, позволявайки на потребителите си да ползват ужасни пароли. Дори Google и Facebook позволяват лесни за отгатване или разбиване пароли – единственото им изискване е символите в паролата да са 8 или повече, за да могат да си осигурят по-широка популярност и по-масово ползване на предоставяните от тях услуги.

Въпреки това, за да сме съвсем честни, трябва да кажем, че няма такова нещо като “неразбиваема парола”. Дори силните пароли са уязвими.

aircrack-ng

Съществува подход за разбиване на пароли, наречен “метод на грубата сила” или bruteforce attack. При него специализиран хакерски софтуер пробва всички възможни комбинации от символи, докато една от тях не съвпадне с търсената парола. Когато това стане, хакерът може да се разположи спокойно в електронната ви поща, банковата ви сметка или домашната ви мрежа. Този процес изисква много изчислителна мощ – колкото по-бърз е компютърът, на който се извършва, толкова повече пароли за единица време ще може да “пробва” и толкова по-бързо ще се стигне до успешен за хакера резултат. С падането на цените на компютърния хардуер, човек може лесно да се снабди с достатъчно силна конфигурация, че да разбие всяка парола, стига да разполага с достатъчно време. За пример можем да ви дадем извадка от нашия опит в Penetration test-ове, правени за наши клиенти – паролата 029586857 се разбива за 5 минути. 0899355050 – за един час. Една седмица отне на сървъра ни да стигне до %h5M4vE6. За паролата fg3J7m4vUc34 по предварителни изчисления, ще ни трябва малко по-малко от месец.

А сме сигурни, че има хакерски групи с хардуер, чиито възможности надвишават неколкократно нашите.

Въпреки всичко, ако паролата, която изберете да използвате, е достатъчно комплексна (и наистина съдържа поне 12 символа, главни и малки букви и поне по една цифра и специален символ) ще е много по-трудно за хакер да я пробие в разумни времеви граници – което ви прави непривлекателна жертва и ви гарантира по-спокойно информационно ежедневие.

В следващата ни статия ще ви покажем няколко трика за създаване на пароли, които са лесни за запомняне (направо са си невъзможни за забравяне! И то за всеки човек, не само за такива с “инж.” пред името), като в същото време са много, ама наистина много трудни за разбиване.

Източници:

The Hacker News

https://www.teamsid.com

About the author

Дамян Дешев

Предприемач, хакер, лектор и основател на Cyhat JSco.

Add Comment

Click here to post a comment