В цифровую эпоху защита пароля равнозначна защите всей онлайн-жизни пользователя. Но как именно хакеры получают доступ к нашим секретным комбинациям? Отвечают эксперты Центра цифровой экспертизы Роскачества.
Крупнейшие утечки происходят, когда хакеры взламывают базы данных онлайн-сервисов. Эти базы содержат учетные записи миллионов пользователей, включая их логины и пароли. Получив доступ к такой базе, злоумышленники могут продать ее в «даркнете» или использовать для дальнейших атак.
При этом, даже если сервис использует криптографические алгоритмы для хранения паролей, злоумышленники могут обойти эту защиту, используя так называемые «радужные таблицы». Радужная таблица — это огромная база данных, содержащая предварительно вычисленные хеши (уникальный цифровой «отпечаток» данных) для самых распространенных паролей.
Если ваш пароль слишком простой (например, «123456» или «qwerty»), он с большой вероятностью уже содержится в радужной таблице, и его можно будет взломать практически мгновенно.
На большинстве сайтов для хранения паролей используется хеширование — процесс преобразования данных в символы определенной длины. Хакеры, получив доступ к базе данных с хешированными паролями, начинают подбирать подходящие комбинации, используя различные методы. Самый простой — это брутфорс (метод автоматического перебора всевозможных комбинаций паролей или ключей). Злоумышленник берет список самых распространенных паролей и вычисляет их хеши. Если хеш одного из этих паролей совпадает с хешем в базе данных, пароль взломан.
Для демонстрации возьмем пароль «qwerty» и применим к нему хеширование, используемое в Unix-системах. Результат будет выглядеть как нечитаемый набор символов. Однако, используя программу Hashcat (один из самых популярных инструментов для взлома паролей) и «словарь» простейших паролей, можно запустить процесс расшифровки. Спустя некоторое время программа выдаст исходный пароль — «qwerty».
Чтобы защитить свои данные в условиях постоянных киберугроз, необходимо заботиться о безопасности паролей, следуя проверенным правилам:
Откуда утекают пароли?
Крупнейшие утечки происходят, когда хакеры взламывают базы данных онлайн-сервисов. Эти базы содержат учетные записи миллионов пользователей, включая их логины и пароли. Получив доступ к такой базе, злоумышленники могут продать ее в «даркнете» или использовать для дальнейших атак.
При этом, даже если сервис использует криптографические алгоритмы для хранения паролей, злоумышленники могут обойти эту защиту, используя так называемые «радужные таблицы». Радужная таблица — это огромная база данных, содержащая предварительно вычисленные хеши (уникальный цифровой «отпечаток» данных) для самых распространенных паролей.
Если ваш пароль слишком простой (например, «123456» или «qwerty»), он с большой вероятностью уже содержится в радужной таблице, и его можно будет взломать практически мгновенно.
Легкий пароль = легкая добыча
На большинстве сайтов для хранения паролей используется хеширование — процесс преобразования данных в символы определенной длины. Хакеры, получив доступ к базе данных с хешированными паролями, начинают подбирать подходящие комбинации, используя различные методы. Самый простой — это брутфорс (метод автоматического перебора всевозможных комбинаций паролей или ключей). Злоумышленник берет список самых распространенных паролей и вычисляет их хеши. Если хеш одного из этих паролей совпадает с хешем в базе данных, пароль взломан.
Для демонстрации возьмем пароль «qwerty» и применим к нему хеширование, используемое в Unix-системах. Результат будет выглядеть как нечитаемый набор символов. Однако, используя программу Hashcat (один из самых популярных инструментов для взлома паролей) и «словарь» простейших паролей, можно запустить процесс расшифровки. Спустя некоторое время программа выдаст исходный пароль — «qwerty».
Почему простые пароли так опасны?
Сергей Кузьменко
руководитель Центра цифровой экспертизы Роскачества
Часто пользователи применяют один и тот же простой пароль для разных сервисов. Взломав один аккаунт, злоумышленник может получить доступ к другим, включая те, где привязаны банковские карты и другая личная информация.
Чтобы защитить свои данные в условиях постоянных киберугроз, необходимо заботиться о безопасности паролей, следуя проверенным правилам:
- Длина пароля должна быть не менее 16 символов, он должен содержать буквы верхнего и нижнего регистра, цифры и специальные символы.
- При создании пароля не используйте значимые для вас слова (имена, клички животных, даты рождения). Дело в том, что такая информация часто находится в открытом доступе, например, в социальных сетях.
- Меняйте пароли от важных аккаунтов не реже одного раза в шесть месяцев.
- Используйте разные пароли для разных сервисов, это предотвратит цепную реакцию в случае взлома одного аккаунта.
