Почему нельзя использовать везде одинаковые или простые пароли?

[polym0rph]

 

В связи постоянным перебором паролей на форуме решил создать этот топик, чтобы показать, чем же плохо для пользователей ставить простые или одинаковые пароли на всех площадках.

Многие не считают, что в этом что-то страшное есть, ну уведут учетку на каком-то форуме, и что с того? Или просто ставят временный простой пароль, потом мол сменим на надежный, и этого никогда не происходит.

 

Итак,  в чем опасность, даже если вы не пересылаете через форум никакую секретную информацию, и аккаунт для вас не кажется чем-то ценным?

Злоумышленники, которые получат к нему доступ, скорее всего будут использовать его для какого-нибудь мошенничества. Чаще всего это распространение троянских программ, ложная продажа оборудования или обмен валют. Также часто взломанные аккаунты используются для общения преступников, или для ложных подтверждений об успешности сделок с мошенниками.

 

Так что безалаберность по отношению к своей безопасности грозит не только потерей аккаунта, но и способствует мошенничеству и совершению иных преступных действий. Более того, если будет заведено дело в органах правопорядка о случившемся инциденте(а таких все больше и больше), то вполне вероятно будет запрос данных о злоумышленниках и соучастниках, и ваша учетная запись как раз там будет фигурировать. Если вы не причастны к преступлению, то наверняка удастся это доказать, но зачем на это тратить время и нервы?

 

Как сейчас чаще всего получают доступ к учеткам на форумах и других ресурсах? Поскольку  у любого вменяемого ресурса есть защита от перебора паролей, то к учеткам пароли уже давно не подбирают, подбирают учетки к паролям. Скажем, известно, что пароль Qwerty12345 является наиболее часто используемым из простых, и его прогоняют по всему списку пользователей с разных IP, авось кто-нибудь да попадется. И действительно попадаются. А если прогнать так не один пароль, а 50 наиболее часто используемых, в том числе комбинации типа никнейм+1 в качестве пароля? Урожай будет значительно выше.

 

Второй по популярности метод это использование баз с других взломанных ресурсов. Скажем, взломали какую-то площадку, и если удалось там снять базу логинов и паролей, то наверняка в ней можно найти тех, кто использует те же данные для входа на других сайтах. И такой же прогон устраивается по всем биржам, форумам, социалкам, мессенджерам и другим площадкам, с которых злоумышленники могут что-то получить. Если в базе есть емейлы, также идет попытка получить доступ к почте. Напомню, что только известных взломанных площадок уже очень много, базы кого спокойно гуляют по даркнету, например BitcoinTalk.org, BTC-E.com, MtGox.com и т.п.

 

Что же делать, если удержать в голове кучу паролей сложно? Если разные пути. Например, использовать так называемые ключницы типа KeePass, где нужно помнить только пароль от ключницы, а остальные пароли брать из нее. Или можно иметь некий базовый пароль и алгоритм его изменения в зависимости от ресурса.  Например, базовый пароль + первые 4 символа от домена. Таким образом не надо помнить все пароли и зависеть от наличия ключницы под рукой, достаточно помнить один базовый пароль и алгоритм его изменения. Вариантов тут много, если задаться целью, можно еще найти.

 

Главное - этой целью задаться. Ведь на кону не только ваша учетная запись, но и невольно вы можете стать соучастником преступления, могут пострадать другие люди, а вам потом придется тратить время и нервы на доказывание, что это не вы с вашей учетной записи совершали эти действия.

Так что если у вас слабый пароль, или он еще много где используется, лучше смените его прямо сейчас, не откладывая на потом. Потом может стать внезапно поздно.

 

З.Ы., На нашем форуме все учетки, к которым был получен несанкционированный доступ, банятся, если обнаружен такой факт. Так что не обижайтесь.

[Borian]

Цитата

Если вы не причастны к преступлению, то наверняка удастся это доказать, но зачем на это тратить время и нервы?

 

Ну вообще, наоборот, человеку должны доказать, что он причастен. А сам человек не обязан никому ничего доказывать. Это в теории конечно.

[Helber]

В 29.01.2018 в 21:01, polym0rph сказал:

Или можно иметь некий базовый пароль и алгоритм его изменения в зависимости от ресурса.  Например, базовый пароль + первые 4 символа от домена. Таким образом не надо помнить все пароли и зависеть от наличия ключницы под рукой, достаточно помнить один базовый пароль и алгоритм его изменения.

Знаком с такой методикой, читал как-то, причем именно на специализирующемся по ИБ ресурсе. По-моему, именно в таком виде - это очень слабая защита. Допустим, вводите сгенерированный таким образом пароль на  сомнительном сайте, или на сайте, который в скором времени ломают. И все, глазу знатока (или спец.программы) ясно, как выглядят все ваши пароли на иных ресурсах.

Если и использовать  такой алгоритм, то в усложненном виде.

[344]

а я в бумажный блокнот пароли записываю

да хоть бы и  150 различных- ищутся за 5-10 сек без проблем.

а на незначительных-с моей точки зрения ресурсах-такие и стоят 12345, и qwerty 

 

[polym0rph]

1 час назад, Helber сказал:

Если и использовать  такой алгоритм, то в усложненном виде.

Это пример. Его можно и нужно усложнять. Хотя даже в таком виде это лучше, чем везде одни и те же пароли использовать.

[voodoom]

[koolms1]

@voodoom  даже пришлось отыскать старый пост на хабре, чтобы удостовериться - все правильно!

 Спасибо за напоминание о том, как делать простые, но одновременно взломостойкие пароли.

[Helber]

@polym0rph , ок. А вообще тема важная, может, стоит ее закрепить вверху данного раздела форума?

 

 

[Helber]

@voodoom , имхо даже спец.программы на нынешнем среднем компе могут перебирать по МИЛЛИАРДУ паролей в секунду, но уж никак не по тысяче. И это я не беру в расчет ботнеты с 100000 взломанными компами, работающими сообща.

correct horse battery staple - такие пароли могут быть устойчивы к бруту, но легче ломаться с помощью "словарной" атаки. Так что многое зависит от неочевидности набора слов.

[Uliss]

15 часов назад, Helber сказал:

имхо даже спец.программы на нынешнем среднем компе могут перебирать по МИЛЛИАРДУ паролей в секунду

 

Про миллиард это вы загнули.

Миллиард, единица с 9 нулями = частоте  1ГГц, принимая за "средний" комп (процессор) с тактовой частотой 1.5-2ГГц и с учетом служебных (системных) прерываний и количеством тактов на мат. операцию, да еще и умноженных на задержку инет соединения, при подборе пароля учетной записи дадут гораздо более скромный результат.

Заявленный миллиард вполне возможно получить, подбирая пароль на локальном компе с использованием видеокарты среднего диапазона, но это совсем другая история.

[Helber]

@Uliss , хм, очень возможно что и загнул... я не специалист. Просто при расчете брутстойкости всегда брал цифры по максимуму.

 

@Uliss , может, закрепите данную тему вверху раздела? Глядишь кто и прочтет...

[Uliss]

7 минут назад, Helber сказал:

@Uliss , может, закрепите данную тему вверху раздела?

 

Править тему Админа?

https://www.youtube.com/watch?v=ssxPKi2Ar0s

 

[Helber]

1 минуту назад, Uliss сказал:

 

Править тему Админа?

https://www.youtube.com/watch?v=ssxPKi2Ar0s

 

Я начал с того, что попросил об этом его самого, но за множеством важных дел он этого не заметил...)

[Uliss]

В 05.02.2018 в 02:31, koolms1 сказал:

Спасибо за напоминание о том, как делать простые, но одновременно взломостойкие пароли.

 

[polym0rph]

19 часов назад, Uliss сказал:

Править тему Админа?

Да ладно, не священная ж корова)

 

В 05.02.2018 в 08:58, Helber сказал:

А вообще тема важная, может, стоит ее закрепить вверху данного раздела форума?

Готово.

[Lexis77]

В 06.02.2018 в 20:42, polym0rph сказал:

Да ладно, не священная ж корова

А я как-то твой пост отредактировал, ты меня в угол на горох поставил...

[Lekk]

Пример простых, запоминающихся паролей:

Создаём текстовый документ, пишем в нём (Хрен, Россия или что-либо хорошо запоминающееся одно слово), берём хеш документа (например SHA-1) это и есть пароль.

Можно использовать любые другие файлы.

[Helber]

7 часов назад, Lekk сказал:

берём хеш документа (например SHA-1) это и есть пароль.

В этом есть некоторый резон. Но...

Может, вы восьминогий пришелец с планеты Ква-Пхе, и у вас сверхмозг. Однако я не умею вычислять в уме хеш любого слова, причем мгновенно.

А через создание текстового документа (при каждом входе куда угодно) и просмотр его хэша - много манипуляций и долго, ну кому такое подойдет?

На смартфоне такая функциональность может и не быть доступна.

Edited 23 Aug 2018, 07:22 by Helber

[Lekk]

@Helber 

Есть такое HashTab для Windows.

https://hashtab.ru/

Хеш можно брать любого файла (фото рабочего стола) или чего угодно запоминающегося.

 

P.S. Я считаю что все смартфоны дырявые в плане безопасности, дыры зашиты в железе а не в софте (там их тоже хватает).

[Helber]

5 минут назад, Lekk сказал:

Хеш можно брать любого файла

Но в любом случае это займет ВРЕМЯ, понимаете?

И метод (если я верно понимаю его суть) по удобству сравним с тем, чтобы при каждом вводе пароля заходить в обычный файл, где хранятся пароли, и тупо копипастить.

Правда, по надежности он может быть выше, поскольку в явном виде пароли нигде на компе не хранятся, а слова-основы - только в голове.

Но и ниже в то же время, потому что эти слова можно просто забыть.

[Lekk]

@Helber 

Вы можете хранить десятки сложных паролей в голове?

[Uliss]

3 минуты назад, Lekk сказал:

@Helber 

Вы можете хранить десятки сложных паролей в голове?

 

Десятки?

Сотни и тысячи!

[Lekk]

@Uliss 

Блокнот уязвимость другого уровня (не компютерного).

Я могу содать документ (.txt  .docx ......) с тысячью различных записей, разослать его повсем хранилищам, почтам и т.д.,  найти в нём пароли будет очень сложно если буду использовать хеши.

Возможно использование хеш на хеш и т.д.

[Helber]

21 минуту назад, Lekk сказал:

@Helber 

Вы можете хранить десятки сложных паролей в голове?

Нет, не могу.

Но и в вашем варианте, если основ для пароля будут десятки, часть из них забудется, а часть перепутается

 

5 минут назад, Lekk сказал:

Я могу содать документ (.txt  .docx ......) с тысячью различных записей, разослать его повсем хранилищам, почтам и т.д.,  найти в нём пароли будет очень сложно если буду использовать хеши.

Да, стеганографическая стойкость может быть в числе преимуществ вашего метода. Если никто из непредвиденных читателей и впрямь не догадается, чтО нужно делать с основами для паролей. А если догадается?

Edited 23 Aug 2018, 11:54 by Helber

[Lekk]

Вы догадались, в документе содержаться исходные даные для хеширования - Ваши действия далее?