Эдакая заметочка "обо всём": о
паролях и лёгкости их подбора в большинстве случаев, а ещё о том, как
их некоторые пользователи самостоятельно отдают в руки
недоброжелателей... Чтож, приступим.
Часть 1: Подбор пароля.
Подбор пароля бывает трех типов:
- Подбор паролей по словарю.
- Перебор.
- Подбор с использованием дополнительной информации.
Первые
два способа осуществляются как вручную, так и при помощи скриптов,
третий - только ручками. Расскажу немного о первом. Всем нам приходилось
видеть словари. Бумажные, электронные, орфографические, англо-русские
или ещё какие - не важно. Суть их сводится к тому, что они содержат
некоторый набор слов. У меня вот на полке со школьных времён стоит
маленький карманный англо-русский и русско-английский словарик на 45
тысяч слов. А электронные содержат и того больше: десятки и сотни тысяч
слов. А есть специальные словари, которые содержат те слова, которые
люди чаще всего используют в качестве пароля. Думаете, названия вашего
любимого города, которое вы испльзуете в качестве пароля, там не будет? С
перебором, думаю, всё и так понятно... Расскажу лучше о подборе с
использованием дополнительной информации, он же - интеллектуальный
подбор. Возьмем произвольного человека, о котором нам известно
(допустим, из его вконтактика):
Логин: Example
Фамилия: Петров
Имя: Иван
Отчество: Васильевич
Телефон: 12-34-56
Место работы: ООО "Firm"
Город: Москва
Вот примерно так могут выглядеть пароли этого человека:
- Example/Example
- Example/Elpmaxe — наоборот
- Example/Ivan — имя
- Example/Vanya — имя
- Example/Bdfy — имя (русскими буквами на английском регистре)
- Example/Gtnhjd — фамилия (русскими буквами в английском регистре)
- Example/Dfcbkmtdbx — отчество (русскими буквами в английском регистре)
- Example/Piv — ФИО
- Example/Ivp — ИОФ
- Example/Vip — ОИФ
- Example/Pvi — ФОИ
- Example/123456 — телефон
- Example/Firm — место работы
- Example/Abhv — место работы (русскими буквами в английском регистре)
- Example/Moscow — город
- Example/Vjcrdf — город (русскими буквами в английском
регистре)Можно также брать во внимание что-то из увлечений этого
человека, может быть кличка собаки, название любимой группы, да что
угодно.
Еще кое-что о подборе паролей.
Наилучший результат
можно получить, совместив все способы. Сначала перебором проверяются
варианты паролей от трех до пяти (включительно) символов. Более длинные
пароли вряд ли удастся перебрать, так как количество комбинаций
рассчитывается по следующей формуле: X=S
N, где X — количество
комбинаций, S — число символов, используемых для перебора, и N — число
символов в пароле. Поэтому после перебирания всех паролей в диапазоне от
трех до пяти символов, можно точно узнать, что пароль состоит из шести и
более символов (в противном случае его бы подобрали). После этого
начинается перебор по словарю с “плохими паролями” (типа “qwerty” и
“secret”), из которого исключаются трех-, четырех- и пятисимвольные
пароли.
P.S. За придумывание ФИО произвольного человека спасибо уважаемому
ПухнастЭ БТРкО.
Часть 2: Фишинг.
Фишинг — это ещё один способ получения доступа к вашим логинам и паролям. Попробую описать принцип.
Например, вам могут приходить сообщения от имени ваших знакомых (или
незнакомых) со ссылками на сайт с подарками/баллами/голосами, а так же
прочими шахматами и поэтессами. Сообщение это, как правило, содержит в
себе ссылку на какой-либо сайт, внешне похожий на социальную сеть (всеми
любимые одноглазики, вконтакт или же фейсбук).
Эти сайты могут размещаться на доменах, внешне схожих с доменом, аккаунт
с которого необходимо украсть.Вот на этих сайтах пользователи потом и
оставляют вполне добровольно свои логины с паролями, а потом страшно
удивляются, как же это их могли взломать-то.
Вот так, например, могут выглядеть фишинговые сайты а-ля вконтактик:
vkontakte supp0rt ru vkonfake ru vqontakte ru