Два часа на взлом пароля
13 марта 2019
Вновь коснемся темы утечек – вечной и очень болезненной.
Киберпреступник под псевдонимом Gnosticplayers выставил на продажу в даркнете очередной, уже третий за последнее время, массив похищенных данных. На этот раз он предлагает данные пользователей GfyCat, Legendas.tv, Jobandtalent, Onebip, StoryBird, StreetEasy, ClassPass и Pizap. Примечательно, что ни одна из вышеупомянутых платформ об утечке данных не сообщала.
Можете ли вы с уверенностью утверждать, что ваши данные не утекли в Сеть? «Ни одна из вышеупомянутых платформ об утечке данных не сообщала». Но сейчас разговор не об этом.
Мы постоянно рекомендуем менять пароли, но отлично понимаем, что делать это всем откровенно лень (комментарии к одной из наших недавних новостей иллюстрируют это очень наглядно — нарочно не придумать!). Один из «запасных» вариантов – в случае появления информации об утечках узнавать, не присутствуют ли в утекшей базе ваши данные. Но это не всякому пользователю под силу: утечки идут постоянно, и все время отслеживать их, скачивать базы с подозрительных адресов и разбираться с различными форматами хранения данных – занятие непростое…
Но есть еще один вариант. Имеются ресурсы, позволяющие проверить, не находится ли ваш адрес в утекших базах.
Внимание! Мы уже писали, что поиск по подобным ресурсам подобен игре в русскую рулетку: вводя данные, вы не можете проверить, не мошенникам ли вы их отдаете.
Мошенники создали клон сервиса Have I been pwned и брали биткоины за скомпрометированные пароли.
Как и в оригинальном Have I Been Pwned, пользователям предлагается ввести адрес электронной почты, которую он желает проверить на предмет утечек. Проблема в том, что после этого сервис выдает пароли от скомпрометированных аккаунтов в незашифрованном виде и требует от пользователя $10 в криптовалюте, чтобы их скрыть.
Один из самых известных сервисов проверки утекших паролей – haveibeenpwned.com. Кстати: «По словам автора разработки он не перестаёт удивляться людям, которые начинают проверять свои рабочие пароли в стороннем сервисе, несмотря на предупреждение не делать этого».
Проверить данные можно вручную, введя их в окошко запроса или через API.
Через API доступен более изощрённый метод проверки, в котором в качестве ключа используется префикс от хэша пароля, в ответ на который сервер выдаёт реальные хэши паролей из базы, а клиент на своей стороне может их сверить со своим полным хэшем. Например, проверим пароль "test" (API выдаёт только хвост хэша SHA-1, без запрошенного префикса).
Это позволяет администраторам проверять адреса в автоматическом режиме. API использует, например, компания Mozilla, которая запустила сервис monitor.firefox.com. Те, кто слабо владеет английским, могут воспользоваться именно им.
Этот сервис удобен тем, что сразу показывает сайты, на которых произошли утечки пар емейл-пароль и даты, когда это произошло. По моему основному адресу показывается пять утечек 2011-2013 годов.
Это интересно. Наш тест показал, что monitor.firefox.com и haveibeenpwned.com дают разные ответы при вводе одного и того же почтового адреса. Загадка, однако!
Сервис позволяет проверять и пароли. Но стоит ли это делать?
Известный анекдот:
– Учитель, я подобрал хороший пароль, которого не может быть в словарях.
Инь Фу Во кивнул.
– Я ввёл его в Гугле, – продолжал Сисадмин, – и убедился, что в Сети такого сочетания нет.
– Теперь есть.
Поэтому, если возникло желание проверить пароли на утечку, через haveibeenpwned.com можно скачать базу хешей паролей, создать хеш своего пароля и провести проверку.
Еще одна важная деталь: получив ответ, что ваши данные не числятся в утекших, вы не должны расслабляться.
На сайте собраны не все известные случаи взломов, а только самые громкие и с открыто доступными базами.
Антивирусная правДА! рекомендует
Вы не можете знать наверняка, что ваши данные еще не утекли. Сами компании, собравшие ваши данные, могут не знать об утечке. Повторим: «Ни одна из вышеупомянутых платформ об утечке данных не сообщала».
Нельзя пользоваться короткими и простыми паролями:
Инструмент с открытым исходным кодом для восстановления паролей HashCat теперь может взломать хеш восьмизначного пароля NTLM менее чем за два с половиной часа, независимо от сложности.
Через два с половиной часа после взлома вашего компьютера злоумышленник будет знать ваш пароль длиной менее 9 символов!
И мы крайне не рекомендуем передавать по сети свои логины и пароли в открытом виде.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
РУССИБ
10:56:32 2020-02-25
Stan
10:41:49 2019-03-18
stavkafon
22:27:39 2019-03-14
Любитель пляжного футбола
21:37:05 2019-03-14
kozinka.ru
09:54:05 2019-03-14
Как пример, здесь: https://xakep.ru/2014/09/08/password-manager-pentest/ описаны методы взлома таких программ.
razgen
01:01:00 2019-03-14
Полностью от киберпреступников может обезопасить только переход на полное «автономное» использование изначально «чистого» компьютера, без подключения к внешним источникам. Но это уже другая история...
Любитель пляжного футбола
23:18:14 2019-03-13
Любитель пляжного футбола
23:14:54 2019-03-13
Rider
22:52:40 2019-03-13
Andromeda
22:38:01 2019-03-13
Альфа
22:24:44 2019-03-13
orw_mikle
22:17:10 2019-03-13
Lia00
21:53:42 2019-03-13
kozinka.ru
21:24:06 2019-03-13
Anton_S
20:40:16 2019-03-13
anatol
20:18:44 2019-03-13
zitkss
20:09:40 2019-03-13
Dvakota
19:34:39 2019-03-13
Korney
19:32:06 2019-03-13
Ярослав
19:16:06 2019-03-13
znamy
19:00:40 2019-03-13
matt1954
18:48:08 2019-03-13
Шалтай Александр Болтай
17:50:24 2019-03-13
Геральт
17:39:50 2019-03-13
I46
17:26:18 2019-03-13
Татьяна
16:53:43 2019-03-13
SGES
16:35:35 2019-03-13
Toma
16:07:15 2019-03-13
I23
15:42:25 2019-03-13
robot
15:39:29 2019-03-13
Zserg
15:34:09 2019-03-13
achemolganskiy
15:10:17 2019-03-13
A1037
14:29:01 2019-03-13
Мы знаем точно, что уже утекли)
eaglebuk
13:43:22 2019-03-13
Любитель пляжного футбола
13:27:35 2019-03-13
Ну, создать пароль из 10-15 символов, включить большие и маленькие буквы, также цифры (спецсимволы на усмотрение). И всё - если пароль не "утечёт"(или хакеры не взломают твой компьютер, чтобы его выудить оттуда), то как минимум несколько веков понадобится, чтобы его взломать. Пусть стараются! :)))
Любитель пляжного футбола
13:19:52 2019-03-13
Генератор паролей полезен тем, кто записывает новые пароли куда-нибудь в блокнот, ибо запомнить их невозможно, поскольку нет логической связи между символами (есть, конечно, люди с уникальной памятью, но это редкость). В принципе, такой вариант подходит для редко используемых ресурсов, особо заморачиваться не будешь. Но если пароль часто используешь, то проще придумать самому, чтобы было легче запомнить, а то каждый раз держать под рукой блокнотик и вводить 10-15 символов оттуда... это просто жуть.
Любитель пляжного футбола
13:12:20 2019-03-13
Про сложность паролей я уже писал месяц назад, тут уж нужно кнутом действовать, заставлять пользователей придумывать надёжные пароли (определённые требования к длине пароля, включение цифр, букв в разном регистре, возможно, спецсимволов, исключение распространённых паролей типа qwerty, иначе отказывать пользователю в регистрации на ресурсе). Потому что пока не заставишь, большинство не пошевелится. А заставить просто.
Что касается утечек данных (печально, но это может произойти с любым), то тут может помочь только периодическая смена паролей на важных для пользователя ресурсах. Причём пользователя тоже можно принудить к этому ради его же блага, аннулируя, скажем, раз в полгода или чуть чаще (3-4 раза в год) старый пароль. Не до маразма, конечно, но хотя бы раз в полгода будет достаточно.
Периодическая смена паролей может происходить и более безболезненно, если не придумывать полностью новый пароль, а видоизменять старый путём добавления новых символов и замены одних символов на другие (хотя бы 1/4 или 1/5 часть пароля должны быть изменена). Тогда и возможная компрометация пароля ничего не даст злоумышленнику, да и запомнить такой видоизменённый пароль будет легче, ведь база-то сохранена.
Про вред чтения IT-новостей я уже говорил ранее. :)
Желательно также иметь несколько адресов электронной почты, одни использовать для личной переписки, другие - для регистрации на важных ресурсах, третьи - для регистрации на менее важных или надёжных сайтах. Не "светить" свой основной адрес электронной почты, тогда и не будет проблем со спамом.
Проверять на каких-л. ресурсах, скомпрометирован ли мой пароль, я бы не стал, как раз этим действием его и можно скомпрометировать. :) Проще и надёжнее его поменять в случае каких-л. сомнений.
Совет тем, кто проверяет надёжность пароля на специальных сайтах - не стоит там вводить уже существующий пароль или тот, который вы собираетесь применить, желательно поменять в нём несколько символов, мало ли что. Нельзя быть уверенным, что введённые там данные не собираются для хранения.
Короче, создание пароля - это ответственное дело, и к нему нужно подходить со всей серьёзностью. Не нужно думать "А кому там нужен я или мой пароль." Если пароли взламывают, значит, это кому-нибудь нужно. :)))
Денисенко Павел Андреевич
12:23:33 2019-03-13
vinnetou
11:50:08 2019-03-13
Lenba
11:00:50 2019-03-13
Masha
10:58:35 2019-03-13
sgolden
10:40:50 2019-03-13
Чем запоминать, лучше тогда использовать менеджер паролей. НО если стянут пароль от этого менеджера паролей?
Тогда какой смысл от сложных паролей.
blade79
10:32:35 2019-03-13
Alexander
10:28:48 2019-03-13
Утечка "на сторону" своего тайного и сокровенного, или даже разового, - это всегда неприятно. Но зачем же своё секретное примерять на манекен-сканер какого-то закройщика, пусть даже именитого и вроде как не болтливого?! Да, неисповедимы тайны психологии Homo sapiens…
А тема эта, действительно, неиссякаема и всегда интересна... манит приобщением к чему-то сакральному и таинственному... А на деле, иногда, оказывается всё иначе и банально просто, - запираешь от злоумышленника дверь железобетонной защитой... а он спокойно заходит в сокровищницу по бэкдору... Да, всякое бывает...
Но любому самураю, камикадзе, пофигисту и перестраховщику, уж совершенно точно, не помешает установка в системе Dr.Web Security Space. И храните "умные" пароли в .... да где угодно... Главное, не отключать свою голову и антивирусную защиту.
Oleg
09:56:39 2019-03-13
Dmur
09:54:10 2019-03-13
dyadya_Sasha
09:50:23 2019-03-13
Родриго
09:47:29 2019-03-13
B0RIS
09:42:12 2019-03-13
Спасибо Вам за советы. Так не хочется, чтобы персональные данные ушли куда попало.
marisha-san
09:41:47 2019-03-13