Взлом за несколько минут
Пароли, обеспечивавшие безопасность пользовательских данных годами и десятилетиями, с трудом защищают пользователей от взлома, пишет издание The Conversation. Оно посвятило этому аналитическую статью, в котором указало, что в современном мире подбор паролей занимает совсем немного времени и может быть осуществлен за минимальную сумму.
Вооруженный файлом с паролями нужной длины, хакер может использовать его для взлома аккаунта методом перебора (brute force). В зависимости от имеющегося у него инструментария и длины пароля на это может потребоваться различное количество времени, но, к примеру, если задействовать облачные вычисления, то восьмисимвольный пароль может быть подобран приблизительно всего за 12 минут. По данным The Conversation, столь существенная экономия времени обойдется киберпреступнику всего в $25 (1910 руб. по курсу ЦБ на 23 сентября 2020 г.).
Но существуют и еще более доступные способы по затратам времени и денег получения доступа к нужному аккаунту. Существуют онлайн-сервисы, предлагающие покупателям архивы и паролями к ним, и тому, кто приобретет такие архивы, понадобится всего лишь найти требуемую ему комбинацию простым поиском по документу.
Для примера, в Сети можно купить архив с 593 млн адресами электронной почты и паролями к ним. Обойдется такая покупка всего лишь в 14,4 австралийских доллара. (790 руб.).
Хэш – это не панацея
Нередко в украденных базах с паролями с тех или иных сайтов эти самые пароли представлены в хэшированном (зашифрованном при помощи специального алгоритма) виде. Попытка авторизоваться, используя зашифрованный пароль, не приведет к должному результату.
Но и это в настоящее время перестало быть проблемой. В Сети существуют множество общедоступных сайтов, позволяющих моментально преобразовать хэшированный пароль в обычный. Более того, искать их даже не придется – поисковые сервисы сделают это самостоятельно. Например, пароль «Pa$$w0rd», зашифрованный хэш-алгоритмом SHA-1, выглядит как «02726d40f378e716981c4321d60ba3a325ed6a4c». Если же ввести эту комбинацию в Google, то первая же ссылка в поисковой выдаче приведет на сайт-дешифратор. Редакция CNews убедилась, что это работает и с «Яндексом».
Расшифровка паролей из хэша стала настолько распространенной практикой, что в Сети стали появляться многочисленные веб-сайты, на которых перечислены общие пароли вместе с их хэшированным значением. Можно вписать в строке поиска нужный хэш и получить готовый пароль.
Безопасность данных никому не нужна
Практики по перебору паролей должны были бы привести к тому, что пользователи были бы вынуждены научиться создавать максимально длинные и сложные комбинации букв и символов для защиты от взлома. Но, на самом деле, все совершенно не так. В 2019 г., по статистике ресурса SplashData, в первую тройку наиболее популярных паролей входили «123456», «123456789» и, разумеется, «qwerty».
Ситуация с популярными комбинациями символов для паролей не меняется годами. Так, «123456» удерживает первое место на протяжении как минимум последних пяти лет, а слово «password», с 2015 по 2018 гг. стабильно занимавшее вторую строчку, лишь в 2019 г. спустилось на четвертую.
Возможное решение проблемы
Пароли больше не могут обеспечить безопасность личных данных пользователей, но и повсеместно распространенной альтернативы у них пока еще нет. В итоге есть лишь один способ защитить свою информацию хотя бы частично – нужно использовать разные пароли на разных сайтах и в разных системах.
Такой подход позволит снизить вероятность взлома сразу всех аккаунтов. Кроме того, пользователю не придется в спешке менять пароли на всех сайтах, где он использовал украденную комбинацию. Также The Conversation рекомендует хранить все пароли в специальных менеджерах – отдельных программах или веб-сервисах.