Перейти к публикации
polym0rph

Почему нельзя использовать везде одинаковые или простые пароли?

Рекомендованные сообщения

VKxhCqhIX6o.jpg

 

В связи постоянным перебором паролей на форуме решил создать этот топик, чтобы показать, чем же плохо для пользователей ставить простые или одинаковые пароли на всех площадках.

Многие не считают, что в этом что-то страшное есть, ну уведут учетку на каком-то форуме, и что с того? Или просто ставят временный простой пароль, потом мол сменим на надежный, и этого никогда не происходит.

 

Итак,  в чем опасность, даже если вы не пересылаете через форум никакую секретную информацию, и аккаунт для вас не кажется чем-то ценным?

Злоумышленники, которые получат к нему доступ, скорее всего будут использовать его для какого-нибудь мошенничества. Чаще всего это распространение троянских программ, ложная продажа оборудования или обмен валют. Также часто взломанные аккаунты используются для общения преступников, или для ложных подтверждений об успешности сделок с мошенниками.

 

Так что безалаберность по отношению к своей безопасности грозит не только потерей аккаунта, но и способствует мошенничеству и совершению иных преступных действий. Более того, если будет заведено дело в органах правопорядка о случившемся инциденте(а таких все больше и больше), то вполне вероятно будет запрос данных о злоумышленниках и соучастниках, и ваша учетная запись как раз там будет фигурировать. Если вы не причастны к преступлению, то наверняка удастся это доказать, но зачем на это тратить время и нервы?

 

Как сейчас чаще всего получают доступ к учеткам на форумах и других ресурсах? Поскольку  у любого вменяемого ресурса есть защита от перебора паролей, то к учеткам пароли уже давно не подбирают, подбирают учетки к паролям. Скажем, известно, что пароль Qwerty12345 является наиболее часто используемым из простых, и его прогоняют по всему списку пользователей с разных IP, авось кто-нибудь да попадется. И действительно попадаются. А если прогнать так не один пароль, а 50 наиболее часто используемых, в том числе комбинации типа никнейм+1 в качестве пароля? Урожай будет значительно выше.

 

Второй по популярности метод это использование баз с других взломанных ресурсов. Скажем, взломали какую-то площадку, и если удалось там снять базу логинов и паролей, то наверняка в ней можно найти тех, кто использует те же данные для входа на других сайтах. И такой же прогон устраивается по всем биржам, форумам, социалкам, мессенджерам и другим площадкам, с которых злоумышленники могут что-то получить. Если в базе есть емейлы, также идет попытка получить доступ к почте. Напомню, что только известных взломанных площадок уже очень много, базы кого спокойно гуляют по даркнету, например BitcoinTalk.org, BTC-E.com, MtGox.com и т.п.

 

Что же делать, если удержать в голове кучу паролей сложно? Если разные пути. Например, использовать так называемые ключницы типа KeePass, где нужно помнить только пароль от ключницы, а остальные пароли брать из нее. Или можно иметь некий базовый пароль и алгоритм его изменения в зависимости от ресурса.  Например, базовый пароль + первые 4 символа от домена. Таким образом не надо помнить все пароли и зависеть от наличия ключницы под рукой, достаточно помнить один базовый пароль и алгоритм его изменения. Вариантов тут много, если задаться целью, можно еще найти.

 

Главное - этой целью задаться. Ведь на кону не только ваша учетная запись, но и невольно вы можете стать соучастником преступления, могут пострадать другие люди, а вам потом придется тратить время и нервы на доказывание, что это не вы с вашей учетной записи совершали эти действия.

Так что если у вас слабый пароль, или он еще много где используется, лучше смените его прямо сейчас, не откладывая на потом. Потом может стать внезапно поздно.

 

З.Ы., На нашем форуме все учетки, к которым был получен несанкционированный доступ, банятся, если обнаружен такой факт. Так что не обижайтесь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Цитата

Если вы не причастны к преступлению, то наверняка удастся это доказать, но зачем на это тратить время и нервы?

 

Ну вообще, наоборот, человеку должны доказать, что он причастен. А сам человек не обязан никому ничего доказывать. Это в теории конечно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В 29.01.2018 в 21:01, polym0rph сказал:

Или можно иметь некий базовый пароль и алгоритм его изменения в зависимости от ресурса.  Например, базовый пароль + первые 4 символа от домена. Таким образом не надо помнить все пароли и зависеть от наличия ключницы под рукой, достаточно помнить один базовый пароль и алгоритм его изменения.

Знаком с такой методикой, читал как-то, причем именно на специализирующемся по ИБ ресурсе. По-моему, именно в таком виде - это очень слабая защита. Допустим, вводите сгенерированный таким образом пароль на  сомнительном сайте, или на сайте, который в скором времени ломают. И все, глазу знатока (или спец.программы) ясно, как выглядят все ваши пароли на иных ресурсах.

Если и использовать  такой алгоритм, то в усложненном виде.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а я в бумажный блокнот пароли записываю:smile:

да хоть бы и  150 различных- ищутся за 5-10 сек без проблем.

а на незначительных-с моей точки зрения ресурсах-такие и стоят 12345, и qwerty :biggrin::biggrin:

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
1 час назад, Helber сказал:

Если и использовать  такой алгоритм, то в усложненном виде.

Это пример. Его можно и нужно усложнять. Хотя даже в таком виде это лучше, чем везде одни и те же пароли использовать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@voodoom  даже пришлось отыскать старый пост на хабре, чтобы удостовериться - все правильно!

 Спасибо за напоминание о том, как делать простые, но одновременно взломостойкие пароли.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@polym0rph , ок. А вообще тема важная, может, стоит ее закрепить вверху данного раздела форума?

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@voodoom , имхо даже спец.программы на нынешнем среднем компе могут перебирать по МИЛЛИАРДУ паролей в секунду, но уж никак не по тысяче. И это я не беру в расчет ботнеты с 100000 взломанными компами, работающими сообща.

correct horse battery staple - такие пароли могут быть устойчивы к бруту, но легче ломаться с помощью "словарной" атаки. Так что многое зависит от неочевидности набора слов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
15 часов назад, Helber сказал:

имхо даже спец.программы на нынешнем среднем компе могут перебирать по МИЛЛИАРДУ паролей в секунду

 

Про миллиард это вы загнули.

Миллиард, единица с 9 нулями = частоте  1ГГц, принимая за "средний" комп (процессор) с тактовой частотой 1.5-2ГГц и с учетом служебных (системных) прерываний и количеством тактов на мат. операцию, да еще и умноженных на задержку инет соединения, при подборе пароля учетной записи дадут гораздо более скромный результат.

Заявленный миллиард вполне возможно получить, подбирая пароль на локальном компе с использованием видеокарты среднего диапазона, но это совсем другая история.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@Uliss , хм, очень возможно что и загнул... я не специалист. Просто при расчете брутстойкости всегда брал цифры по максимуму.

 

@Uliss , может, закрепите данную тему вверху раздела? Глядишь кто и прочтет...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
7 минут назад, Helber сказал:

@Uliss , может, закрепите данную тему вверху раздела?

 

Править тему Админа?

https://www.youtube.com/watch?v=ssxPKi2Ar0s

 

:biggrin:

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
1 минуту назад, Uliss сказал:

 

Править тему Админа?

https://www.youtube.com/watch?v=ssxPKi2Ar0s

 

:biggrin:

Я начал с того, что попросил об этом его самого, но за множеством важных дел он этого не заметил...)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В 05.02.2018 в 02:31, koolms1 сказал:

Спасибо за напоминание о том, как делать простые, но одновременно взломостойкие пароли.

 

1517927394177658020.thumb.jpg.a55aa6c2b168b3c748ed02824d8e8796.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
19 часов назад, Uliss сказал:

Править тему Админа?

Да ладно, не священная ж корова)

 

В 05.02.2018 в 08:58, Helber сказал:

А вообще тема важная, может, стоит ее закрепить вверху данного раздела форума?

Готово.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В 06.02.2018 в 20:42, polym0rph сказал:

Да ладно, не священная ж корова

А я как-то твой пост отредактировал, ты меня в угол на горох поставил...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас

  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу.

×