Надежный пароль – это главный барьер, который мешает взломать большинство ваших аккаунтов в сети. Если вы не пользуетесь современными методиками создания паролей, то вполне возможно, что мошенники смогут подобрать их буквально за несколько часов.
Основной принцип подбора пароля мошенниками является BrootForce, или атака грубой силы. Она представляет собой цикличный процесс проверки на валидность пароля к вашему аккаунту из сформированного заранее словаря, составленного по принципу популярности или возможных комбинаций.
Большинство популярных словарей лежат либо в открытых доступах на специализированных сайтах для хакеров или крекеров, либо на профильных площадках в даркнете.
К примеру, в 2017 году среди женского населения нашей страны самым популярным паролем был Mashalubitkashu12345. Чего уж там говорить о qwerty123.
Другое дело, если мошенники с качеством подходят к подбору пароля, формируя словарь из всех возможных комбинаций по требованию сайта, где размещен ваш аккаунт. Например, если пароль должен содержать строчные буквы латинского алфавита и цифры, то не сложно взяв калькулятор посчитать сколько уомбинаций , а их ограниченное количество, можно составить из этих наборов. Вычислительные мощности, которыми пользуются мошенники, кратно превосходят те компьютерные устройства, находящиеся у нас дома.
К примеру, в 2018 году, подбор пароля из 6 знаков, каждым символом которых является цифра, атакой проведенной вслепую по словарю, составленному из всех возможных комбинаций >=1000 000, к аккаунту инстаграм у меня занял 3,5 дня при круглосуточной работе домашнего ноутбука средней мощности с высокоскоростным соединением 100 мб кабельного интернета. Естественно тестовый аккаунт я создал сам. Сам же его и проверял на уязвимость на проникновение. В профессиональной среде это называется PenTest (от penetration - проникновение).
Но этим далеко не ограничиваются мошенники. Существует такое явление как рекогносцировка данных, то есть разведка и сбор сведений об атакуемом, либо непосредственный контакт с ним в форме социальной инженерии. Во втором случае мошенники непосредственно контактирует с атакуемым, в результате чего в результате скрытого и легендировнного опроса получают либо непосредственно сведения о данных аккаунта, то есть пара логин/пароль, либо данные, которые могут навести на вероятные варианты, которые в частности могут быть использованы при составлении более точного пароля. Дата рождения, имя любимого человека, марка автомобиля, номер мобильного телефона. Нередко люди используют один и тот же адрес электронной почты и пароли для регистрации на различных сетевых ресурсах. В таком случае мошенники могут попытаться взломать менее надёжный по киберзащите ресурс, чтобы получить данные пользователя для последующей попытки применить эти данные для проникновения на целевой аккаунт атакуемого.
Рекомендации по подбору пароля весьма размытые, поскольку по теории информации, если она существует в природе, то будет обязательно когда нибудь кому нибудь передана. Информация это вообще вещь не для одного. А минимум для двоих. Поэтому и пароль если существут, то его обязательно можно взломать. Какой то практически. Какой то гипотетически.
Системные администраторы используют генераторы паролей, которые формируют пароль из всевозможных символов, букв русского и английского алфавита, цифр заданной точности. Программисты пишут такие генераторы каждый сам под себя, используя собственные алгоритмы.
Пароль должен содержать не менее 12 символов из букв верхнего и нижнего регистра, цифр, разбросанных по массиву символов в произвольном порядке, а не сгруппированных на конце или начале, исключать даты рождения, номера телефонов, какие то личные данные, которые могут быть известны из открытых источников. Для нескольких разных аккаунтов применяйте разные пароли. Никогда не записывайте пароли на бумажке. Это первая обязанность специалиста по кибер безопасности следить, чтобы сотрудники фирмы этого не делали. Не вводите ваши пароли на сомнительных сетевых ресурсах. Для регистрации на вспомогательных ресурсах используйте временные аккаунты электронной почты. Никогда не авторизируйтесь на сайтах используя аккаунты социальных сетей. Даже самые надежные ресурсы не ограждены от утечки данных из за человеческого фактора. Неблагонадежные сотрудники могут сливать базы с вашими данными кому угодно. Либо спец службам, силовым структурам, криминальным элементам, конкурентам.
Вопрос приватности это действительно серьёзная проблема, потому что только приватность позволяет нам свободно решать, кто мы и есть и кем мы хотим быть.
Вопрос, который я ставлю очень прост. Почему конфиденциальность информации в интернете должна отличаться от конфиденциальности информации, которую мы храним в ящике стола...
И помните. Информационной безопасности не существует. Это миф.
Данный пост написан в поддержку идеи сетевого проекта и для участников и читателей группы #Ресоциализация в соцсети ОК
Автор: Promedol, Специалист по информационной опасности .
И ещё 👇
🖥 Полное руководство по кибербезопасности
Мир информации — это мир постоянной борьбы за данные пользователей. Одни с её помощью хотят лучше продавать, другие воровать. А третьи с помощью ваших данных хотят вас посадить. Если вы живете в России, вам жизненно важно знать, как защитить эти данные. Даже если вы «обычный человек» и вам «нечего скрывать», силовики могут посчитать любую мелочь поводом для уголовного дела.
Мы подготовили самый полный гайд по основам кибербезопасности на русском языке. Посмотрев его, вы сможете защитить от чужих глаз свой компьютер, мобильные устройства, переписки и перемещение по городу. А ещё вы застрахуете себя на случай обыска или ареста.
Этот материал не для экспертов и не для хакеров. Он для простых пользователей, которые ещё вчера ничего не знали о безопасности данных, а сегодня рискуют за это поплатиться свободой.
Источник: Первый отдел
Интересно? Тогда поддержи лайком, репостом или комментарием.
Также вы можете поддержать материально развитие нашего проекта >>
Комментариев нет:
Отправить комментарий