Horoshiy
New member
Подавляющее большинство ресурсов в Интернете «пускают» пользователей к себе после указания правильных логина и пароля. Считается, что это надежная защита. Тогда каким образом злоумышленники взламывают электронную почту, аккаунты, странички в социальных сетях и сайты?
Происходит такое бедствие по целому ряду причин. И самая главная из них – человеческий фактор. Проще говоря, человеческая глупость. Для примера – как сравнительно простым способом взламывают электронную почту. Хакер (даже с не ахти какими знаниями) создает на каком-либо бесплатном хостинге домен третьего уровня. При загрузке на него сайта никакие паспортные и иные данные не требуются. Это позволяет хакеру анонимно поставить на сайте небольшую программку.
С ее помощью жертве отправляется на почту HTML-сообщение, например, такого вида: «Ваш пароль устарел. Необходимо срочно его заменить». И далее идет PHP-форма, где надо указать прежний пароль и вставить новый. Доверчивый пользователь заполняет форму и нажимает на кнопочку «Отправить». Но куда уходит отправка? Правильно, через редирект с сайтика на почту хакеру. Он получает ваше ответное сообщение, смотрит, какой указан первоначальный пароль, заходит на ваш почтовый аккаунт и после ввода логина (а это – ваш электронный адрес) вписывает ваш прежний пароль. Остается только нажать на «Войти», зайти и сменить пароль на любой другой. Все, вашу почту увели!
Запомните: на всех ресурсах не предлагается менять пароль методом заполнения формы непосредственно на вашей почте.
А теперь о том, какие пароли нельзя делать. Недопустимы пароли, состоящие из имени (фамилии) и года рождения; из номера телефона (в том числе и мобильного); из клички вашего песика или кошки; из имени и отчества ваших родителей (равно и с вашими именем-отчеством); из названия населенного пункта, где живете; из номера дома, номера квартиры и года рождения…
Суть тут в том, что такие пароли довольно легко узнать в общении или же «вычислить». Как ни удивительно, но в Сети встречаются по сей день и пароли в виде слова parol и цифр 12345. Тут уж без комментариев!
Сложный пароль запомнить трудно. По этой причине пользователи подсознательно стремятся к простым для запоминания паролям. Это может быть не только номер личной автомашины, но и что угодно другое. В том числе даже клавиатура компьютера. Я это говорю серьезно. Много раз видел, как коллеги набирали на ней пароль, последовательно нажимая на клавиши в одном ряду.
Скажем, пароль был такого вида: asdfg плюс год рождения. На первый взгляд – довольно сложновато для зрения, но легко запоминается со стороны, если внимательно смотреть на клавиатуру. Не верите? Тогда посмотрите на порядок этих «кнопочек». Тут и хакером не надо быть, чтобы взломать коллеге почту, аккаунт в социальных сетях или еще что-то.
Самое любопытное: на большинстве ресурсов при регистрации пароль такого вида оценивается почему-то как средний по сложности. Возможно, для машины он и в самом деле такой по сложности, но не для человека, сидящего сбоку от коллеги и видящего, в какой последовательности нажаты клавиши и куда тот зашел.
Конечно, существуют различные алгоритмы для криптования паролей. Но есть специальные программы для их взлома. В основном они основаны на переборе вариантов. Но нужны ли такие программы, если случайно увидев из-за спины «систему» набора пароля, злоумышленник с ним же зайдет на другие ресурсы жертвы, где требуется авторизация?
Происходит такое бедствие по целому ряду причин. И самая главная из них – человеческий фактор. Проще говоря, человеческая глупость. Для примера – как сравнительно простым способом взламывают электронную почту. Хакер (даже с не ахти какими знаниями) создает на каком-либо бесплатном хостинге домен третьего уровня. При загрузке на него сайта никакие паспортные и иные данные не требуются. Это позволяет хакеру анонимно поставить на сайте небольшую программку.
С ее помощью жертве отправляется на почту HTML-сообщение, например, такого вида: «Ваш пароль устарел. Необходимо срочно его заменить». И далее идет PHP-форма, где надо указать прежний пароль и вставить новый. Доверчивый пользователь заполняет форму и нажимает на кнопочку «Отправить». Но куда уходит отправка? Правильно, через редирект с сайтика на почту хакеру. Он получает ваше ответное сообщение, смотрит, какой указан первоначальный пароль, заходит на ваш почтовый аккаунт и после ввода логина (а это – ваш электронный адрес) вписывает ваш прежний пароль. Остается только нажать на «Войти», зайти и сменить пароль на любой другой. Все, вашу почту увели!
Запомните: на всех ресурсах не предлагается менять пароль методом заполнения формы непосредственно на вашей почте.
А теперь о том, какие пароли нельзя делать. Недопустимы пароли, состоящие из имени (фамилии) и года рождения; из номера телефона (в том числе и мобильного); из клички вашего песика или кошки; из имени и отчества ваших родителей (равно и с вашими именем-отчеством); из названия населенного пункта, где живете; из номера дома, номера квартиры и года рождения…
Суть тут в том, что такие пароли довольно легко узнать в общении или же «вычислить». Как ни удивительно, но в Сети встречаются по сей день и пароли в виде слова parol и цифр 12345. Тут уж без комментариев!
Сложный пароль запомнить трудно. По этой причине пользователи подсознательно стремятся к простым для запоминания паролям. Это может быть не только номер личной автомашины, но и что угодно другое. В том числе даже клавиатура компьютера. Я это говорю серьезно. Много раз видел, как коллеги набирали на ней пароль, последовательно нажимая на клавиши в одном ряду.
Скажем, пароль был такого вида: asdfg плюс год рождения. На первый взгляд – довольно сложновато для зрения, но легко запоминается со стороны, если внимательно смотреть на клавиатуру. Не верите? Тогда посмотрите на порядок этих «кнопочек». Тут и хакером не надо быть, чтобы взломать коллеге почту, аккаунт в социальных сетях или еще что-то.
Самое любопытное: на большинстве ресурсов при регистрации пароль такого вида оценивается почему-то как средний по сложности. Возможно, для машины он и в самом деле такой по сложности, но не для человека, сидящего сбоку от коллеги и видящего, в какой последовательности нажаты клавиши и куда тот зашел.
Конечно, существуют различные алгоритмы для криптования паролей. Но есть специальные программы для их взлома. В основном они основаны на переборе вариантов. Но нужны ли такие программы, если случайно увидев из-за спины «систему» набора пароля, злоумышленник с ним же зайдет на другие ресурсы жертвы, где требуется авторизация?