Навеяно этой записью. Сначала захотелось написать что-нибудь ехидное, навроде "кролики стали догадываться, что их не только разводят, но и едят"... но потом вдруг понял, что здесь много технически неграмотного и далёкого от ИТ люда, и далеко не всем очевидно то, что очевидно любому вменяемому ИТшнику.
Поэтому несколько правил с объяснениями - почему так, как нужно делать и чем вы рискуете. Если скучно читать многобукав, пролистывайте объяснения, но - если вам дороги ваши жизнь и рассудок - держитесь подальше от болот, и всё-таки, следуйте правилам.
1. НИКОГДА не используйте один и тот же пароль на разных сайтах.
Причина очень проста: сайты (особенно, дешёвые) часто взламывают (нет, это не голливудщина, это жизнь - простое вездесущее раздолбайство с одной стороны и лёгкие деньги с другой). Базы данных этих сайтов с паролями уходят налево, и если кому-то кажется, что он не оставил при регистрации в интернет-доставке пиццы ничего важного, он ошибается.
Как это выглядит со стороны хакера?
На современных сайтах пароли в базах не хранятся в явном виде (а вот раздолбаи, писавшие сайт доставки пиццы, как раз могут хранить в базе как есть). Представим, что хакер добыл базу данных с паролями от серьёзного сайта (соцсети, службы знакомств, какой-то более-менее важной услуги типа электронного дневника выших детей). Он не может использовать пароли, потому что они в виде хэша. Так называемые специальные хэш-функции специально сделаны так, что можно превратить пароль в набор цифр, но в принципе нельзя (математически нельзя, потому что информация потеряна) обратно превратить набор этот цифр в пароль. Когда сайт проверяет ваш пароль, он превращает его в хэш и сравнивает уже хэши. Таким образом, можно проверить, правильный ли пароль, не запоминая его. Красиво, да? И, казалось бы, надежно? ваш пароль от дневника сына в безопасности?
Лишь до тех пор, пока у меня не появляется список паролей. Современные компьютеры очень быстры. Я могу вычислять хэши от тысяч до миллионов паролей в секунду, были бы сами пароли. Поэтому все пароли с когда-либо взломанных сайтов, все пароли когда-либо использовавшиеся хакерами сливаются в одну большую базу. Не то чтобы она была доступна всем, но она доступна всем очень желающим за небольшие деньги или вовсе бесплатно. И если у меня есть хеши, первое, что я сделаю - прогоню эти хеши на соотвествие этим паролям. И что бы вы думали? Да, верно, есть очень большая вероятность, что кто-то когда-то (и возможно даже Вы лично) использовали где-то этот пароль, он утёк и теперь в моей базе.
Возможен и другой сценарий, более редкий, но вовсе не экзотический: моя цель - именно Вы, и я пытаюсь добраться до чего-то ценного у Вас. Кстати, далеко не факт, что ВЫ считаете это ценным - доступ к рабочему компьютеру, например, для Вас всего лишь доступ к бессмысленно скучным файлам и накладным, прошедшим через склад. Для меня это ещё и потенциальный доступ к бухгалтерии и компу директора, которые своей инфой дорожат. Не обязательно я буду её красть, я могу шантажировать с её помощью или просто зашифровать диск и попросить выкуп в биткойнах. Суммы там могут быть приличные - в более менее крупной конторе потеря бухгалтерии за месяц это ещё и неприятности с налоговой, которые могут вообще стОить всего бизнеса нафиг. Подумайте об этом.
Так вот в этом втором случае я возьму все доступные мне базы паролей, которые могут содержать такие полезные вещи, как IP пользователя, имя, фамилию, номер телефона, электронную почту, адрес, широту и долготу (ага, если Вы пользуетесь планшетом, смартфоном или нотебуком). Я прогоняю все эти базы на соотвествия всему, что я знаю о Вас, нахожу миллионы тёзок, тысячи однофамильцев, одно совпадение телефона, 120 совпадений по месту входа... и начинаю работать с этим, отсеивая инфу по дополнительным критериям, проверяя, выписывая. В итоге (не факт, но вполне возможно), я буду иметь список логинов, которые Вы когда-либо использовали.
Потом я запускаю скрипты, которые пробегают со всеми паролями по существующим сайтам, и... я найду и указанный 7 лет назад Вашим сыном Ваш точный адрес, и старый номер телефона, и то, что Вы женаты второй раз, и имя Вашей первой жены, и ещё много всего... Вам кажется, ради Вас никто так копать не будет: зачем мне знать имя Вашей первой жены? Да фигня вопрос - работают-то скрипты, а имя Вашей бывшей - запросто может быть паролем.
Хакерство с целью добычи данных - вовсе не то, что показывают в голливудских фильмах. Это не возня с кодом (с кодом возятся другие люди, и там дай бог чтоб раз в месяц дыру на одном сайте найти, не говоря уж о серьёзных системах). БОльшая часть криминала использует уже готовые уязвимости, написанные другими инструменты, скачанные другими базы данных старых взломов и т.п. Это социальная работа - понять, кто Вы, что Вы, как Вы, какие пароли могли бы использовать и как докопаться до того, что нужно и что (пока) знаете только Вы. Ещё и ещё раз: даже если Вы кладовщик в Мухосранском филиале ГосГовнослива, это НЕ значит, что Вы не имеете ничего ценного для хакера. Вы можете даже не знать, что у Вас это есть (скажем, доступ через Вас во внутреннюю VPN Минговна). Хакер знает, и хакер это использует.
И Вы в этом хакерам сильно помогаете. Особенно, если используете тот же самый пароль на разных сайтах. Поэтому. Не. Используйте. Один. И тот же. Пароль. Ни-ког-да.
Очень часто эти взломы идут вообще по всем пользователям, наудачу. Пишется скрипт, использующий какую-то уязвимость, пишутся скрипты, подбирающие пароли (иногда очень сложные скрипты), и всё то, с чем хакер возился бы сам несколько часов делается сразу для десятков тысяч-миллионов пользователей. Не прошло - и ладно, даже несколько процентов с кем сканало - хороший улов. Не будьте в этих процентах.
Как быть? Заведите себе простое (для Вас лично) мнемоническое правило генерации паролей. Например, сложные, нетривиальные химические формулы по определённому принципу. При составлении паролей и правил помните, что Вы не один умный в мире и слово "циклотриметилентринитрамин" известно любому химику и тривиально, несмотря на длину. Меняйте их от сайта к сайту, пользуясь другим личным мнемоническим правилом, привязанным к сайту. Если это очень, запредельно влом, то хотя бы используйте для всех важных сайтов другие и обязательно разные пароли (это Вас не спасёт в случае работы по Вам лично... но убережёт от скриптов).
2. НЕ ИСПОЛЬЗУЙТЕ в качестве паролей целые слова.
Даже с цифрами.
Да-да, и русские слова, записанные латиницей - тоже. Нет, это не хитрый трюк, а всем известная тема, хитрость наравне с запрятыванием конфетки за спину шеститилеткой. Да, и замена латинской "l" на 1, а "ч" на 4 - тоже всем известны. Скрипты делают подобные подмены при подборе хэшей автоматически. Все варианты подмен, поэтому один раз писать так, а другой этак - тоже бестолку, не обманете. И при переборе паролей слова и цифры не стесняются комбинировать: то, что сложно человеку, машина прогоняет с дикой скоростью - тысячи, а то и миллионы вариантов в секунду.
Поэтому пароль "ko1basa-1" - очень плохой пароль. (Конкретно этот, на самом деле - ужасный пароль, я не знаю, почему русские испытывают тягу именно к этому слову, почему оно считается таким прикольным, юморным, особым и "зашифрованным", потаённым от других. ВСЕ варианты этого слова есть в базах).
Меняйте в словах буквы, следуя своему личному мнемоническому правилу. Ту же латинскую "l" можно заменить не только на "1" или русскую "л"... подумайте об этом.
3. НЕ ИСПОЛЬЗУЙТЕ для входа на важные сайты или работы скомпроментированные машины.
Какая машина скомпроментирована? Любая, на которой Вы или Ваш сын погоняли пиратские игрушки или поставил кульную прогу с кряком. Просмотр порно или фильмов с самораспаковывающимися архивами сюда входит (это вообще должно быть табу, но хоть на рабочей машине этого избегайте всеми силами: сопротивляйтесь желанию открывать все вложения).
Вы можете смело надеяться, что кряк только крякнул пиратскую программу, и чел, который это писал делал кряк из любви к искусству... У такого поведения есть девиз: "слабоумие и отвага!". Второй степени.
Все (почти) кряки и крякнутые программы крякаются за деньги (хорошие) и распространяются не просто так, а ради чего-то. Что именно хотел чел, крякнувший конкретно вот то самое - Вы не знаете, это лотерея. Может, прога просто вешает ботнет и тихо майнит биткойны, пока машина не занята, а может - отсылает все пароли с сайтов куда-то в Китай... Вы не знаете. И проверить не можете, и даже сын, "крутой системщик", пялящийся в вайршарк и перешивший рутер на тотальную фильтрацию всего - тоже не знает, малвара может полгода собирать пароли, а потом зайти (честно по хттп!) на какой-нить испанский сайт и слить туда всё, что надо. И даже если Вы хорошо понимаете администрирование в винде - всё равно за последние годы было найдено множество уязвимостей, и большинство из них сначала были использованы нехорошими людьми, а уж потом кое-как пофикшены.
Есть и ещё более важна причина - связанная с сбором данных и анализом бигдаты. Поскольку краем я этого в своей карьере коснулся, то имею вам сообщить: Вы и вы все давно под колпаком, под тысячами колпаков, и все эти колпаки общаются, копят данные, анализируют всё и всех. Опять не надо думать, что "я человек маленький, кому я нужен, меня не коснётся". Когда ЭТО коснётся Вас (или Ваших детей, скажем), будет поздно - всё уже в базах необратимо. Каждый чих, каждое действие пишется так, что топором потом не вырубишь. Сопоставить данные и понять, чем пользуется человек - несложно, есть фирмы, специализирующиеся на этом и их код на очень многих вполне почтенных сайтах, которые Вы считаете надёжными. Так что если кто-то захочет узнать, кто именно заходит на правительственный или новостной сайт с правами администратора или редактора новостей, ему нужно лишь тыкнуть в несложный поиск, а потом выбрать наиболее удобную мишень.
Вы просто зашли на сайт анекдотов с рабочей машины - что тут такого? А на сервере скрипт собирает куки и теперь знает, куда ещё Вы с этой машины заходили. Что тут такого? Да ничего, кроме того, что все эти базы через пару недель окажутся у кого-то, кто ищет админский доступ к системе, в которую Вы заходите по работе. И этот человек видит Ваш IP, знает, откуда Вы это делаете, небольшой поиск - и вот он уже знает, кто Вы, идёт дальше... и см. выше про работу хакера: нет, это не "взлом ста миллионов кодов", это долгое копание в Вашей жизни и следах,Ю которые Вы оставили в сети.
Поэтому.
Есть машины для работы. Есть машины для развлечения. Разделение обязательно.
Вы думаете это паранойя? Нет. Это абсолютно необходимые и простые правила типа "не открывайте жестяные крышки зубами" и "не сри там, где ешь".
Комментарии
ТО есть, химические названия с грамматическими ошибками вполне работают))) И на том спасибо.
Если хим. названия есть в словарях - то не работают. Даже с ошибками.
Алгоритмы давно прогоняют словари с учетом ошибок, транслитерации и дополнительных циферок.
Что-то типа "сульпат76" - плохой пароль. "28дигидрогенамонооксид785" - лучше. Но прежде всего из-за длины.
циклопентапергидрофинантренадималеат
Такую дичь, конечно, не взять. При простом проходе слитой базы.
Но у вас есть 1000 регистраций в рунете. Каждый пароль - новое химическое соединение.
Как минимум несколько паролей неминуемо утекают. Т.к. часть сайтов делают ушлепки.
И вот при просмотре данных мальчик с добрыми глазами видит пару подобных пассов висящих на одной почте/соцсетке.
Во-первых, вы ему рассказали что связаны с химией. Во-вторых, объяснили методику выбора паролей.
А т.к. число возможных химических соединений меньше чем число всех комбинаций символов - подобрать остальные пароли будет легче.
Под рукой как раз есть хенд-мейд-нейронка обученная на подбор пород собак и марок автомобилей. Ничего страшного - переучим на химические соединения.
Конечно мало шансов, что кто-то будет так морочиться конкретно из-за вас. Но любая инфа в инете - потенциально опасна.
Например, есть подзамочный софт(речь не только о нашумевшем с год назад приложении), который позволяет прогнать лицо женщины по базам шлюх, порнухе, анкетам всяких рунеток. Можно установить на смартфон или умные очки. Едешь такой в метро в темных очках и узнаешь много нового о окружающих людях. Как терминатор. Киберпанк куда ближе чем вы думаете
Зато есть шанс получить Нобелевку по химии!
У кого? У того кто выбирал пароли? У того кто писал нейронку? Или у самой нейронки? =)
достаточно понимать то где можно ставить Простые пароли скажем 1-2 разных но реально простых что-нить в пределах 8-12 символов
и где надо и меть сложные пароли в 16-20 символов минимум - если система позволяет то лучше ставить пароли в 30 и более символов - панацеей не является, но некоторую защиту даст
На самом деле процентов 95 брутеров работают Только по словарям(но большим вплоть до готовых Хешей на все основные алго для всех слов в словаре) - еще процента 2-3 гоняют комплексы с мутаторами и сложными сочетаниями и только 1-2% гоняют фуллспейсы....
превысокомногорассмотрительствующий
есть в словаре
Автор, раз вы имеете доступ к базам, то не могли бы привести график P=f(x), где P - вероятность, что случайно сгенерированный пароль уже есть в базе; х - длина пароля.
Какой-такой доступ?
Этому тексту сто лет в обед.
Просто бот, дабы не заплевали, должен регулярно что-то осмысленное публиковать.
С учётом того, что я только что его написал (хотя сами правила, конечно, элементарны уже лет 40 как), передо мной - человек, притворяющийся ботом, который пишет всякую херню даже не задумываясь. Что-нить осмысленное публику, конечно, но как-нить не у меня в комментах.
Прекрасный вопрос. Настолько же, насколько и бесполезный )) случайные пароли начнут проваливаться через сито словаря уже начиная с 3 символов примерно. На паролях типа: "$z_". Только какова вероятность, что кто-либо будкт такой пароль использовать? Все эти словари нужны не против конкретного человека, а для закона больших чисел. Вероятность того, чтр из 1 млн случайных людей хоть у одного будет пароль "12345" или "qwerty" - чудовищно близка к 100%.
Мне немного влом писать скрипт, но без всякого скрипта скажу, что большинство паролей - 8 букв, там большая полка. Чуть меньше полка почему-то на 5 буквах... ну а дальше - экспоненто-подобный хвост.
Хватит уже про бигдату и изхунственный антилект. Они вместе рекламируют мне то, что я купил в интернетмагазине месяц ПОСЛЕ покупки.
Да-да )) Я уже заманался смотреть на рекламу телека, который уже дома
На одном компе имею всегда 2 системы.
Та, что в работе, не используется для интернета. Очень редко подключается ненадолго к интернету для обновления антивирусных баз или легальных рабочих программ.
Пароли записаны в текстовом файле с невинным названием. Используются только в другой, интернетовской системе. Пароли имеют любую сложную произвольную форму, так как их не нужно запоминать. И при смене пароля сразу переписываются в текстовом файле.
Такая схема защищает уже лет восемь.
А года четыре назад ещё усложнил.
Купил отдельный маломощный компьютер. И переключатель KVM-svitch. И теперь рабочая система на одном компе, а интернетовская на другом. Монитор один на оба компа. Переключаюсь, когда нужно, между ними. И на рабочий комп файлы переношу только через внешний носитель.
Спасибо, интересно. Читать мног букв не лень. Но вот такие обороты
делают текст нечитаемым. Моя твоя не понимай. Мен белемок (я эти два слова знаю. А Вы до сих пор нет?)
Думаю это специально, для тех кто настолько крутчто на жаргоне только объясняет. Так кулцхаккеры, кулцбэконимкс волотильность и ниспадающий рост.
Сенын парольга баласым ба?
Ну я же сказал: только эти два слова. I belemok you
Те, кому адресовано, прекрасно понимают. Тем кто не понимает, могу лишь констатировать, что сарказм был направлен точно не на них. :)
хорошая затравка - никак руки не доходили до фиксации рекомендаций за пределами процедур. ))
не претендуя на первенство - "наступил" на проблему в лихие 90-е, когда стал подозревать, что логины/пароли пользователей, по-сути, - секрет полишинеля ). нашел умника в академгородке и для сокращения издержек отдал ему всю парольную базу. через день получил 70% открытых брутфорсом типа "серый123". ессно, пришлось срочно сочинять циркуляр по правилам генерации паролей. однако, даже по прошествии лет тема не потеряла своей актуальности и регулярно приходится проводить ликбезы для "всепосвященных" ), поэтому поделюсь своими рекомендациями, которые совпадают с озвученными и помогут на практике создавать и держать в голове сотни непохожих паролей, легко воспроизводимых при соблюдении правил.
пара замечаний - речь идет о бытовых паролях рядовых пользователей, а рекомендации не претендуют на абсолютную новизну.
1 за _основу_ правил создания паролей необходимо принимать ваши собственные предпочтения - математики/химики/физики - формулы, лирики - поэтические произведения, строчки из них или первые буквы строк стихотворения, программеры могут использовать языковые кманды, функции и знаки (не брезгуя римскими цифрами) и системы счисления, технари - составляющие названий своих повседневно управляемых девайсов, клерки - любимые справочники и классификаторы, скажем каталожные номера ниссановских запчастей, дрокеры - тикеры (условные обозначения названий компаний, фондов) и т..п. у каждого должен быть свой уникальный АБЫРВАЛГ;
2 мнемонических правил (сохраняя терминологию) должно быть несколько, т.е. пароль должен состоять из нескольких уникальных групп знаков, формируемых по своему правилу:
- группа принадлежности (для яндекса - YND, газпромбанк - GPB,.m.b.); можно исключить гласные - они практически не несут информационной нагрузки;
- группа значимости - инет-магазины, федеральные.службы, финансовые конторы, тупые формумы и чаты, мусорные ресурсы, и т.д. здесь не стану приводить примеры, чтобы не повторяли их массово;
- группа срочности для регулярной замены, скажем, для ежегодной - год в удобной системе счисления - 19, XIX или 13 в hex. более частая смена в быту не нужна и приведет лишь к путанице;
- группа смены версий при внеплановом обновлении, достаточно ОДНОЙ пары цифр;
- группы маскировки - 2--3х значные константы - микс любых символов;
- количество групп и знаков в группах должно обеспечивать достаточную длину пароля (чем больше - тем лучше) и соответствовать вашей способности запоминания. ))
3 безусловно использование всех букв, символов и знаков без ограничений (вы не известный отечественный банк, который до последнего времени запрещал использовать символы за пределами языков и знаков систем счисления))
4 alles! на СВОЙ вкус готовьте винегрет из этих групп, внедренных в ваш АБЫРВАЛГ - гр1_АБЫ_гр2_РВ_гр3_АЛГ_гр4_...
5 отобразите свою структуру паролей и отрепетируйте, чтобы запомнить навсегда систему их формирования и избавиться от необходимости запоминать и/или хранить пароли, тем самым вы избавитесь от основной уязвимости такой системы при взломе/краже парольной базы из браузера или инет-магазина, к примеру.
понятно, что любая система - ключ в взлому [паролей], вычислительные ресурсы едва ли не безграничны, а штатные защиты смехотворны, поэтому будьте спокойны - кому надо, тот выковыряет вашу базу и взломает пароль. а чем он проще, чем разнобразнее средства/девайсы, которые вы используете, тем бессмысленнее эта возня. это к слову о инет-банках на андроидах.
догадываюсь, пока нажимал на кнопки, обсуждение улетело и некоторые советы прозвучали, но не стану их освежать, оставлю, как есть, но не как повод для дискуссии.
с наступающим, и избавь вас бог попасть в список избранно привлекающих к себе внимание! ))
не изобретайте велосипед - для разовых операций берете случайный Файл из ОС и делаете CRC для sha256 - идеальный пароль с достаточной энтропией и длиной, для частого употребления по Роли - для не критичных хватит и одного, для критичных 3-5 разных - Стихи или любимая фраза или цитата - лучше не придумано - 20-30 символов минимум - оно конечно все есть в словарях крупных контор занимающихся подбором - но шанс что ваш пароль попадает к ним если в не в сфере чьего-то пристального интереса - меньше чем шанс что на вас упадет самолет, а если вы кого-то СИЛЬНО заинтересовали то - в среднем любой сгенерированный по любым правилам пароль если НУЖНО - живет 20-30 минут НЕ БОЛЬШЕ!!! - И ЭТО АБСОЛЮТНО ЛЮБОЙ НАБИРАЕМЫЙ РУКАМИ ПАРОЛЬ - в современном мире пароль Вобще не панацея и не защита от чего либо.....
Проблема в том, что люди не запоминают сложные пароли.
Ну а "любимая фраза или цитата" - это либо посоветованное мной мнемоническое правило, либо отсутствие пароля вообще, потому что "любимые фразы или цитаты" у разных людей прекрасно пересекаются. Не нужно считать себя самым оригинальным в мире, ставя как пароль цитату из "Собачьего сердца", из "Терминатора" или полный номер логической микросхемы популярной серии.
...
Пароль нужен, чтобы не попасть "под гребёнку", автоматический хак. Ессно, что подобрать хэш для нынешних машин не проблема, но никто не будет брутфорсить хэши для базы в 100000 пользователей - это совершенно неразумные траты времени и денег.
Баян, но в тему.
"Aoccdrnig to a rscheearch at an Elingsh uinervtisy, it deos not mttaer in waht oredr the ltteers in a wrod are, the olny iprmoetnt tihng is taht the frist and lsat ltteer is at the rghit pclae. The rset can be a toatl mses and you can sitll raed it wouthit porbelm. Tihs is bcuseae we do not raed ervey lteter by it slef but the wrod as a wlohe"
Да ведь других нет!
-Вот никаких и не читайте! (с)
Я понимаю, с кем и где разговариваю, поэтому советую простую вещь: отдельную машину (или опсистему) для работы и важных дел.
Мой комп, первый и последний раз хацкеры лочили лет 17 назад. С тех пор, делаю регулярные бэкапы (снимаю образ для восстановления в случае чего) системного диска от 2х до 5и раз в год. По мере введения в использование каких-то новых программ. И да, храню всегда минимум 8 последних бэкапов - бывали случаи, когда последние не могли заставить систему работать как надо, приходилось откатываться на 2-3 образа назад.
Это очень правильная политика, но данные на своей машине - уже далеко не всё, чем рискует современный пользователь.
И всё таки , вы так вот , комуто там нужны ?
Забавный тредик. Все дружно забыли, что в большинстве случаев, никто не будет подбирать пароль подбором/анализом_профиля. Школьники с брутфорсером разве что. Если вы реально кому-то понадобитесь - метод ректального криптоанализа(я про паяльник) - дает самые быстрые и достоверные результаты - что бандюки, что силовики...
У этого метода есть один маленький недостаток - его применение тяжело скрыть. А бывают ситуации, когда сломать надо тихо, так, чтобы жертва и не узнала. На самом деле желательно так ломать всегда, а "порадовать" жертву можно и потом, если захочется
Около 99.99999% неприятных случаев связаны вовсе не с паяльником. Абсолютное большинство случаев взлома, блокировок, шантажа, потерь данных и т.п. связаны с элементарным пренебрежением правилами именно из принципа "да кому я нужен?". Ну, то есть, через пароль "пароль123", установки всего чего попало с торентов, просмотр весёленьких картинок из самораспаковывающегося архива или аттачмента в почте с пометкой "твоё видео с последнего корпоратива".
А потом выясняется, что да, Вы-то нахрен никому не нужны, а вот стольник евро содрать биткойн-переводом - милое дело.
И да, школьники с брутфорсером - это сила, которой НЕЛЬЗЯ пренебрегать, их много. Они-то - тупые... но, чтобы это не было проблемой, НЕЛЬЗЯ быть тупее. Хотя бы потому, что это неприлично - быть тупее скрипт-кидди.
Не совсем понятно, как происходит перебор паролей. Ведь в любой нормальной системе после нескольких неправильных попыток доступ блокируется минут на 15. Так можно миллион лет подбирать, и мощность компьютера-подбиральщика тут ничего не даст.
Блокируется клиент, а не сам сайт. Ботнет может потихоньку проверять разные пары Логинов и паролей с каждого своего узла. За счет массовости узлов общий поток проверок будет большим.
находим 0-day или башляем на пиво Админу или заходим "с корочками" - сливаем таблицу хешей и спокойно ковыряем - находят один взлом на каждые 10-20 тысяч, и когда находят активные меры предпринимают в одном случае из не скольких сотен
Обычное и типичное дело - утечка базы с хешами. После того, как у злыдня база с хешами, он делает простой поиск известных хешей из этой базы - по известным паролям. Через несколько часов у него минимум 10-20% логинов - пар "логин-пароль". Просто потому, что этими паролями уже где-то кто-то пользовался. Не надо быть в этих 20% идиотов, и вообще нужно снижать процент.
После этого в зависимости от сайта по всем добытым логинам либо прогоняется скрипт, который делает что-то полезное для злыдня (например, рассылает исполнимый с блокировщиком знакомым от имени пользователя с использованием личных имён и данных из сообщений - удивительно рабочая методика, люди не ожидают подлянки от знакомого), либо база готовых логинов за деньги сливается кому-то ещё, как промежуточный шаг. Не обязательно хакеру... может быть вполне тупым мошенникам, которые будут выуживать со знакомых пользователей по 2000 рублей на карточку, переписываясь вручную.
Это просто как пример.
вдогоку пару слов в практической плоскости по защите вашей privecy:
1 для разных задач используйте разные браузеры, для онлайн систем (бирж/банков) используйте виртуальные среды или вирт.машины ( у Comodo,к примеру, в его защитном ПО есть виртуальная песочница);
2 не оставляйте лишних следов вашей деятельности на компе - используйте запрет отслеживания и автоматическое удаление куков, антибаннеры и блокировщики рекламы тоже не помешают - Disconnect, Cokie Autodelete, Adguard и т.п.
3 регулярно очищайте кэш браузеров и области временного хранения и системные, и пользовательские TEMP/TMPsы. веником типа Ccleaner.
увы, но даже ваш любимый АШ тоже имеет немало средств для отслеживания.
как-то давно сформулировал для понимания - почему прежде, чем сесть за руль и начать колесить по родине, каждый проходит автошколу, но, когда вы выползаете в инет, каждый из вас считает себя профи? ))
Годный срач. Ахтунг - пахнет трольчатиной! Автор, нет ли в обсуждении упырей? Сим повелеваю - внести запись в реестр самых обсуждаемых за день.
Это все хорошо. И правильно. Но! Есть одна хороше известная спецам по безопасности проблема. Как только количество разных поролей превышает 3-5-10 (у кого как), люди начинают хранить их где-то потому что запомнить не в состоянии. Причем там же обычно храят сразу и то, к чему пароль. Отсюда и эти вот стандартные пин-коды на карточках, стикеры с паролем на мониторе и.д. Тужа же и все централизованные хранилки, дискредитировав которую, получаешь доступ ко всему.
Поэтому, более менее помогает иметь несколько (сколько способен запомнить) паролей. Один - для всего подряд, один для каких-то более-менее ценных ресурсов, один - для важных и один - для наиважнейших.
Ну а вообще, как нас учил препод по безопасности компьютерных сетей: Самое уязвимое место в безопасности любой компьютерной сети - секретарша шефа. Так было, есть и будет всегда. :)
Вот поэтому я и говорю про мнемоническое правило: пароли могут быть похожими, но это никогда, НИКОГДА не должен быть один и тот же пароль.
Потому что (по любой причине - по вине сайта или Вашей) утеряв пароль от одного чего-то важного, можно сразу поиметь проблемы с другим. Причём, в первом месте могут быть сразу приняты правильные меры без Вашего ведома... а вот Вы огребёте проблем из-за своей лени и/или памяти совсем в другом месте.
И я не только о хакерах: огромное количество совершенно бытовых ситуаций при разводе, например, или когда дети/супруги злоупотребляют доверием или совершенно случайный нечестный человек получает доступ.
Работать с потенциально опасными сайтами и прочим через виртуальную машину видимо религия не позволяет, использовать песочницу видимо лень, ну а тогда ктож вам доктор а?
Виртуальная машина - это хорошо и даже прекрасно. Но решение не подходит всем - не все могут настроить её правильно, полностью обособив. Но в принципе, совершенно согласен, что это хорошая мера безопасности.
Которая не отменяет очевидных правил с паролями.
Блакнотик в ТУМБОЧКЕ! +справочник физики за 9-й класс... и хай ломають хоть всю жисть.
Вполне.
И блокнотик в тумбочке более надёжен, чем паролехранилки.
Повторюсь-картридер, пин код и времязависимая хрень с набором паролей, и не надо держать в голове кучу мусора
И да по моему жизненному опыту тему с паролями поднимают обычно, что бы с помощью социальной инженерии вытащить из окружающих алгоритмы их паролирования с последующей попыткой ломануть собеседников, так что успехов колеги, в вашем многотрудном и уголовно наказуемом деле
Это вполне вариант. Но не везде работает. Я писал об элементарном.
Это Вы меня подозреваете "в вытаскивании алгоритмов паролирования" и "попытке ломануть собеседников"? :)
Спасибо, конечно, но у меня есть более стабильная, спокойная и высокооплачиваемая работа. :)
Слава богу не держу деньги в банке и не имею пластиковые карты. Все в золоте и бриллианте)))
Вы очень рисковый человек.
Страницы