В 2019 году был проведён анализ 200 миллионов слитых паролей из разных источников. По результатам этого анализа: 29% паролей заканчивались цифрами, 13% паролей состояли только из цифр, 32% паролей все символы написаны в нижнем регистре, а средняя длина пароля составляла 9,48 символов. Такие пароли считаются легче подбираемыми, чем те, которые содержат разные регистры, специальные символы и более длинные комбинации. Многие из нас, друзья, не уделяют достаточного внимания сложности своих паролей, что делает их уязвимыми для взлома. В этой публикации рассмотрим, как подобрать пароль онлайн. В контексте того, как хакеры взламывают пользовательские пароли, как работают конкретно механизмы перебора паролей, и как мы можем обезопасить себя.

↑ Как подобрать пароль онлайн

↑ Методы взлома паролей

С помощью пароля хакеры могут взламывать аккаунты в соцсетях и сервисах, электронные кошельки и банковские счета, почтовые ящики и мессенджеры, корпоративные сети и базы данных, личные компьютеры и мобильные устройства, умные дома и IoT-устройства. Взлом пароля может привести к серьёзным последствиям как то: потеря денег, утечка или удаление конфиденциальной информации, распространение вредоносного ПО или спама, использование пользовательских аккаунтов для мошенничества или шантажа, нарушение приватности или репутации.

Хакеры могут использовать разные методы взлома пароля:

• Фишинг - получение пароля от пользователя с помощью поддельных сайтов или сообщений;
• Шпионские программы - получение пароля от пользователя с помощью программ или устройств типа кейлоггеры, экранные шпионы, сканеры жёсткого диска, почтовые шпионы, прокси-шпионы;
• Перехват трафика - получение пароля от пользователя с помощью анализа передаваемых данных;
• Способы подбора пароля.

О способах подбора пароля давайте детально.

↑ Способы подбора пароля

↑ Перебор слабых паролей

Слабые пароли можно попробовать угадать даже без использования различных хакерских методов и инструментов.

ТОП-10 слабых паролей выглядит так:

1. Состоящие из одного и того же символа или повторяющихся комбинаций – «111111», «abcabc» и т.п.;
2. Состоящие из последовательности символов, либо являющиеся распространённой фразой – «123456», «admin», «пароль», «password» и т.п.;
3. Состоящие из сочетания клавиш keyboard-walks – «qwerty», «qazwsx» и т.п.;
4. Являющиеся искажёнными логинами – «user123», «user321» и т.п.;
5. Являющиеся популярными русскими словами или именами в «перевёрнутой» раскладке - «ljcneg», «fylhtq» и т.п.;
6. Содержащие личную информацию: имя, фамилия, дата рождения, номер телефона, номер автомобиля и т.п. - «01012000», «89261234567», «а777аа77» и т.п.;
7. Связанные с названием сайта или сервиса, к которому они относятся - «facebook123», «gmail123», и т.п.
8. Основанные на общеизвестных цитатах, песнях, фильмах и т.п. - «iloveyou», «letitbe», «hakuna matata» и т.п.;
9. Состоящие из простых слов или комбинаций слов без пробелов - «котик», «солнце», «ялюблютебя» и т.п.;
10. В которых используются только буквы одного регистра или только цифры - «пароль», «PASSWORD», «12345678».

Однако перебор паролей с неудачными попытками авторизации может привести к блокировке аккаунта, если сайт или сервис имеет ограничение на количество попыток ввода пароля.

↑ Брутфорс

Брутфорс — это метод взлома, при котором хакер подбирает разные варианты логинов, паролей и ключей шифрования, пытаясь войти в систему или получить доступ к защищённым данным. Брутфорс переводится с английского как «грубая сила», потому что этот метод не требует особого интеллекта или изобретательности, а только мощность и время.

Брутфорс может использоваться как для злонамеренных целей, так и для тестирования безопасности системы или расшифровки зашифрованных данных. Брутфорс работает с помощью специальных программ, которые автоматически перебирают все возможные комбинации символов, пока не найдут правильную. Это такие программы как: Brutus, Brute Forcer, Metasploit, Burp Suite. Программы для перебора паролей есть в составе дистрибутива Kali Linux.

Существуют разные виды брутфорс-атак, такие как:

• Простая брутфорс-атака — перебор случайных символов;
• Атака по словарю — перебор реально существующих слов или фраз;
• Гибридная брутфорс-атака — комбинация случайных символов и слов из словаря;
• Обратная брутфорс-атака — подбор имени пользователя к известному паролю;
• Вброс учётных данных — использование украденных данных аккаунтов на разных сайтах и сервисах;
• Распыление паролей — использование одного пароля для множества аккаунтов.

Для ускорения атаки хакеры могут для распределять нагрузки при переборе, используя для этих целей облачные серверы или ботнеты - сети заражённых компьютеров.

Брутфорс проще, нежели другие способы, однако он эффективен только при взломе аккаунтов с простыми паролями. Этому методу не под силу сложные пароли.

Брутфорс сложно реализовать, если аккаунт настроен на двухфакторную авторизацию, либо сайт предусматривает системы защиты, определяющие попытки взлома и уведомляющие пользователя об этом. Двухфакторная авторизация - это метод аутентификации, при котором пользователю нужно ввести не только пароль, но и дополнительный код, который приходит на телефон, почту или специальное приложение. Это усложняет задачу хакеру, потому что ему нужно не только угадать пароль, но и получить доступ к коду, который может быть одноразовым или меняться каждый раз. Другие системы защиты, которые могут помешать брутфорсу, это:

• Ограничение количества попыток ввода пароля;
• Блокировка аккаунта или IP-адреса после нескольких неудачных попыток;
• Использование капчи или других проверок на человечность;
• Отслеживание необычной активности или местоположения пользователя;
• Отправка уведомлений пользователю о попытке входа в его аккаунт.

↑ Социальная инженерия

Если брутфорс не сработал, хакеры могут использовать способ социальной инженерии. Они могут анализировать социальные сети, чтобы найти подсказки для взлома пароля. Хакеры знают, что люди могут выбирать пароли, связанные с их личной жизнью. Пароль может быть связан с близким человеком, домашним питомцем, автомобилем. И такая информация часто бывает в пользовательских профилях в социальных сетях.

Если это не помогает, информация из социальной сети может быть использована для фишинговых атак. Обычно это заключается в том, что отправляют поддельные письма с просьбой и ссылкой на сайт, где жертва должна ввести свой логин и пароль.

Социальная инженерия может быть более эффективной, чем брутфорс, потому что она может обойти любые системы защиты, если пользователь сам даст свой пароль или код хакеру.

↑ Как защититься от взлома пароля

Друзья, с каждым годом системы защиты сайтов и мессенджеров становятся более совершенными, а пользователи более осведомлёнными о рисках взлома аккаунтов. Но и методы взлома аккаунтов также развиваются и становятся более изощрёнными. Так что расслабляться никак нельзя. Необходимо использовать сильные пароли, содержащие разные типы символов, и защищать пароли от посторонних глаз.

Не используйте при создании пароля личную информацию, распространённые слова или последовательности. Самые сложные для взлома пароли — длинные, с буквами, цифрами, знаками в разном регистре (например, A0dxVzLjV*&1Ia5ebZr21UTn). Чем длиннее и сложнее пароль, тем больше времени потребуется для его подбора методом брутфорса. Например, для взлома 8-значного пароля из латинских букв нижнего регистра потребуется около 2 часов при скорости перебора 100 миллионов комбинаций в секунду. Но если добавить к этому паролю цифры и специальные символы, то время взлома увеличится до 12 лет. А если увеличить длину пароля до 12 символов, то время взлома составит более 34 тыс. лет.

Храните пароли в надёжных менеджерах паролей. Создавайте пароли с помощью настраиваемых генераторов паролей. Часто такие есть в числе функций менеджеров паролей.

Есть онлайн-сервисы и браузерные расширения для генерации сложных паролей.

Проверяйте надёжность паролей с помощью сервисов наподобие Kaspersky Password Check. Этот сервис проверят пароли по базам утечек и анализирует, сколько времени потребуется для подбора пароля. По итогу проверки выносит вердикт: пароль хороший

или плохой, и его нужно менять.

Также важно принимать дополнительные меры для защиты своих аккаунтов от взлома:

• Использовать разные пароли для разных сайтов и мессенджеров;
• Время от времени проверять свои данные на предмет утечки (или подписаться на уведомления об утечке ваших данных);
• Менять пароли после того, как вы стали жертвой утечки ваших данных, и время от времени для профилактики;
• Включить двухфакторную авторизацию, если сайт предусматривает.

И, конечно же, нужно быть бдительным и не доверять подозрительным сообщениям, ссылкам или сайтам.