Топ новостей


РЕКЛАМА



Календарь

Экономика мира » Новости »

Чому хакери так легко і просто зламують наші паролі?

Злом призначених для користувача паролів - одне з найпоширеніших злочинів в Мережі, що залишає далеко позаду DoS-атаки і створення бот-мереж. Чому ж хакерам так легко вдається розкривати паролі? А вся справа в горезвісному людському факторі.

Найголовніша причина - ми підсвідомо вибираємо такі паролі, які дуже складно вгадати і запам'ятати стороннім людям, але з якими «на раз» справляється звичайний персональний комп'ютер. Поговоримо про те, як насправді хакери розкривають паролі, і як з цим боротися.

У березні 2013 року відомий американський інтернет-журнал Ars Technica провів цікавий експеримент : Його редактор Нейт Андерсон, ніколи раніше не займався зломом паролів, озброївся вільно доступним в інтернеті софтом, найбільшої за останні роки базою хеш паролів сайту RockYou, також за секунди знайденої в Мережі, і за якісь кілька годин зламав трохи менше половини з завантаженого на спеціалізованому форумі списку з 16449 MD5-хеш, отримавши близько восьми тисяч користувальницьких паролів в звичайній текстовій формі.

У березні 2013 року відомий американський інтернет-журнал Ars Technica провів цікавий   експеримент   : Його редактор Нейт Андерсон, ніколи раніше не займався зломом паролів, озброївся вільно доступним в інтернеті софтом, найбільшої за останні роки базою хеш паролів сайту RockYou, також за секунди знайденої в Мережі, і за якісь кілька годин зламав трохи менше половини з завантаженого на спеціалізованому форумі списку з 16449 MD5-хеш, отримавши близько восьми тисяч користувальницьких паролів в звичайній текстовій формі

Повторимо, Андерсон до цього взагалі ніколи в житті не займався вломилися паролів. Тому, перебуваючи під враженням його успіхами, в травні 2013 року редакція Ars Technica вирішила повторити експеримент з тим же самим списком MD5-хеш, але вже за участю трьох професійних зломщиків. Цього разу результати виявилися ще більш нищівними.

Цього разу   результати   виявилися ще більш нищівними

Найбільше паролів вдалося розкрити експерту Stricture Consulting Group Джеремі Госні. Використовуючи звичайний серійний комп'ютер на процесорі AMD з відеокартою Radeon 7970, що він за двадцять годин зламав 14734 паролів, тобто 90% списку. Друге місце зайняв Йенс Штойбе, провідний розробник безкоштовного ПО oclHashcat-plus , Призначеного, звичайно ж, для злому паролів: використовуючи трохи більш потужну машину з двома відеокартами Radeon 6990, він всього лише за годину з невеликим розшифрував 13486 хеш, тобто 82% зі списку. Ще один хакер, який утік за псевдонімом radiх, за той же час розкрив 62% паролів, але при цьому він ще й докладно коментував свої дії.

Як же діють фахівці зі злому, і чому паролі так легко розшифрувати?

Перш за все, зламуються «прості» паролі, на що йде найменше часу, а потім, як в будь-якій комп'ютерній грі, хакер переходить на більш високі рівні, що вимагають значно більшого часу і особливих навичок.

Перш за все, зламуються «прості» паролі, на що йде найменше часу, а потім, як в будь-якій комп'ютерній грі, хакер переходить на більш високі рівні, що вимагають значно більшого часу і особливих навичок

Для початку, запускається підбір за принципом «грубої сили», що дозволяє розшифрувати більше половини паролів довжиною від одного до шести символів включно, в число яких входять по 26 латинських букв нижнього і верхнього регістрів, 10 цифр і 33 інших символів, в сумі - 95. В результаті ми маємо досить скромне число комбінацій, яке середньостатистичний десктоп здатний розрахувати за лічені хвилини.

В результаті ми маємо досить скромне число комбінацій, яке середньостатистичний десктоп здатний розрахувати за лічені хвилини

Подовження пароля всього на один-два символу радикально збільшує число варіантів, і повний перебір всіх комбінацій буде займати вже кілька днів. Тому фахівці зазвичай вибирають, наприклад, паролі, що складаються тільки з букв нижнього регістру, довжиною до 8 символів, а також паролі з чисел довжиною до 12 символів. Метод «грубої сили» з такими параметрами дозволяє розшифрувати значний відсоток довгих паролів.

Метод «грубої сили» з такими параметрами дозволяє розшифрувати значний відсоток довгих паролів

Використання методу підбору для більш складних паролів нераціонально, оскільки воно може затягнутися на роки, і тут зломщик вже переходить до використання спеціальним чином складених словникових списків, які підготовлені на основі реальних користувальницьких паролів, які «засвітилися» при різних витоках. Наприклад, найбільшу базу англомовних паролів за останні роки «надав» в розпорядження хакерів сайт RockYou в грудні 2009 року. В результаті банальної SQL-ін'єкції хакерам вдалося заволодіти базою даних більше 32 мільйонів користувачів, включаючи логіни, паролі та іншу інформацію в простій текстовій формі. База RockYou негайно була включена в усі хакерські «словники», які з тих пір неодноразово поповнювалися в результаті все нових витоків, в тому числі після злому соціальної мережі LinkedIn в 2012 році, коли «утекло» ще 6,5 мільйона пральних кешей.

Бази, подібні RockYou або LinkedIn, становлять особливу цінність, оскільки містять реальні паролі, а не просто довільні комбінації. Для розрахунку варіантів існують спеціальні правила заміни і підбору, що дає ще більше потенційних паролів. А якщо проаналізувати тематику сайту, інтереси і професії його користувачів, то можна додати ще більш тонкі алгоритми розрахунку зі специфічними шаблонами і масками.

А якщо проаналізувати тематику сайту, інтереси і професії його користувачів, то можна додати ще більш тонкі алгоритми розрахунку зі специфічними шаблонами і масками

Найпопулярніші паролі з бази RockYou

Цікаво, що користувачі великих загальнодоступних сайтів, перш за все, всіляких соціальних мереж, рідко обтяжують себе вигадуванням складних паролів, наївно вважаючи, що розміщується там інформація не представляє особливого інтересу для зловмисників. Більш того, з 32 мільйонів паролів RockYou 290 тисяч представляли собою до болю знайому комбінацію «123456», а ще кілька десятків тисяч - схожі поєднання з різною кількістю цифр. Нарешті, багато пользовали використовують однакові паролі на різних сервісах, а при зломі паролів на одному сайті, далеко не кожен стане міняти його і на всіх інших сайтах. Тому словниковий підбір залишається однією з найбільш потужних і ефективних технологій злому, що дозволяє, за різними оцінками, розшифрувати до 60-70% призначених для користувача паролів на будь-якому загальнодоступному сайті.

Для злому залишився масиву паролів використовуються гібридні атаки, що поєднують елементи «грубої сили» зі словниковим підбором. Наприклад, при завданні паролів деякі вважають за краще додавати до одного зі своїх старих паролів довжиною 7-8 символів по одній-дві цифри в верхню чи нижню частину. Зрозуміло, що з точки зору безпеки, такі паролі вже не витримують ніякої критики. Подібні «звичні» способи «покращення» старих паролів добре відомі фахівцям, тому такі шаблони анітрохи не підвищують їх стійкість.

Ще один тип гібридних атак поєднує «грубу силу» зі статистичним методом на основі ланцюгів Маркова, що дозволяє використовувати вже отримані дані про характерні особливості розшифрованих паролів для конкретного сайту, щоб передбачити можливі паролі інших користувачів.

Гібридні атаки в різних варіантах, а також «індивідуальні» настройки масок і шаблонів можуть займати чимало часу, але в результаті вони здатні розкрити до всіх 100% паролів для окремо взятого сайту (среднестатістіскі - від 60 до 90%). А якщо врахувати, що понад дві третини призначених для користувача паролів зламуються простими засобами за лічені години, надаючи корисну інформацію для аналізу, то талановитий професіонал може скоротити загальний час злому до розумного мінімуму.

Чому ж хакери так просто і швидко зламують паролі? Перш за все, через те, що їх придумують люди. Звичайні шаблони і звички добре відомі професіоналам, а сучасна техніка, зокрема, звичайні «побутові» графічні прискорювачі дозволяють швидко прорахувати всі можливі комбінації: наприклад, Radeon HD7970 здатний перебрати більше 8 мільярдів варіантів в секунду.

Саме тому для промислового використання рекомендуються спеціалізовані генератори паролів, які використовують алгоритми, які дозволяють виявити стабільні шаблони і запобігають можливість злому «грубою силою» за розумний відрізок часу, протягом якого розшифровуються паролі будуть вже замінені іншими.

Нарешті, ще одна причина полягає в тому, що далеко не всі загальнодоступні сайти реально стурбовані безпекою призначених для користувача паролів, і використовують для створення хеш досить прості алгоритми, які забезпечували б замість низьке навантаження на сервери. Навіть деякі великі сайти досі застосовують сумно зарекомендував себе алгоритм SHA1 - його стійкість зміцнило навіть додавання «солі», тобто унікального набору бітів до кожного паролю перед Зашифровки.

Після всіх цих подробиць спеціалізований сайт корпорації Intel, «перевіряючий» стійкість паролів, викликає напади реготу, коли видає 6 років на злом пароля BandGeek2014, що підбирається професіоналом, в гіршому випадку, за годину.

Після всіх цих подробиць спеціалізований   сайт   корпорації Intel, «перевіряючий» стійкість паролів, викликає напади реготу, коли видає 6 років на злом пароля BandGeek2014, що підбирається професіоналом, в гіршому випадку, за годину

Як же все-таки максимально захиститися від злому пароля? Гарантовано - ніяк. Найзагальніші рекомендації передбачають використання паролів довжиною не менше 11-12 символів, що включають в себе літерні символи в різних регістрах, цифри та інші символи. При цьому в паролі не повинен бути видимим ніякої явний шаблон, що вже робить цю задачу маловиполнімой для людини. Можна використовувати автоматичні генератори паролів, проте вже те, що вони написані незнайомими людьми, викликає деякі сумніви. І, нарешті, не використовуйте на різних сайтах однакові паролі, і як можна частіше міняйте їх, щоб злом одного незначного для вас аккаунта не привів до розкрадання важливих даних з іншого. Загалом, жити стає все складніше і складніше.

Чому ж хакерам так легко вдається розкривати паролі?
Як же діють фахівці зі злому, і чому паролі так легко розшифрувати?
Чому ж хакери так просто і швидко зламують паролі?
Як же все-таки максимально захиститися від злому пароля?

Реклама



Новости