Секреты паролей: почему ваш пароль никогда не бывает безопасным?

  • 2 января, 12:23
  • 4951
  • 0

Сегодня большая часть нашей работы зависит от Интернета. Достаточно ли установить пароль для безопасности наших учетных данных? Действительно ли мы знаем, как обращаться с паролями? Недостаточное понимание особенностей паролей позволяет мошенникам шпионить за нами и обманывать, заставляя думать, что ничего не произошло. 

Вот почему мы проанализируем 3 блока, в которых изложены наиболее распространенные заблуждения о паролях; способы, которыми наши пароли могут быть украдены; и инструменты, необходимые для того, чтобы этого не случилось.

Мифы о паролях, в которые не стоить верить

1. Файл, папка, компьютер или учетная запись, защищенные паролем, являются безопасными. 

Прочитайте остальную часть статьи и узнаете, почему это утверждение не соответствует действительности.

2. Ваши пароли надежны, если вы имеете дело с авторитетными веб-сервисами.

Крупные компании, обслуживающие десятки миллионов клиентов по всему миру всегда находится в поле зрения самых высококвалифицированных хакеров. Например:

  • LinkedIn - файл с 6,5 миллионами паролей от учетных записей LinkedIn появился на онлайн-форуме в России.
  • Yahoo - 450 000 имен пользователей и паролей от Yahoo! были размещены в Интернете
  • Sony (Playstation) - 77 миллионов учетных записей пользователей Sony PlayStation, содержащих пароли и другую личную информацию было украдено.

3. Поле ввода пароля, которое скрывает символы вас обезопасит.

Точки или звездочки, отображаемые в поле ввода пароля, предназначены только для того, чтобы люди, находящиеся рядом с вами, не видели, что вы там вводите. Как пароль на самом деле хранится или отправляется, это отдельная история.

4. «Сильные» пароли трудно компрометировать.

Даже если ваш пароль длинный и сложный (например, комбинация заглавных и строчных букв, цифр и других не алфавитно-цифровых символов), если он хранится или отправляется в виде открытого текста, вы подвергаетесь атаке. Обычный текст означает, что его можно просматривать в точности так, как он был введен, используя легкодоступные инструменты. Например, если ваш пароль - Super$ecretp@Ss , бесплатный загружаемый инструмент, такой как Ettercap, позволяет просматривать ваш пароль именно в таком виде. Но, если ваш пароль зашифрован, это означает, что его нельзя просмотреть с помощью того же инструмента (Ettercap). Он будет отображаться как-то так: xt% y & 1sm ^ * it;> 2. К сожалению, многие программные приложения до сих пор хранят и отправляют пароли в виде открытого текста. 

Часто используемые методы для кражи паролей

1. Взлом сервера, который хранит пароли в открытом виде

Есть много способов сделать это. Они могут варьироваться от сложных звучащих методов, таких как «инъекция SQL», до «ручных» методов, таких как кража жесткого диска сервера. Как только злоумышленник попадет в систему, пароли могут быть легко извлечены из базы данных.

2. Атака посредника, или атака «человек посередине» 

При атаке «человек посередине» (MITM) злоумышленник перехватывает связь между двумя компьютерами (например, сервером и клиентом, двумя клиентами, маршрутизатором и клиентом или маршрутизатором и сервером). Затем он настраивает свой компьютер для олицетворения обеих легитимных машин, а затем создает впечатление, что они все еще общаются друг с другом. В результате все их сообщения будут проходить через его компьютер, что позволит ему просматривать любую информацию, которая отправляется в виде открытого текста; в том числе имена пользователей и пароли.

3. Соблазнение доверчивых жертв с помощью троянов

Трояны - это вредоносные программы, маскирующиеся под скачиваемые программы, которые хакеры делают доступными через безобидные электронные письма или веб-сайты. После загрузки троян может незаметно выполнять любую гнусную деятельность, запрограммированную для него. Одним из распространенных действий является запись нажатий клавиш, когда жертва входит в «безопасный» сайт; другой сканирует память и извлекает пароли (дамп памяти). Когда это сделано, вредоносная программа передает эту информацию злоумышленнику.

4. Использование социальной инженерии

Обычно используемый прием социальной инженерии (известный как «фишинг») включает в себя отправку поддельных уведомлений по электронной почте, информирующих пользователей о взломе данных на законном веб-сайте, где у пользователей есть учетные записи. Затем в электронном письме пользователям будет дано указание сбросить свои пароли, щелкнув ссылку, которая ведет их на поддельный веб-сайт, очень похожий на настоящий. Поддельная страница просит пользователей ввести свое имя пользователя, старый пароль и новый пароль. 

Необходимые инструменты для обеспечения безопасности паролей

Если хакеры используют инструменты для упрощения и автоматизации своих эксплойтов, то у вас должны быть свои собственные инструменты, чтобы сделать их более трудными для них. При выборе инструмента безопасности, особенно для бизнеса, нужно помнить о том, что он должен быть простым в использовании, а также обеспечивать необходимый уровень безопасности. Если механизм или инструмент безопасности слишком сложный, конечные пользователи будут стремиться избегать его.

И вот подборка некоторых инструментов:

Password Generator - это помогает вам создавать пароли; особенно удобно, если вы устали сочинять свои собственные, и если вам нужны очень надежные пароли. 

Тестер надежности пароля -  если вы действительно хотите составить свои собственные пароли, вы должны убедиться, что они достаточно надежны. Такие инструменты, помогут вам определить, трудно ли взломать ваш пароль.

Менеджер паролей - этот инструмент помогает вам безопасно управлять всеми вашими паролями в одном месте и означает, что вам не нужно запоминать несколько сложных паролей. Вы можете централизовать все свои пароли из своих учетных записей электронной почты, блогов, социальных сетей, онлайн-банков и т.д. Например, популярный бесплатный сервис KeePass.

Встроенный том или шифрование жесткого диска. Если вы предпочитаете хранить пароли в файлах и сохранять их на своем настольном компьютере или ноутбуке, самый простой способ защитить их - использовать встроенные в операционную систему программы шифрования тома или жесткого диска. Использовать их довольно просто. В Windows используйте BitLocker. А в Mac OS X используйте FileVault.

Совместное использование паролей с поддержкой шифрования - когда люди отправляют пароли коллегам по работе, они обычно отправляют им электронные письма. Однако многие почтовые службы уязвимы для атак «человек посередине». Используйте бесплатные инструменты для шифрования данных и отправляйте их так, что только предполагаемый получатель может получить  доступ.

Также читайте: Как зашифровать ваши письма в Gmail?

Большинство людей не уделяют достаточного внимания созданию, хранению или отправке своих паролей; но никогда не поздно начать серьезно относиться к защите своей самой конфиденциальной информации.


0 комментариев
Сортировка:
Добавить комментарий

IT Новости

Смотреть все