Выбирай : Покупай : Используй

Вход для партнеров

Вход для продавцов

0

Безопасность пользователей в прошлом. Пароль можно подобрать за $25 и 12 минут

Пароли как средство защиты пользовательских данных полностью устарели. Подобрать любой из них можно за несколько минут при помощи облачных вычислений, а сервис дешифровки хэшированных паролей за пару секунд находится в Google или «Яндексе».

Взлом за несколько минут

Пароли, обеспечивавшие безопасность пользовательских данных годами и десятилетиями, с трудом защищают пользователей от взлома, пишет издание The Conversation. Оно посвятило этому аналитическую статью, в котором указало, что в современном мире подбор паролей занимает совсем немного времени и может быть осуществлен за минимальную сумму.

Вооруженный файлом с паролями нужной длины, хакер может использовать его для взлома аккаунта методом перебора (brute force). В зависимости от имеющегося у него инструментария и длины пароля на это может потребоваться различное количество времени, но, к примеру, если задействовать облачные вычисления, то восьмисимвольный пароль может быть подобран приблизительно всего за 12 минут. По данным The Conversation, столь существенная экономия времени обойдется киберпреступнику всего в $25 (1910 руб. по курсу ЦБ на 23 сентября 2020 г.).

Но существуют и еще более доступные способы по затратам времени и денег получения доступа к нужному аккаунту. Существуют онлайн-сервисы, предлагающие покупателям архивы и паролями к ним, и тому, кто приобретет такие архивы, понадобится всего лишь найти требуемую ему комбинацию простым поиском по документу.

Пароли продаются в интернете у всех на виду

Для примера, в Сети можно купить архив с 593 млн адресами электронной почты и паролями к ним. Обойдется такая покупка всего лишь в 14,4 австралийских доллара. (790 руб.).

Хэш – это не панацея

Нередко в украденных базах с паролями с тех или иных сайтов эти самые пароли представлены в хэшированном (зашифрованном при помощи специального алгоритма) виде. Попытка авторизоваться, используя зашифрованный пароль, не приведет к должному результату.

Но и это в настоящее время перестало быть проблемой. В Сети существуют множество общедоступных сайтов, позволяющих моментально преобразовать хэшированный пароль в обычный. Более того, искать их даже не придется – поисковые сервисы сделают это самостоятельно. Например, пароль «Pa$$w0rd», зашифрованный хэш-алгоритмом SHA-1, выглядит как «02726d40f378e716981c4321d60ba3a325ed6a4c». Если же ввести эту комбинацию в Google, то первая же ссылка в поисковой выдаче приведет на сайт-дешифратор. Редакция CNews убедилась, что это работает и с «Яндексом».

Дешифровка хэшей перестала быть проблемой и проводится прямо в онлайне

Расшифровка паролей из хэша стала настолько распространенной практикой, что в Сети стали появляться многочисленные веб-сайты, на которых перечислены общие пароли вместе с их хэшированным значением. Можно вписать в строке поиска нужный хэш и получить готовый пароль.

Безопасность данных никому не нужна

Практики по перебору паролей должны были бы привести к тому, что пользователи были бы вынуждены научиться создавать максимально длинные и сложные комбинации букв и символов для защиты от взлома. Но, на самом деле, все совершенно не так. В 2019 г., по статистике ресурса SplashData, в первую тройку наиболее популярных паролей входили «123456», «123456789» и, разумеется, «qwerty».

Наиболее популярные пароли нельзя назвать изощренными

Ситуация с популярными комбинациями символов для паролей не меняется годами. Так, «123456» удерживает первое место на протяжении как минимум последних пяти лет, а слово «password», с 2015 по 2018 гг. стабильно занимавшее вторую строчку, лишь в 2019 г. спустилось на четвертую.

Возможное решение проблемы

Пароли больше не могут обеспечить безопасность личных данных пользователей, но и повсеместно распространенной альтернативы у них пока еще нет. В итоге есть лишь один способ защитить свою информацию хотя бы частично – нужно использовать разные пароли на разных сайтах и в разных системах.

Такой подход позволит снизить вероятность взлома сразу всех аккаунтов. Кроме того, пользователю не придется в спешке менять пароли на всех сайтах, где он использовал украденную комбинацию. Также The Conversation рекомендует хранить все пароли в специальных менеджерах – отдельных программах или веб-сервисах.