Почтовые ящики и разного рода другие аккаунты вскрываются в основном не какими-то хитроумными хакерскими программами, а обычными людьми без применения каких-то специальных программ. Обычно это Ваши хорошие знакомые, однокласники в школе, одногрупники в ВУЗе или коллеги по работе. Чаще всего они хорошо знают Ваши личные данные, которые Вы можете использовать в качестве пароля. Наиболее популярные личные данные, которые используются в качестве паролей, это личные имена, фамилии, даты рождения, имена домашних животных, имена детей, имена супругов, девичьи фамилии и т.п.
Порой нам так смешно смотреть, как во всех голливудских фильмах нужный пароль подбирается со второго раза. Дескать, какие тупые эти американские режиссеры и сценаристы, а заодно и американские зрители, которые это все принимают за "чистую монету". Но на самом деле в этих эпизодах голивудских фильмов гораздо больше истины, чем кажется на первый взгляд.
Следующие типы паролей, которые часто применяют пользователи и которые также легко подбираются не профессиональным хаккером, а обычным человеком, это пароли типа "123456789" или "qwerty". В Интернете можно найти списки наиболее популярных паролей пользователей. Если Вы применяете такие пароли, то любой человек посидев за компьютером с таким списком минут 15, пробуя разные пароли из списка, проникнет в Ваш аккаунт. По статистике такого типа пароли использует примерно каждый двадцатый пользователь. В хит-параде частых паролей пользователей в первую десятку также попадают пароли "123", "12345", "azwerty", "qaz", "zaq", "111", "987654321" и подобные. Если Вы увидели в этом списке свой пароль, или Ваш пароль подобен этим, то тут же меняйте его. Ведь эту статью читаете не только Вы.
Еще быстрее такие пароли взламываются профессиональными хакерами с помощью специальных программ. Таким программам требуются всего доли секунд на вычисление простого Вашего пароля, если Интернет-сервис с Вашим аккаунтом не принимает никаких других дополнительных методов защиты. Эти программы тупо перебирают подобные пароли в автоматическом режиме с огромной скоростью и в автоматическом режиме делают попытки входа в Ваш аккаунт до тех пор, пока очередная попытка не заканчивается удачей.
Интернет-сервис, на котором находится Ваш аккаунт, может принимать некоторые дополнительные методы защиты. Это затрудняет подбор пароля и затягивает время, когда Ваш аккаунт будет взломан.
Например, один из видов защиты состоит в том, что сайт не принимает слишком частые попытки авторизоваться. Ну что же, программа взлома паролей будет настроена не на максимальную скорость работы, а на подбор пароля с паузой после каждой попытки. Ваш аккаунт будет взломан не за доли секунд, а за 5 минут. Разница небольшая!
Или некоторые сайты защищаются таким способом от подбора пароля. Если произойдет три неудачных попытки войти в аккаунт, то временно на 15 минут (или на пару часов или на сутки) блокируется любая возможность захода в аккаунт с того IP-адреса, с которого эти три раза вводились неправильные пароли. Но для простых паролей обходится и эта защита или путем подмены своего IP-адреса через прокси-сервера или растянув всю процедуру взлома на несколько часов (или дней).
Наиболее сильной защитой от подбора считается требование ввести цифры, которые нарисованы в кривом виде на картинке. Фактически это устраняет автоматический вид подбора пароля. Но надо иметь в виду, что чем более бесплатен тот, сервис, где Вы завели себе аккаунт, тем менее он защищен от подбора паролей. Значит тем больше Вы должны полагаться не на дополнительные средства защиты от подбора пароля, а на сложные пароли.
Более сложными считаются пароли из каких-либо осмысленных слов. Если сайт с Вашим аккаунтом не применяет каких-то дополнительных мер по защите от автоматического подбора паролей, то хакерские программы подбора подбирают нужный пароль за несколько секунд. Точные цифры времени подбора зависят от длины пароля и языка осмысленного слова. Например, пароль из английского слова до 10 букв подбирается в среднем за 2 секунды. На русские слова уходит большее время из-за неоднозначности написания одного и того же слова английскими буквами. У каждого русского слова как минимум два варианта написания. Например, слово "мама" в качестве пароля может писаться и как "mama" и как"vfvf". А слово "стой" уже имеет четыре варианта написания: "cnjq", "stoy", "stoi" и "stoj".
Пароль, в котором всего четыре символа, включая цифры и спецсимволы (типа "6s$z") сопротивляется подбору в среднем около трех минут.
А вот пароль из семи символов с буквами разного регистра, цифрами и хотя бы одного спецсимвола (типа "j2G#t7M") выдержит осаду программы автоматического подбора примерно 30 суток. И это в случае, если на сайте нет никаких других методов защиты от автоматических подборов паролей. При наличие таких защит время взлома увеличивается до нескольких лет.
Итак, для защиты Вашего аккаунта от взлома нужен как можно более длинный пароль состоящий из случайного набора букв разного регистра, цифр и спецсимволов.
Далее, если Вы имеете на разных сайтах разные аккаунты, то пароли разных аккаунтов должны быть разными. В случае взлома одного из Ваших аккаунтов, другие аккаунты останутся в сохранности.
Затем, ни в коем случае не запоминайте свои пароли у себя в компьютере, когда Вам это предлагает сделать ваш браузер. Часто бывает так, что при первом входе свой аккаунт, Ваш браузер спрашивает Вас, сохранить ли Ваш пароль. Вроде бы это очень удобно. Не надо запоминать эти сложные пароли. Но тут Вас подстерегают две неприятности.
Если Вы привыкните к такому методу запоминания паролей, то рано или поздно Вы "проколитесь" на следующем. За Вашим компьютером может оказаться другой человек (Ваш гость, работник компьютерного сервиса и т.п.), который находясь в Интернете, может зайти на тот сайт, где у Вас заведен аккаунт. При этом перейдя в авторизацию, он обнаружит, что Ваши логин и пароль уже подставлены в нужные строки ввода. Ему остается только войти в Ваш аккаунт и "поработать" там за Вас. А если система позволяет менять пароли не зная старый пароль, то он может просто сменить Ваш пароль и оставить Вас без аккаунта.
Вторая неприятность состоит в том, что обычно хакерские программы знают то место на диске Вашего компьютера, где браузеры хранят пароли. Такие хакерские программы проникают к Вам в компьтер теми же технологиями, что и обычные вирусы или трояны. Собственно это и есть один из видов вируса - шпионские программы. Их назначение состоит в том, чтобы быть как можно более незаметными, ничем не вредить работе компьютера и работе запускаемых компьютерных программ. Они только исправно отсылают информацию о Ваших паролях в нужное место.
Исходя из сказанного в последнем абзаце, становится понятным, что необходимо регулярно проверяться на вирусы или использовать постоянный антивирус. Если Вы хранили Ваши пароли в компьютере, то после обнаружения и обезвреживания в Вашем компьютере какого-нибудь вируса, о назначении которого Вы ничего не знаете, необходимо сменить все Ваши пароли. Есть некоторая вероятность, что этот вирус как раз и мог быть той шпионской программой, которая передавала хакерам Ваши пароли.
Если Вы длительное время храните Ваши пароли в компьютере и регулярно находите и уничтожаете у себя вирусы, а Ваши аккаунты при этом остаются по-прежнему Вашими, то это еще ничего не говорит о том, что будто бы Ваши пароли неизвестны хакерам. Злоумышленникам порой невыгодно, чтобы Вы обнаружили их деятельность в Ваших аккаунтах. Например, ваши почтовые аккаунты могут тайно от Вас использоваться для автоматической рассылки спама. Спамеру невыгодно, чтобы Вы обнаружили его деятельность в Вашем почтовом ящике, так как при этом он имеет возможность использовать Ваш почтовый ящик неоднократно, пока его не заблокируют за рассылку спама.
Итак, вывод: Все Ваши пароли надо хранить в какой-нибудь тетрадке или блокноте, а не в компьютере. Все Ваши пароли необходимо регулярно время от времени менять, хотя бы 4-6 раза в год. Необходимо регулярно проверяться на вирусы и регулярно обновлять свой антивирус. Все ваши пароли должны быть как можно длиннее и только сложного типа с буквами разного регистра, с цифрами и со спецсимволами.
Продолжение: "Часть II: Как добровольно не выдать свой пароль"
...
Май 2009
...